Skip to main content

2.2. New Section 4.5 - Extended Key Usage (扩展密钥用途)

2.2. New Section 4.5 - Extended Key Usage (扩展密钥用途)

以下小节介绍了授权代表最终实体集中生成密钥对的 CMP 服务器的新扩展密钥用途。

[RFC4210] 的 Section 4.4.3 之后插入本节:

4.5. Extended Key Usage

扩展密钥用途 (extended key usage, EKU) 扩展指示已认证密钥对可用于的目的。因此, 它将证书的使用限制为特定应用程序。

CA 可能希望将其部分职责委托给其他 PKI 管理实体。本节提供了一种机制, 既可以证明此委托, 又可以启用自动检查此委托授权的方法。此类委托也可以通过其他方式表达, 例如显式配置。

为了为 CA 向另一个实体委托角色提供自动验证, 用于 CMP 消息保护或用于集中密钥生成的签名数据的证书必须由委托 CA 颁发, 并且必须包含相应的 EKU。这证明了该实体通过委托 CA 在给定角色中行动的授权, 如下所述。

用于这些 EKU 的 OID 为:

id-kp-cmcCA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 27 }

id-kp-cmcRA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 28 }

id-kp-cmKGA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 32 }

注意: [RFC6402] 的第 2.10 节为基于 CMS 的证书管理 (Certificate Management over CMS, CMC) CA 和 CMC RA 指定了 OID。由于 CA 和 RA 的功能不特定于任何证书管理协议 (如 CMC 或 CMP), 这些 EKU 被 CMP 重用。

id-kp-cmKGA EKU 的含义如下:

CMP KGA: CMP 密钥生成机构 (key generation authorities) 是 CA 或由 id-kp-cmKGA 扩展密钥用途标识。CMP KGA 知道它代表最终实体生成的私钥。这是一项非常敏感的服务, 需要特定的授权, 默认情况下授权在 CA 证书本身。CA 可以通过将 id-kp-cmKGA 扩展密钥用途放置在用于验证生成的私钥来源的证书中来委托其授权。授权也可以通过最终实体的本地配置来确定。

Last updated on