9.2. TLS Transport (TLS传输)
9.2 TLS Transport (TLS传输)
使用TLS传输的客户端路由器必须提供客户端证书来向缓存验证自己, 以允许缓存通过拒绝来自未授权路由器的连接来管理负载。原则上, 可以使用任何类型的证书和证书颁发机构(CA); 但是, 通常, 缓存操作员将希望创建自己的小规模CA并向每个授权路由器颁发证书。这简化了凭据转换; 可以使用来自适当CA的任何未撤销、未过期的证书。
在此协议中用于验证客户端路由器的证书必须包含一个subjectAltName扩展[RFC5280], 其中包含一个或多个iPAddress标识; 在验证路由器的证书时, 缓存必须根据这些iPAddress标识检查TLS连接的IP地址, 如果没有任何iPAddress标识与连接匹配, 则应该拒绝连接。
路由器还必须验证缓存的TLS服务器证书, 使用subjectAltName dNSName标识, 如[RFC6125]中所述, 以避免MITM攻击。[RFC6125]中定义的规则和指南在此适用, 并考虑以下事项:
-
在使用TLS的rpki-rtr服务器和客户端实现中, 必须支持DNS-ID标识符类型(即subjectAltName扩展中的dNSName标识)。颁发rpki-rtr服务器证书的证书颁发机构必须支持DNS-ID标识符类型, 并且DNS-ID标识符类型必须存在于rpki-rtr服务器证书中。
-
rpki-rtr服务器证书中的DNS名称不应该包含通配符字符"*"。
-
使用TLS的rpki-rtr实现不能使用通用名称(CN-ID)标识符; CN字段可能存在于服务器证书的主题名称中, 但不能用于[RFC6125]中描述的规则内的身份验证。
-
客户端路由器必须将其"reference identifier"设置为rpki-rtr缓存的DNS名称。