2.24. Add Section 8.6 - Trust Anchor Provisioning Using CMP Messages (使用 CMP 消息配置信任锚点)

以下小节解决了在 PKI 管理操作中带内配置新信任锚点所产生的风险。

在新的 Section 8.5 之后插入此节:

信任锚点的提供者 (可能是参与其客户端配置管理的 RA) 不得在 CMP 消息中包含要信任的 CA 证书, 除非特定的部署场景可以确保接收的 EE 信任这些证书是适当的, 例如通过将它们加载到其信任存储中。

每当 EE 在 CMP 消息中接收到要用作信任锚点的 CA 证书 (例如在证书响应的 caPubs 字段中或在一般响应中) 时, 它必须使用现有的信任锚点信息正确验证消息发送者, 而不需要消息中包含的新信任锚点。

此外, EE 必须验证发送者是信任锚点的授权来源。此授权由本地策略管理, 通常使用共享秘密信息或使用由明确授权用于此目的的 PKI 颁发的证书进行基于签名的消息保护来指示。

2.24. Add Section 8.6 - Trust Anchor Provisioning Using CMP Messages (使用 CMP 消息配置信任锚点)​