L'accesso alle informazioni dell'autorità è un'estensione X.509 che descrive dove la parte relying può andare a scaricare il certificato di autorità. Questo è descritto in dettaglio in RFC 5280 . Puoi anche trovare informazioni sulla struttura del identificatore della chiave di autorità .
La firma incrociata è quando un'altra CA rilascia una firma su un certificato che è già stato firmato da un'altra CA. Ecco un esempio:
Lavoro per l'organizzazione A e ho il mio certificato firmato dalla CA di emissione di PKI A. La mia fiducia Ancoraggio è la CA radice di PKI A. Ho un problema, perché voglio autenticare il nostro partner, l'organizzazione B, ma tutti i loro certificati sono emessi da PKI B. Posso ottenere la CA radice di PKI B per rilasciare una firma incrociata rispetto al certificato di root di PKI A. Ora la catena logica termina con la CA radice di PKI B: IE Oggetto Cert - > Sub CA (A) - > CA principale (A) - > CA principale (B).
La firma incrociata non è in realtà implementata all'interno dei certificati. Devo utilizzare le voci della directory LDAP per implementare la firma incrociata, motivo per cui gli AIA e gli AID sono così importanti per la firma incrociata.
Le voci dello schema standard della directory LDAP per PKI sono definite in RFC4523 . Questi includono la voce per una CA PKI. Questa voce, a sua volta, include l'attributo crossCertificatePair. Questo contiene la coppia di certificati emessi dalla CA con firma incrociata. Nell'esempio precedente la voce per CA radice (A) conterrà il certificato con firma incrociata per la CA principale (A) e il certificato di CA principale (B).
Sezione 6 di RFC 5280 include l'algoritmo per eseguire la convalida del percorso del certificato.