Progettazione di CP e CPS per più CA gerarchiche

Bene, il tuo design ha un senso per me e potrebbe essere valido. Se ogni politica ha le proprie procedure univoche (definite in CPS), potrebbe essere necessario creare tante politiche quante sono le diverse politiche definite. Anche se operano sotto la stessa autorità di gestione PKI.

La tua domanda richiede alcune ricerche per esaminare le procedure per ciascun tipo di certificato. Ad esempio, c'è qualche differenza tra issuing VPN certificates e issuing certificates for authentication with custom extension ? Che tipo di differenza? Di solito, la differenza più importante include (ma non limitato a):

• Il modo in cui il richiedente il certificato è autenticato (ad esempio, può richiedere il certificato tramite e-mail, o attraverso riunioni faccia a faccia e l'assegnazione di un documento, i requisiti che il richiedente deve soddisfare, ecc.)
• Il modo in cui il certificato viene consegnato e archiviato (ad esempio, la norma richiede di archiviare i certificati solo sulle smart card)
• Il criterio consente il recupero delle chiavi?
• ...

In altre parole, sezioni §4.3 e §4.4 può essere diverso per un singolo PMA (i restanti paragrafi sono solitamente gli stessi in tutte le politiche) e ogni insieme richiederà un CP separato. Quindi, se due o più CA operano sotto lo stesso CPS (non hanno differenze significative che potrebbero essere fondamentali per il software in cui possono essere presentati più certificati, ma solo specifici sono accettati in base a un criterio), allora è possibile unire e assegnare lo stesso CP / CPS a queste CA.

Ad esempio, non sembra avere differenze notevoli tra CP1 e CP4. Potresti considerare di unirli in un CP. CP3 ha molto poco senso in termini di CP. Il fatto che il certificato includa un'estensione extra significa letteralmente nulla, perché (molto probabilmente) non impiega pratiche e procedure distinte. Potresti considerare di sbarazzarti di questo CP. CP2 può essere unito a CP1 e / o CP4. CP5 è l'unica politica che sembra richiedere un CP separato, perché questi certificati diminuiscono (molto probabilmente) sotto il più alto livello di assicurazione e i requisiti più rigidi.

Quando si esaminano tutti i criteri, si può finire con solo due criteri: CP1 assegnato a SubCA1-SubCA4 e CP2 assegnati a SubCA5 con OID corrispondenti (OID1 e OID2).

Per quanto riguarda la mappatura tra CP e CPS. È possibile creare un singolo documento CPS e descrivere tutte le politiche nello stesso documento. Come è stato detto, la maggior parte delle sezioni (eccetto §4.3 e §4.4) saranno le stesse in tutte le politiche, perché operano sotto la stessa PMA. E fornire separato §4.3 e §4.4 per ogni politica.

Inoltre, vorrei esaminare le voci per CP5. Ogni voce può avere OID della politica differente. I certificati per l'accesso al commerciante e l'autorizzazione di pagamento possono sembrare uguali, ma ci sarà un software che verificherà se il certificato presentato rientra nella categoria specificata (anche se sono emessi sotto lo stesso CP e CPS). Non sai come vengono utilizzati nel tuo ambiente.

Suggerimento: non dovresti definire Certificate Policies estensione a livello di CA principale. Un'assenza di Certificate Policies estensione sul certificato radice implica Any Policy per esso. La prima apparizione Certificate Policies dovrebbe essere al livello 2 nella gerarchia. Molto probabilmente, tutte le CA hanno lo stesso controllo amministrativo e non richiedono una politica separata per le CA. Tuttavia, se la CA radice (o CA subordinate) viene esternalizzata, potrebbe essere necessario passare alla gerarchia a 3 livelli con la CA Policy dedicata sotto root che definisce il criterio attribuito alle CA a 3 livelli.