Skip to main content

2.1. New Section 1.1 - Changes Since RFC 4210 (RFC 4210 以来的更改)

2.1. New Section 1.1 - Changes Since RFC 4210 (RFC 4210 以来的更改)

以下小节描述了对 [RFC4210] 的功能更新。它们始终与基础规范相关。因此, 尽可能使用对 [RFC4210] 中原始章节的引用。

[RFC4210] 当前的 Section 1 之后插入本节:

1.1. Changes Since RFC 4210

本文档进行了以下更新:

  • 为各种 CMP 服务器类型 (例如, 注册机构和证书颁发机构) 添加新的扩展密钥用途 (extended key usages), 以表达在证书中标识的实体的授权, 该证书包含相应的扩展密钥用途扩展, 并充当指定的 PKI 管理实体。

  • 扩展多重保护 (multiple protection) 的描述以涵盖其他用例, 例如消息的批处理。

  • 提供 EnvelopedData 作为 EncryptedValue 旁边的首选选择, 以更好地支持 CMP 中的密码敏捷性 (crypto agility)。请注意, 根据 [RFC4211] 第 2.1 节第 9 点, EncryptedValue 结构的使用已被弃用, 转而使用 EnvelopedData 结构。[RFC4211] 为 EncryptedKey 结构提供了 EncryptedValue 和 EnvelopedData 的选择, 以便迁移到 EnvelopedData。出于完整性和一致性的原因, EncryptedValue 类型已在 [RFC4210] 中的所有出现处进行了交换。这包括对集中生成的私钥的保护, 证书的加密以及对撤销密码短语的保护。为了正确区分对 EnvelopedData 的支持而不是 EncryptedValue, 在事务应该使用 EnvelopedData 的情况下引入了 CMP 版本 3。

  • 在 CertStatus 中提供可选的 hashAlg 字段, 该字段支持使用签名算法签名的证书的确认, 例如, 为即将到来的后量子算法做准备, 而不是直接指示用于计算 certHash 的特定哈希算法。

  • 添加新的通用消息类型以请求 CA 证书, 根 CA 更新, 证书请求模板或证书撤销列表 (Certificate Revocation List, CRL) 更新。

  • 将轮询 (polling) 的使用扩展到 p10cr, certConf, rr, genm 和错误消息。

  • 删除 [RFC4210] 附录 D.2 中的强制算法配置文件, 并参考 CMP 算法 [RFC9481] 的第 7 节。

Last updated on