Общая схема работы центра сертификации СА
1)СА генерирует собственные ключи и формирует сертификаты СА, предназначенные для проверки сертификатов пользователей;
2)пользователи формируют запросы на сертификацию и доставляют их СА тем или иным способом;
3)СА на основе запросов пользователей формирует сертификаты пользователей;
4)СА формирует и периодически обновляет списки отмененных сертификатов CRL (Certificate Revocation List);
5)сертификаты пользователей, сертификаты СА и списки отмены CRL публикуются СА (рассылаются пользователям либо помещаются в общедоступный справочник).
Три базовых модели сертификации
1)иерархическая модель сертификации, основанная на иерархической цепи сертификатов;
2)модель кросс-сертификации (подразумевает взаимную сертификацию);
3)сетевая (гибридная) модель сертификации, включающая элементы иерархической и взаимной сертификации.
Иерархическая архитектура системы управления сертификатами имеет следующие достоинства:
1)иерархическая архитектура аналогична существующим административным ведомственным организационно-управляющим структурам и может строиться с учетом этого;
2)иерархическая архитектура определяет простой алгоритм поиска, построения и верификации цепочек сертификатов для всех взаимодействующих сторон;
3)для обеспечения взаимодействия двух пользователей одному из них достаточно предоставить другому свою цепочку сертификатов, что
уменьшает проблемы, связанные с их взаимодействием.
Для иерархической архитектуры характерен следующий недостаток - для обеспечения взаимодействия всех конечных пользователей должен быть только один корневой доверенный СА.
Сетевая архитектура системы управления сертификатами обладает следующими достоинствами:
1)она более гибкая и способствует установлению непосредственных доверенных взаимоотношений, существующих в современном бизнесе;
2)конечный пользователь должен доверять по крайней мере только центру, издавшему его сертификат, и на этом основаны отношения доверия в системе;
3)возможна непосредственная кросс-сертификация различных удостоверяющих СА, пользователи которых часто взаимодействуют между собой, что сокращает процесс верификации цепочек;
4)процесс восстановления после компрометации ключа удостоверяющего СА намного упрощается по сравнению с иерархической структурой.
Однако сетевая архитектура управления сертификатами имеет следующие недостатки:
1)алгоритм поиска и построения цепочек сертификатов для всех взаимодействующих сторон может быть очень сложным;
2)пользователь не может предоставить цепочку, которая обеспечивает проверку его сертификата всеми остальными пользователями.
В PKI различают четыре типа сертификатов:
1.Сертификат конечного пользователя (описанный выше). 2.Сертификат СА. Должен быть доступен для проверки ЭЦП сертификата
конечного пользователя и подписан секретным ключом СА верхнего уровня, причем эта ЭЦП также должна проверяться, для чего должен быть доступен сертификат СА верхнего уровня, и т.д.
3.Самоподписанный сертификат. Является корневым для всей PKI и доверенным по определению - в результате проверки цепочки сертификатов СА выяснится, что один из них подписан корневым секретным ключом, после чего процесс проверки ЭЦП сертификатов заканчивается. 4.Кросс-сертификат. Кросс-сертификаты позволяют расширить действие
конкретной PKI путем взаимоподписания корневых сертификатов двух разных PKI.
Функции, выполняемые PKI в целом
1) функции управления сертификатами;
2) функции управления ключами;
3) дополнительные функции (службы).
Всостав функций управления сертификатами входят:
1)регистрация пользователей. «Пользователем» может быть физический пользователь, прикладная программа, сетевое устройство и пр.;
2)сертификация открытых ключей. По существу, процесс сертификации
состоит в «связывании» имени пользователя и открытого ключа. СА подписывает сертификаты пользователей и СА более низкого уровня;
3)сохранение закрытого ключа СА. Это - главная болевая точка системы. Компрометация закрытого ключа СА разрушает всю систему;
4)содержание базы сертификатов и их распределение. Все сертификаты
пользователей и промежуточных СА (кроме СА самого верхнего уровня) обычно выкладываются на общедоступный сервер - сервер сертификатов;
5)обновление сертификата. Процесс активизируется в случае истечения срока действия сертификата и состоит в передаче нового сертификата для открытого ключа пользователя;
6)обновление ключей. При генерации новой пары ключей пользователем
либо третьей стороной необходима генерация нового сертификата;
7)отзыв сертификата. Этот процесс возможен, например, при компрометации ключей, изменении имени, прекращении доступа и пр.;
8)определение статуса отзыва сертификата. Пользователь проверяет,
наличие сертификата в каталоге открытых ключей PKD (Public Key Directory) и в списке отзыва сертификатов CRL (Certificate Revocation List).
Функции управления ключами делятся на следующие основные
подгруппы:
1)генерация ключей;
2)распределение ключей.
Всостав группы дополнительных функций (служб)
входят:
1)взаимная сертификация (кросс-сертификация в различных
СА);
2)проверка открытого ключа с целью убедиться в его соответствии требованиям модульной арифметики для таких ключей;
3)проверка сертификата по просьбе пользователя;
4)служба архивирования и др.
Инфраструктуру открытых ключей PKI поддерживает ряд приложений и стандартов, к ним можно отнести следующие:
1)операционные системы Linux, FreeBSD, HP-UX, Microsoft Windows, Novell Netware, Sun Solaris, в которые встроены средства, поддерживающие сертификаты открытых ключей;
2)системы управления базами данных, в частности, Oracle, DB2, Informix, Sybase, которые поддерживают механизмы аутентификации пользователей на основе сертификатов открытых ключей;
3)средства организации виртуальных защищенных сетей VPN, реализуемые на основе протокола IPSec, в частности телекоммуникационное оборудование компаний Cisco Systems, Nortel Network, а также специализированное программное обеспечение;
4)системы электронного документооборота, например Lotus Notes, Microsoft Exchange, а также почтовые системы, поддерживающие стандарт защищенного почтового обмена S/MIME;
5)службы каталогов Microsoft Active Directory, Novell NDS, Netscape iPlanet;
6)системы доступа к Web-ресурсам, реализуемые на основе стандарта
SSL;
7)системы аутентификации пользователей, в частности система Securld компании RSA и др.