|
|
 |
 |
|
 X.509 CRL-Erweiterungen
| Zertifikatsmanagement
|
X.509 Attributszertifikate |
| |
|
|
|
Ein Attributszertifikat ist wie ein Public-Key-Zertifikat (Identitätszertifikat) eine signierte Struktur. Der Aussteller ist eine Attribute Authority (AA) wobei kein Schlüsselpaar an eine Identität gebunden wird, sondern bestimmte Rechte an den Inhaber eines Identitätszertifikates.
|
|
 |
|
Zertifikat |
|
Format des Attributszertifikates |
 |
Version Number: indiziert Format und damit den erlaubten Inhalt, aktuelle Version ist 2; |
|
Serial Number: eindeutige Seriennummer des Zertifikats; |
|
Signaturalgorithmus: der verwendete Algorithmus der Signatur über das Zertifikat; |
|
Aussteller: DN der AA; |
|
Gültigkeit: 2 Zeitpunkte, zwischen denen das Zertifikat Gültigkeit besitzt; |
|
Inhaber: Referenz auf Aussteller und Seriennummer des zugehörigen Public-Key-Zertifikats (Identitätszertifikat); |
|
Attribute: beinhaltet die eigentlichen Attribute, bzw. Rechte die zertifiziert werden; |
|
Issuer Unique ID: eindeutige ID des Ausstellers; |
|
Extensions: erlauben weitere Informationen ohne das Zertifikat ändern zu müssen; |
|
|
Die Erweiterungen decken unterschiedliche Themenbereiche ab. Die Basic Privilege Management Extensions definieren Information die Gewährung von Rechten betreffend. Die Privilege Revocation informieren über Verteilungspunkt der Widerrufsinformation, während die Source of Authority Erweiterungen Information über den Ursprung der Gewährung bereitstellen. Zusätzlich kann ein Verteilungspunkt angegeben sein, wo ein Attributzertifikat mit den Rechten einer, in diesem Zertifikat zugeordneten, Rolle liegt, sowie Erweiterungen, die erlauben die Delegierung von Rechten einzuschränken. Die Source of Authority ist für den Prüfer des Zertifikates die Stelle mit der ultimativen Verantwortlichkeit für die Gewährung von Rechten, gleich einer Root-CA.
|
|
|
Time Specific: beschränkt die Periode, in der das Recht ausgeübt werden kann; |
|
Targeting Information: beschränkt das Recht auf bestimmte Anwendungen; |
|
User Notice: erlaubt dem Benutzer Informationen über Bedingungen und Restriktionen bei der Verwendung des Zertifikates aufzuklären; |
|
Acceptable Privilege Policies: diese kritische Erweiterung definiert die Menge an Richtlinien, die berücksichtigt werden müssen; |
|
CRL Distribution Point: CRL oder ACRL Verteilungspunkte; |
|
No Rev Avail: definiert explizit, dass keine Widerrufsinformation verfügbar ist; |
|
SOA ID: (source of authority) definiert, dass der Inhaber des Zertifikats als SOA agieren darf; |
|
Attribute Descriptor: kann verwendet werden, um Rechteattribute und Regeln, die bei einer Delegation anzuwenden sind, zu definieren; |
|
Role Specification Certification ID: "Link" auf ein Role Specification Certificate; |
|
Basic Attribute Constraints: Identifiziert, ob der Inhaber eines Attributzertifikates andere Attributszertifikate ausstellen darf; |
|
Delegated Name Constraints: beschränkt den Namensraum von Attributszertifikaten im Zertifizierungspfad; |
|
Acceptable Certificate Policies: identifiziert die Richtlinien, die bei Ausstellung eines Attributzertifikates berücksichtigt werden müssen; |
|
Authority Attribute ID: Pointer zurück auf das Attributzertifikat einer AA; |
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
