Passa al contenuto principale

2.6. Replace Section 5.1.3.4 - Multiple Protection (Protezione multipla)

2.6. Replace Section 5.1.3.4 - Multiple Protection (Protezione multipla)

La Sezione 5.1.3.4 di [RFC4210] descrive il messaggio nidificato (nested message). Questo documento consente anche l'utilizzo di messaggi nidificati per il trasporto di consegna batch di messaggi PKI tra entità di gestione PKI e con tipi di corpo misti.

Sostituire il testo della sezione con il seguente testo:

5.1.3.4. Multiple Protection

Quando riceve un messaggio PKI protetto, un'entità di gestione PKI, come un RA, PUÒ inoltrare quel messaggio aggiungendo la propria protezione (che è un MAC o una firma, a seconda delle informazioni e dei certificati condivisi tra il RA e la CA). Inoltre, più messaggi PKI POSSONO essere aggregati. Ci sono diversi casi d'uso per tali messaggi.

  • Il RA conferma di aver convalidato e autorizzato un messaggio e inoltra il messaggio originale invariato.

  • Il RA modifica i messaggi in qualche modo (ad esempio, aggiunge o modifica valori di campo particolari o aggiunge nuove estensioni) prima di inoltrarli; quindi, PUÒ creare il proprio PKIBody desiderato. Se le modifiche apportate dal RA al PKIMessage rompono il POP (proof of possession) di una richiesta di certificato, il RA DEVE impostare il campo popo su RAVerified. PUÒ includere il PKIMessage originale dall'EE nel campo generalInfo del PKIHeader di un messaggio nidificato (per accogliere, ad esempio, i casi in cui la CA desidera verificare il POP o altre informazioni sul messaggio EE originale). Il infoType da utilizzare in questa situazione è {id-it 15} (vedere Sezione 5.3.19 per il valore di id-it), e il infoValue è PKIMessages (i contenuti DEVONO essere nello stesso ordine del messaggio nel PKIBody).

  • Un'entità di gestione PKI raccoglie diversi messaggi che devono essere inoltrati nella stessa direzione e li inoltra in un batch. I messaggi di richiesta possono essere trasferiti come batch upstream (verso la CA); i messaggi di risposta o annuncio possono essere trasferiti come batch downstream (verso un RA ma non verso l'EE). Ad esempio, questo può essere utilizzato quando si collega una connessione offline tra due entità di gestione PKI.

Questi casi d'uso sono realizzati nidificando i messaggi all'interno di un nuovo messaggio PKI. La struttura utilizzata è la seguente:

NestedMessageContent ::= PKIMessages
Ultimo aggiornamento il