Progettazione di CP e CPS per più CA gerarchiche

2

Sto pensando a come progettare e strutturare CP e CPS per più CA costruite in modo gerarchico e conformi a RFC 3647 .

La struttura delle CA in build da una CA radice a più CA subordinate, ciascuna delle quali offre diversi profili di servizio e certificato PKI:

CA root - > CP0 e CPS0

  • Sub CA 1 - > CP1 e CPS1
    • emissione di certificati VPN
  • Sub CA 2 - > CP2 e CPS2
    • emissione di certificati client
    • emissione di certificati RA
  • Sub CA 3 - > CP3 e CPS3
    • emissione di certificati per l'autenticazione con estensione personalizzata
  • Sub CA 4 - > CP4 e CPS4
    • emissione di certificati per dispositivi
  • Sub CA 5 - > CP5 e CPS5
    • emissione di certificati per carte di pagamento
    • emissione di certificati per l'autorizzazione di pagamento
    • emissione di certificati per l'accesso commerciante
  • ecc ...

Ora so cos'è OID e come definire il CP nel certificato insieme all'URL in CPS. Attualmente solo la CA radice ha definito "qualsiasi politica" con OID 2.5.29.32.0. Ogni CA subordinata ha una propria definizione di OID e pertanto dovrebbe avere il proprio CP e CPS per i servizi PKI che fornisce. Ma con un numero crescente di Sub CA è davvero difficile mantenere tutti questi CP e CPS.

Qual è la migliore pratica su come gestire il complesso punto di vista degli ambienti PKI di CP e CPS?

Devo iniziare a utilizzare OID sul livello del profilo del certificato e non sulla CA secondaria? E in tal caso crea uno o due CP con la definizione di tutti gli OID relativi ai certificati che possono essere emessi?

In questo caso può esserci un CP con:

  • CP - > OID1
  • emissione di certificati VPN - > Oid2
  • emissione di certificati client - > Oid3
  • emissione di certificati RA - > OID4
  • emissione di certificati per l'autenticazione con estensione personalizzata - > OID5
  • emissione di certificati per dispositivi - > OID6
  • emissione di certificati per carte di pagamento - > OID7
  • emissione di certificati per l'autorizzazione di pagamento - > OID8
  • emissione di certificati per l'accesso commerciante - > OID9

Quindi posso mantenere solo una versione di CP e diverse versioni di CPS relative ai servizi PKI diverse l'una dall'altra o anche solo una CPS per l'intero ambiente?

    
posta user1563721 16.10.2017 - 20:00
fonte

1 risposta

1

Bene, il tuo design ha un senso per me e potrebbe essere valido. Se ogni politica ha le proprie procedure univoche (definite in CPS), potrebbe essere necessario creare tante politiche quante sono le diverse politiche definite. Anche se operano sotto la stessa autorità di gestione PKI.

La tua domanda richiede alcune ricerche per esaminare le procedure per ciascun tipo di certificato. Ad esempio, c'è qualche differenza tra issuing VPN certificates e issuing certificates for authentication with custom extension ? Che tipo di differenza? Di solito, la differenza più importante include (ma non limitato a):

  • Il modo in cui il richiedente il certificato è autenticato (ad esempio, può richiedere il certificato tramite e-mail, o attraverso riunioni faccia a faccia e l'assegnazione di un documento, i requisiti che il richiedente deve soddisfare, ecc.)
  • Il modo in cui il certificato viene consegnato e archiviato (ad esempio, la norma richiede di archiviare i certificati solo sulle smart card)
  • Il criterio consente il recupero delle chiavi?
  • ...

In altre parole, sezioni §4.3 e §4.4 può essere diverso per un singolo PMA (i restanti paragrafi sono solitamente gli stessi in tutte le politiche) e ogni insieme richiederà un CP separato. Quindi, se due o più CA operano sotto lo stesso CPS (non hanno differenze significative che potrebbero essere fondamentali per il software in cui possono essere presentati più certificati, ma solo specifici sono accettati in base a un criterio), allora è possibile unire e assegnare lo stesso CP / CPS a queste CA.

Ad esempio, non sembra avere differenze notevoli tra CP1 e CP4. Potresti considerare di unirli in un CP. CP3 ha molto poco senso in termini di CP. Il fatto che il certificato includa un'estensione extra significa letteralmente nulla, perché (molto probabilmente) non impiega pratiche e procedure distinte. Potresti considerare di sbarazzarti di questo CP. CP2 può essere unito a CP1 e / o CP4. CP5 è l'unica politica che sembra richiedere un CP separato, perché questi certificati diminuiscono (molto probabilmente) sotto il più alto livello di assicurazione e i requisiti più rigidi.

Quando si esaminano tutti i criteri, si può finire con solo due criteri: CP1 assegnato a SubCA1-SubCA4 e CP2 assegnati a SubCA5 con OID corrispondenti (OID1 e OID2).

Per quanto riguarda la mappatura tra CP e CPS. È possibile creare un singolo documento CPS e descrivere tutte le politiche nello stesso documento. Come è stato detto, la maggior parte delle sezioni (eccetto §4.3 e §4.4) saranno le stesse in tutte le politiche, perché operano sotto la stessa PMA. E fornire separato §4.3 e §4.4 per ogni politica.

Inoltre, vorrei esaminare le voci per CP5. Ogni voce può avere OID della politica differente. I certificati per l'accesso al commerciante e l'autorizzazione di pagamento possono sembrare uguali, ma ci sarà un software che verificherà se il certificato presentato rientra nella categoria specificata (anche se sono emessi sotto lo stesso CP e CPS). Non sai come vengono utilizzati nel tuo ambiente.

Suggerimento: non dovresti definire Certificate Policies estensione a livello di CA principale. Un'assenza di Certificate Policies estensione sul certificato radice implica Any Policy per esso. La prima apparizione Certificate Policies dovrebbe essere al livello 2 nella gerarchia. Molto probabilmente, tutte le CA hanno lo stesso controllo amministrativo e non richiedono una politica separata per le CA. Tuttavia, se la CA radice (o CA subordinate) viene esternalizzata, potrebbe essere necessario passare alla gerarchia a 3 livelli con la CA Policy dedicata sotto root che definisce il criterio attribuito alle CA a 3 livelli.

    
risposta data 16.10.2017 - 21:54
fonte