Quale schema LDAP è raccomandato per PKI?

9

Nella mia ricerca ho trovato alcune RFC che non sono state aggiornate da più di un decennio, ad esempio draft-ietf-pkix-ldap-CRL-schema-01 .

Ho anche esplorato diverse directory pubbliche utilizzate in PKI (ad esempio x500.bund.de ) e ho stabilito che hanno scelto di non attenersi a tale RFC. Anche altre directory che ho trovato non hanno seguito questa raccomandazione.

A questo punto ho l'impressione che le persone facciano il proprio schema, poiché non sono riuscito a trovare un certo consenso al riguardo.

Quale materiale di lettura consigli per determinare uno schema per PKI? E nello stesso contesto, se ti capita di eseguire un server di questo tipo: quale schema hai scelto e perché?

    
posta ralien 05.01.2016 - 21:36
fonte

2 risposte

1

Suppongo che tu stia tentando di implementare il tuo servizio di certificato backed LDAP. Lo schema di corrispondenza migliore per questo scopo è lo schema coseno disponibile in tutte le installazioni di OpenLDAP. Se non si desidera installare il server openldap solo per ottenere lo schema, è sufficiente estrarlo dal codice sorgente qui: link . Lo schema coseno può essere trovato nella cartella servers\slapd\schema nella directory root del codice sorgente.

Poiché non conosco tutti i dettagli del tuo requisito, suppongo che al minimo set di tipi di attributo che dovresti archiviare per un PKI sarebbe: certificati pubblici dell'utente, certificati e certificato CA liste di revoca. Questi attributi sono disponibili in questo schema.

Nel caso in cui sia necessario apportare modifiche e personalizzazioni specifiche, è sempre possibile aggiungere il proprio schema di supporto con attributi o oggetti aggiuntivi con una combinazione di attributi personalizzata. Vedi questo riferimento per maggiori dettagli - link . Ho dovuto farlo in diverse occasioni, ed è difficile ottenere subito la sintassi, ma è semplice una volta capito.

    
risposta data 20.06.2016 - 11:56
fonte
0

La maggior parte delle distribuzioni utilizza RFC 4523 che specifica anche gli attributi certificateRevocationList e authorityRevocationList .

    
risposta data 17.07.2018 - 12:19
fonte

Leggi altre domande sui tag