2.6. Replace Section 5.1.3.4 - Multiple Protection (多重保护)

[RFC4210] 的 Section 5.1.3.4 描述了嵌套消息 (nested message)。本文档还支持在 PKI 管理实体之间使用嵌套消息进行 PKI 消息的批量传递传输, 并支持混合主体类型。

用以下文本替换该节的文本:

当接收到受保护的 PKI 消息时, PKI 管理实体 (例如 RA) 可以转发该消息并添加自己的保护 (这是 MAC 或签名, 取决于 RA 和 CA 之间共享的信息和证书)。此外, 可以聚合多个 PKI 消息。此类消息有几个用例。

RA 确认已验证和授权消息, 并转发未更改的原始消息。
RA 在转发之前以某种方式修改消息 (例如, 添加或修改特定字段值或添加新扩展); 然后, 它可以创建自己所需的 PKIBody。如果 RA 对 PKIMessage 的更改破坏了证书请求的 POP (proof of possession), 则 RA 必须将 popo 字段设置为 RAVerified。它可以在嵌套消息的 PKIHeader 的 generalInfo 字段中包含来自 EE 的原始 PKIMessage (例如, 以适应 CA 希望检查原始 EE 消息上的 POP 或其他信息的情况)。在这种情况下要使用的 infoType 是 {id-it 15} (有关 id-it 的值, 请参见 Section 5.3.19), infoValue 是 PKIMessages (内容必须与 PKIBody 中的消息顺序相同)。
PKI 管理实体收集要在同一方向转发的多个消息, 并以批处理方式转发它们。请求消息可以作为批处理向上游传输 (朝向 CA); 响应或通知消息可以作为批处理向下游传输 (朝向 RA 但不朝向 EE)。例如, 这可以在桥接两个 PKI 管理实体之间的离线连接时使用。

这些用例通过将消息嵌套在新的 PKI 消息中来实现。使用的结构如下:

NestedMessageContent ::= PKIMessages

2.6. Replace Section 5.1.3.4 - Multiple Protection (多重保护)​