メインコンテンツまでスキップ

2.6. Replace Section 5.1.3.4 - Multiple Protection (多重保護)

2.6. Replace Section 5.1.3.4 - Multiple Protection (多重保護)

[RFC4210] のセクション 5.1.3.4 は, ネストされたメッセージ (nested message) を説明しています。この文書では, PKI 管理エンティティ間での PKI メッセージのバッチ配信トランスポートおよび混合ボディタイプでのネストされたメッセージの使用も可能にします。

セクションのテキストを次のテキストに置き換えます:

5.1.3.4. Multiple Protection

保護された PKI メッセージを受信した場合, RA などの PKI 管理エンティティは, 独自の保護を追加してそのメッセージを転送できます (これは MAC または署名であり, RA と CA の間で共有される情報と証明書によって異なります)。さらに, 複数の PKI メッセージを集約できます。このようなメッセージにはいくつかのユースケースがあります。

  • RA はメッセージを検証および認可したことを確認し, 元のメッセージを変更せずに転送します。

  • RA は転送前にメッセージを何らかの方法で変更します (例えば, 特定のフィールド値を追加または変更したり, 新しい拡張を追加したりします); その後, 独自の望ましい PKIBody を作成できます。RA が PKIMessage に加えた変更が証明書リクエストの POP (proof of possession) を破る場合, RA は popo フィールドを RAVerified に設定しなければなりません。ネストされたメッセージの PKIHeader の generalInfo フィールドに EE からの元の PKIMessage を含めることができます (例えば, CA が元の EE メッセージの POP またはその他の情報を確認したい場合に対応します)。この状況で使用される infoType は {id-it 15} (id-it の値については セクション 5.3.19 を参照) であり, infoValue は PKIMessages です (内容は PKIBody 内のメッセージと同じ順序でなければなりません)。

  • PKI 管理エンティティは, 同じ方向に転送される複数のメッセージを収集し, バッチで転送します。リクエストメッセージはバッチとして上流 (CA に向かって) に転送できます; レスポンスまたはアナウンスメッセージはバッチとして下流 (RA に向かってですが EE には向かいません) に転送できます。例えば, これは 2 つの PKI 管理エンティティ間のオフライン接続をブリッジする際に使用できます。

これらのユースケースは, 新しい PKI メッセージ内にメッセージをネストすることで実現されます。使用される構造は次のとおりです:

NestedMessageContent ::= PKIMessages
最終更新