跳到主要内容

6. 认证 prefixlen 数据 (可选)

6. 认证 prefixlen 数据 (可选)

单个可选 authenticator MAY 附加到 prefixlen file. 它是文件主体的 digest, 由覆盖 address range 的相关 RPKI certificate private key 签名. Canonicalization procedure 使用 UTF-8 和 CRLF; 文件末尾 MUST NOT 出现 trailing blank lines, OS end-of-file markers MUST NOT 被 digital signature 覆盖.

CMS signature 是 detached DER, 使用带 padding 的 Base64 编码, 并折行为 72 或更少字符. prefixlen content 和 SignerInfo SignedAttributes MUST 使用相同 digest algorithm. Signing certificate 的 address range MUST 覆盖 signed prefixlen file 中的所有 prefixes. Signing certificate MUST NOT 包含 AS Identifier Delegation extension, 其 IP Address Delegation extension MUST NOT 使用 inherit. CA MUST 为每次签署特定 prefixlen file 生成新的 EE certificate, private key SHOULD 只签署一个 prefixlen file.

Signature validation 要求 SubjectKeyIdentifier 匹配, signer certificate 位于 current manifest, certification path 有效, CMS SignedData signature 有效, eContentType OID 为 id-ct-prefixlenCSVwithCRLF (1.2.840.113549.1.9.16.1.57), 并且 IP resources 覆盖 prefixlen file 中的所有 address ranges. 所有步骤 MUST 成功. Authenticator MUST 作为文件末尾的 '#' comments 隐藏, 并由 '# RPKI Signature:' 和 '# End Signature:' 行包围. CMS signature 不覆盖 signature lines.