Passa al contenuto principale

2.2. New Section 4.5 - Extended Key Usage (Utilizzo esteso delle chiavi)

2.2. New Section 4.5 - Extended Key Usage (Utilizzo esteso delle chiavi)

La seguente sottosezione introduce un nuovo utilizzo esteso delle chiavi (extended key usage) per i server CMP autorizzati a generare centralmente coppie di chiavi per conto delle entità finali.

Inserire questa sezione dopo la Sezione 4.4.3 di [RFC4210]:

4.5. Extended Key Usage

L'estensione di utilizzo esteso delle chiavi (extended key usage, EKU) indica gli scopi per i quali la coppia di chiavi certificata può essere utilizzata. Pertanto, limita l'uso di un certificato ad applicazioni specifiche.

Una CA potrebbe voler delegare parti dei suoi compiti ad altre entità di gestione PKI. Questa sezione fornisce un meccanismo per provare questa delega e abilitare un mezzo automatizzato per verificare l'autorizzazione di questa delega. Tale delega può anche essere espressa con altri mezzi, ad esempio, configurazione esplicita.

Per offrire la validazione automatica per la delega di un ruolo da parte di una CA a un'altra entità, i certificati utilizzati per la protezione dei messaggi CMP o i dati firmati per la generazione di chiavi centralizzata DEVONO essere emessi dalla CA delegante e DEVONO contenere i rispettivi EKU. Questo prova l'autorizzazione di questa entità dalla CA delegante per agire nel ruolo indicato, come descritto di seguito.

Gli OID da utilizzare per questi EKU sono:

id-kp-cmcCA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 27 }

id-kp-cmcRA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 28 }

id-kp-cmKGA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 32 }

Nota: La Sezione 2.10 di [RFC6402] specifica gli OID per una CA di gestione dei certificati su CMS (Certificate Management over CMS, CMC) e un RA CMC. Poiché la funzionalità di una CA e RA non è specifica di alcun protocollo di gestione dei certificati (come CMC o CMP), questi EKU sono riutilizzati da CMP.

Il significato dell'EKU id-kp-cmKGA è il seguente:

CMP KGA: Le autorità di generazione delle chiavi (key generation authorities) CMP sono CA o sono identificate dall'utilizzo esteso delle chiavi id-kp-cmKGA. Il CMP KGA conosce la chiave privata che ha generato per conto dell'entità finale. Questo è un servizio molto sensibile e richiede un'autorizzazione specifica, che per impostazione predefinita è con il certificato CA stesso. La CA può delegare la sua autorizzazione inserendo l'utilizzo esteso delle chiavi id-kp-cmKGA nel certificato utilizzato per autenticare l'origine della chiave privata generata. L'autorizzazione può anche essere determinata tramite la configurazione locale dell'entità finale.

Ultimo aggiornamento il