Сертификаты удостоверяющих центров корпоративной PKI
Сертификаты удостоверяющих центров корпоративной PKI
Сертификаты удостоверяющих центров корпоративной PKI распространяют простые отношения доверия. Информация о политике применения сертификатов содержится в некритичном дополнении, чтобы позволить легальным субъектам свободно принимать сертификаты друг друга. Соответствие политик устанавливать не обязательно, так как удостоверяющие центры издателя и субъекта находятся в одной и той же организации. Поскольку отношения доверия практически не ограничиваются, в этих сертификатах не задаются ограничения на политики и имена. В содержании сертификата УЦ корпоративной PKI рекомендуется [70]:
1 использовать в качестве имени субъекта отличительное имя (отличительное имя стандарта X.500 или DNS-имя); имя субъекта должно быть образовано только из рекомендуемых атрибутов имен каталогов, а любая часть имени субъекта, совпадающая с именем издателя, должна быть задана тем же типом строки;
2 устанавливать срок действия, начинающийся с момента выпуска сертификата и заканчивающийся тогда, когда истекает срок действия всех сертификатов, цифровые подписи которых могут быть проверены при помощи ключа в данном сертификате. Нежелательно устанавливать срок действия свыше 5 лет;
3 не использовать открытые ключи, связанные с алгоритмами Диффи-Хэллмана, эллиптических кривых Диффи-Хэллмана и обмена ключами; если используется RSA-ключ, то в качестве его назначения не должна указываться транспортировка ключей;
4 задавать дополнение Basic Constraints (основные ограничения) как критичное; устанавливать параметр cA в значение TRUE ; если корпоративная PKI является иерархической, то указывать значение длины пути;
5 задавать дополнение Key Usage (назначение ключа) как критичное, указывать значения: подписание сертификата открытого ключа и подписание САС;
6 задавать дополнение Certificate Policies (политики применения сертификатов) как некритичное; в нем должны быть перечислены все политики, которые УЦ субъекта может включать в подчиненные сертификаты; перечисленные политики не должны содержать никаких спецификаторов;
7 задавать дополнение Subject Key Identifier (идентификатор ключа субъекта) как некритичное; его значение должно сравниваться со значением дополнения Authority Key Identifier (идентификатор ключа УЦ) в сертификатах, изданных УЦ субъекта;
8 задавать дополнение Subject Information Access (доступ к информации о субъекте) как некритичное и указывать репозиторий, который содержит сертификаты, изданные субъектом.
В соответствии с требованиями конкретной локальной среды сертификат может содержать и другие дополнения, они должны быть помечены как некритичные.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
10.2.2. Сертификаты
10.2.2. Сертификаты В Linux используются традиционные механизмы обеспечения безопасности Unix для пользователей и групп. Идентификаторы пользователя (uid) и группы (gid) — это целые числа[16], которые отображаются на символические имена пользователей и групп в файлах /etc/passwd и /etc/group,
4.2. Архитектура корпоративной системы защиты информации
4.2. Архитектура корпоративной системы защиты информации Основной задачей при создании защищенной инфраструктуры компании (см. рис. 4.1) является реализация надежного контроля доступа на уровне приложений и сети в целом. При этом логический контроль доступа на уровне сети
О вымысле, о фактах, о корпоративной ИТ-культуре и о правде, которая колет глаза Amazon Сергей Голубицкий
О вымысле, о фактах, о корпоративной ИТ-культуре и о правде, которая колет глаза Amazon Сергей Голубицкий Опубликовано 06 ноября 2013 Брэд Стоун создает для Bloomberg Businessweek примерно то же, что ваш покорный слуга в «Бизнес-журнале», — корпоративные
Путешествие Альегры по волнам корпоративной фанаберии Сергей Голубицкий
Путешествие Альегры по волнам корпоративной фанаберии Сергей Голубицкий Опубликовано 06 мая 2013 Имя Николаса Альегры хорошо знакомо яблофанской тусовке. Вернее, не имя, а его кличка — comex. В июле 2011 года юный (тогда — 19летний) и — по отзывам
Программа Центров компетенции клиента
Программа Центров компетенции клиента В рамках программы Центров компетенции клиента (Customer Competency Centers, ССС), компания SAP поддерживает создание таких центров у клиентов компании SAP, что позволяет SAP напрямую взаимодействовать со своими клиентами. Такие центры служат
Начало событий: В обход корпоративной сети
Начало событий: В обход корпоративной сети Для того чтобы отделить свои системы от сети музея, Джеральд должен был создать свою сеть и нанять своего системного администратора. На это требовалась добавка к его бюджету в виде приличного количества долларов. Для одобрения
Модель строгой иерархии удостоверяющих центров
Модель строгой иерархии удостоверяющих центров Строгая иерархия удостоверяющих центров обычно графически изображается в виде древовидной структуры с корнем наверху и ветвями, спускающимися вниз и заканчивающимися листьями. В этом перевернутом дереве корень
Нестрогая иерархия удостоверяющих центров
Нестрогая иерархия удостоверяющих центров Идея строгой иерархии, когда все доверие при любых обстоятельствах базируется на корне иерархии, подходит не для всех областей PKI. "Нестрогая иерархия" удостоверяющих центров позволяет доверяющим сторонам, сертифицированным
Сертификаты PGP
Сертификаты PGP Система PGP (Pretty Good Privacy) [40] разработана американским программистом Филиппом Циммерманном для защиты секретности файлов и сообщений электронной почты в глобальных вычислительных и коммуникационных средах. Ф. Циммерманн предложил первую версию PGP в начале
Сертификаты SET
Сертификаты SET Протокол SET, который базируется на техническом стандарте, разработанном компаниями VISA и Master Card, обеспечивает безопасность электронных расчетов по пластиковым картам через Интернет: гарантирует конфиденциальность и целостность информации о платежах,
Сертификаты удостоверяющих центров
Сертификаты удостоверяющих центров Эти сертификаты выпускаются для субъектов, являющихся удостоверяющими центрами, и образуют узлы пути сертификации [123]. Открытые ключи в этих сертификатах используются для верификации цифровых подписей на сертификатах других
Сертификаты удостоверяющих центров в среде нескольких корпоративных PKI
Сертификаты удостоверяющих центров в среде нескольких корпоративных PKI Более сложные отношения доверия отражают сертификаты удостоверяющих центров, которые участвуют во взаимодействии между разными корпоративными PKI. Информация о политике применения сертификатов
Сертификаты мостовых удостоверяющих центров
Сертификаты мостовых удостоверяющих центров К содержанию сертификатов мостовых удостоверяющих центров применимо большинство требований, характерных для сертификатов удостоверяющих центров, используемых при взаимодействии разных PKI. Но поскольку пространства имен,
Архитектура корпоративной PKI
Архитектура корпоративной PKI В корпоративной PKI отношения доверия устанавливаются между удостоверяющими центрами одной и той же организации. Организация может быть компанией, государственным предприятием, федеральным агентством или сообществом пользователей. В
Перспективы планшетов Microsoft Surface в корпоративной ИТ-среде Валерий Бычков
Перспективы планшетов Microsoft Surface в корпоративной ИТ-среде Валерий Бычков Опубликовано 27 февраля 2013 Осенью появился первый вариант планшета на основе Windows RT, которая является версией Windows 8 для устройств, работающих на ARM-процессорах, и не