При использовании FTP сертификаты и списки отзыва размещаются на файловом сервере в произвольном формате и могут быть получены в любой момент с использованием ftp-команд. Аутентификация доступа производится по имени и паролю. Распространение данных с помощью FTP имеет наибольший уровень ограничений, так как протокол поддерживает только парольную аутентификацию, не поддерживая переадресации и масштабирования. При использовании HTTP сертификаты и списки отзыва размещаются на web-сервере также в виде файлов. Файл может быть загружен с клиентского места через web-интерфейс. Безопасность передачи данных осуществляется с помощью SSL/TLS. По сравнению с FTP данный протокол является предпочтительным, так как поддерживает переадресацию и масштабирование (путем создания виртуальных web-серверов).
Распространение сертификатов и списков отзыва с помощью средств электронной почты предполагает создание соответствующего типа содержимого MIME-сообщения. Существенным ограничением всех рассмотренных протоколов является невозможность получения с сервера сгруппированных данных (например, кросс-сертификаты).
|
|
|
Каталоги Х.500 |
Наиболее удачным с точки зрения применения в PKI протоколом является протокол LDAP. Он появился как облегченная версия протокола доступа к объектам сетевого каталога DAP, обслуживающего каталоги Х.500. Являясь представителем стандартов серии X, Х.500 ставил своей основной задачей создание универсального сетевого каталога, объединяющего в себе информацию об объектах различных гетерогенных сетей и систем. Единственное, что могло объединять такие объекты - это их физическая локализация и организационная структура. Эти параметры и были положены в основу системы именования Х.500, в стандартной спецификации включающей следующий набор полей: c=country, s=state_or_province, l=location, o=organization, ou=organization_unit, cn=common_name. Структура каталога формируется в соответствии в соответствии со структурой имени, позволяя быстро находить находить требуемую информацию путем спуска вниз по иерархии подкаталогов, соответствующих компонентам имени.
Система каталогов Х.500 имеет распределенную клиент-серверную архитектуру. Агент сетевого каталога, размещенный на клиенте (DUA), формирует запросы к серверной части, представленной в виде агентов сервиса сетевого каталога (DSA) с помощью протокола DAP. Если запрос не может быть разрешен в пространстве имен одного DSA, он переадресуется другому DSA с использованием протокола обмена DSP. "Теневое" копирование данных между серверными компонентами осуществляется по протоколу DISP.
Протокол LDAPvl
pkiUser OBJECT-CLASS ::= {
SUBCLASS OF {top}
KIND auxiliary
MAY CONTAIN {userCertificate}
ID joint-iso-ccitt(2) ds(5) objectClass(6) pkiUser(21)}
pkiCA OBJECT-CLASS ::= {
SUBCLASS OF {top}
KIND auxiliary
MAY CONTAIN {cACertificate |
certificateRevocationList |
authorityRevocationList |
crossCertificatePair}
Спецификация LDAP была расширена для работы с сертификатами путем добавления в схему каталога новых объектов. Появились объекты pkiUser, содержащий информацию о владельце сертификата и pkiCA, включающий информацию о ЦС. В отличие от pkiUser, который в качестве атрибутов может содержать только сертификаты конечных пользователей, структура объекта pkiCA значительно сложнее и может включать следующий набор атрибутов:
•Сертификат ЦС,
•Текущий список отозванных сертификатов,
•Текущий список отозванных сертификатов для ЦС,
•Кросс-сертификаты.
Кросс-сертификаты представлены в объекте сетевого каталога в виде пар forward_certificate/reverse_certificate. Эти сертификаты используются в процессе построения цепочки сертификатов на сетевых участках модели доверия.
Одной из проблем сетевых каталогов является аутентификация доступа к элементам данных. В стандартной спецификации LDAP поддерживает базовую аутентификацию с использованием имени и пароля. Для усиления аутентификации может быть использован комбинированный протокол доступа к объектам каталога ssl-ldap, реализующий аутентификацию средствами протокола ssl.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.
