2. Requirements and Assumptions (需求和假设)

本规范的目标是开发一个配置文件 (Profile), 以便为希望使用X.509技术的社区, 在互联网应用中促进X.509证书的使用. 此类应用可能包括WWW, 电子邮件, 用户认证和IPsec. 为了消除使用X.509证书的一些障碍, 本文档定义了一个配置文件, 以促进证书管理系统的开发, 应用工具的开发, 以及由策略决定的互操作性.

一些社区需要补充或可能替换此配置文件, 以满足专业应用领域或具有额外授权, 保证或操作要求的环境的需求. 然而, 对于基本应用, 定义了常用属性的通用表示, 以便应用开发人员可以获取必要的信息, 而无需考虑特定证书或证书撤销列表 (Certificate Revocation List, CRL) 的颁发者.

证书用户应该 (should) 在依赖与特定证书中的公钥相关联的认证或不可否认性服务之前, 审查证书颁发机构 (Certification Authority, CA) 生成的证书策略 (Certificate Policy). 为此, 本标准不规定具有法律约束力的规则或义务.

随着补充授权和属性管理工具的出现, 例如属性证书 (Attribute Certificates), 限制包含在证书中的认证属性可能是合适的. 这些其他管理工具可以提供更合适的方法来传达许多认证属性.

2.1. Communication and Topology (通信和拓扑)

证书用户将在各种通信拓扑环境中运行, 特别是安全电子邮件的用户. 本配置文件支持没有高带宽, 实时IP连接或高连接可用性的用户. 此外, 配置文件允许存在防火墙或其他过滤通信.

本配置文件不假设部署X.500目录系统 (Directory System) [X.500] 或轻量级目录访问协议 (Lightweight Directory Access Protocol, LDAP) 目录系统 [RFC4510]. 配置文件不禁止使用X.500目录或LDAP目录; 然而, 可以使用任何分发证书和证书撤销列表 (CRLs) 的方法.

2.2. Acceptability Criteria (可接受性标准)

互联网公钥基础设施 (Public Key Infrastructure, PKI) 的目标是满足确定性, 自动化的识别, 认证, 访问控制和授权功能的需求. 对这些服务的支持决定了证书中包含的属性, 以及证书中的辅助控制信息, 例如策略数据和证书路径约束.

2.3. User Expectations (用户期望)

互联网PKI的用户是使用客户端软件的人员和进程, 并且是证书中命名的主体 (Subjects). 这些使用包括电子邮件的读者和写者, WWW浏览器的客户端, WWW服务器, 以及路由器内IPsec的密钥管理器. 本配置文件认识到这些用户使用的平台的局限性, 以及用户本身的专业知识和注意力的局限性. 这体现在最小的用户配置责任 (例如, 受信任的CA密钥, 规则), 证书中的显式平台使用约束, 保护用户免受许多恶意行为的证书路径约束, 以及合理地自动化验证功能的应用程序.

2.4. Administrator Expectations (管理员期望)

与用户期望一样, 互联网PKI配置文件的结构旨在支持通常运营CA的个人. 为管理员提供无限的选择会增加CA管理员的细微错误导致广泛妥协的机会. 此外, 无限的选择极大地使处理和验证CA创建的证书的软件变得复杂.