|
 ASN.1 und OID
| PKI-Standard: weitere
|
PKI-Standards PKIX |
| |
|
|
|
In der IETF beschäftigt sich seit 1995 eine, PKIX genannte, Arbeitsgruppe
mit der Standardisierung einer x.509 basierten PKI um Voraussetzungen für einen Einsatz im Internet zu schaffen. Dementsprechend viele RFCs wurden bislang geschaffen.
PKIX identifiziert mehrere Grundfunktionen einer PKI: die Registrierung, Initialisierung, Zertifizierung, Schlüsselgenerierung, Schlüsselwiederherstellung, Schlüsselupdate, Cross-Zertifizierung, Widerruf sowie der Veröffentlichung und Verteilung von Zertifikats- und Widerrufsinformationen. Näheres zu diesen Themen siehe in den PKI Grundlagen.
Zur Unterstützung dieser Services entwickelt PKIX Spezifikationen aus hauptsächlich 5 Bereichen.
|
|
 |
x509v3 Zertifikate und v2 Widerrufslisten |
|
Operational Protocols |
|
Management Protocols |
|
Policy Outlines |
|
Timestamp and Data Certification Services |
|
Zertifikate und Widerrufslisten |
In RFC 2459 bzw. RFC 3280 wird X.509v3 als Zertifikatsformat und die CRL version 2 als Format für Widerrufslisten spezifiziert. Dafür wird ein Profil für x.509 Public-Key-Zertifikate spezifiziert, welche die Extensions definiert, die für Internet-Anwendungen nützlich sind. Ein besonderes Profil ist das Qualified Certificates Profile im RFC 3039. Attributszertifikate sind in RFC 3281 abgehandelt.
|
 |
 |
|
Zertifikat |
|
Protokolle für den Betrieb |
Diese stellen den darunterliegenden Transportmechanismus, um Zertifikate, Widerrufslisten sowie Management und Status-Information zu verschiedenen Komponenten der PKI zu transportieren, bereit und berücksichtigen die spezifischen Anforderungen von LDAP, HTTP, FTP und X.500.
LDAP v2 for certificate and CRL storage (RFC 2587),
FTP and HTTP for transport of PKI operations (RFC 2585)
Dazuzuzählen ist auch OCSP, das Online Certificate Status Protocol (RFC 2560), sowie Simple Certificate Validation Protokoll (SCVP).
|
Management Protokolle |
Die Management Protokolle übernehmen den Transfer von Request und Informationen bzw. Kommunikation zwischen verschiedenen Komponenten oder Entitäten einer PKI im Rahmen des Zertifikatsmanagements, wie Registration Requests, Cross Certification Requests, oder Erstellung von Widerrufslisten, und deren Antworten.
Certificate Management Protocol (CMP) (RFC 2510),
Certificate Management Request Format (CRMF) (RFC 2511),
Certificate Management Messages over CMS (CMC) (RFC 2797)
|
Inhalt von Zertifizierungsrichtlinien |
Dieser Teil von PKIX umreißt die wichtigsten Punkte, die bei Ausarbeitung einer Cerificate Policy (CP)
und Certification Practises Statements (CPS)
beachtet werden müssen.
Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 2527)
|
Zeitstempel und Notariatservice |
Zeitstempel und Notariatsservices sind eigentlich schon Anwendungen einer PKI. In Internet X.509 Public Key Infrastructure Time Stamp Protocols (RFC 3161) und Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols (RFC 3029) werden Protokolle für die Kommunikation mit einem Zeitstempeldienst und ein Format für die Daten definiert.
|
|
|
