证书管理协议cMP ·证书管理协议CMP( ertificate Management Protoco)是 由PKIX工作组根据RFc2510( Internet公钥基础设施证书 管理协议)和RFC2511( nter net公钥基础设施证书请求 管理框架)两个标准而制定的。在处理证书的请求和响应 消息方面可替代PKCS中相应协议。CMP协议的功能比较强, 可以支持许多不同的证书管理功能,如交叉证明的请求与 响应消息,注销证书的请求和响应消息,恢复密钥的请求 与响应消息,以及证书和CRL的分发消息等。虽然GMP的功 能丰富,而且也得到了很多0A产品的支持,但在同GA交互 的应用程序和设备中,CMP协议并未得到广泛的支持
证书管理协议CMP • 证书管理协议CMP(Certificate Management Protocol)是 由PKIX工作组根据RFC2510(Internet 公钥基础设施证书 管理协议)和RFC2511(Internet公钥基础设施证书请求 管理框架)两个标准而制定的。在处理证书的请求和响应 消息方面可替代PKCS中相应协议。CMP协议的功能比较强, 可以支持许多不同的证书管理功能,如交叉证明的请求与 响应消息,注销证书的请求和响应消息,恢复密钥的请求 与响应消息,以及证书和CRL的分发消息等。虽然CMP的功 能丰富,而且也得到了很多CA产品的支持,但在同CA交互 的应用程序和设备中,CMP协议并未得到广泛的支持
证书管理消息CMc GMP的大而全与复杂性在一定程度上影响了cMP的推广应用 为了替代CMP,PKIX工作组又发布了基于加密系统消息语 法的证书管理消息协议cMc( ertificate Management Messages over CMs),该协议的总体目标是在保持简洁性 的同时,提供高级证书管理功能,并且能够支持广泛使用 的PK0S协议族。在CMC中,使用PK0S#10处理证书请求消 息,使用PKS#7处理证书的响应消息。CM还引用 RFc2511来支持由CMP定义的更高级的证书请求格式
证书管理消息CMC • CMP的大而全与复杂性在一定程度上影响了CMP的推广应用。 为了替代CMP,PKIX工作组又发布了基于加密系统消息语 法的证书管理消息协议CMC(Certificate Management Messages over CMS),该协议的总体目标是在保持简洁性 的同时,提供高级证书管理功能,并且能够支持广泛使用 的PKCS协议族。在CMC中,使用PKCS #10处理证书请求消 息,使用PKCS #7处理证书的响应消息。CMC还引用 RFC2511来支持由CMP定义的更高级的证书请求格式
证书的注销 ·负责证书注销功能的系统是PKI的一个重要组件。 在有的情况下,一个证书的继续存在会对主体或 单位的信息安全造成威胁 注销证书的管理 实时证书注销检测
证书的注销 • 负责证书注销功能的系统是PKI的一个重要组件。 在有的情况下,一个证书的继续存在会对主体或 单位的信息安全造成威胁. ➢ 注销证书的管理 ➢ 实时证书注销检测
注销证书的管理 ·一个证书一旦被注销,就要为其建立一张证书注销表RL ( Certificate revocation list)。证书注销系统要负 责为被注销的证书创建和维护一张及时更新的GRL,并把 它放入CRL列表内,当一个用户需要使用某证书时,首先 应该检查该证书是否在0RL列表中,CRL一般用目录系统的 形式存放在公共存储库中。一个证书一旦被注销,就要为 其建立一张证书注销表CRL( Certificate Revocation List)
注销证书的管理 • 一个证书一旦被注销,就要为其建立一张证书注销表CRL (Certificate Revocation List)。证书注销系统要负 责为被注销的证书创建和维护一张及时更新的CRL,并把 它放入CRL列表内,当一个用户需要使用某证书时,首先 应该检查该证书是否在CRL列表中,CRL一般用目录系统的 形式存放在公共存储库中。一个证书一旦被注销,就要为 其建立一张证书注销表CRL(Certificate Revocation List)
注销证书的管理 表7-3×509CRL的内容 L表项 意义 versione 所表示的CRL的版本 Signature e CA颁布CRL所用的数字签名算法 Issuer 颁发机构的名称4 ThisUpdatee 本CRL的颁发时间 Revokedcertificates+被注销的证书的序列号 NextUpdatew 颁发下个CRL的时间 CrlExt ensions中 CRLv2的可选项 Signature AlgorithmeCA签发CRL证书时所使用的数字签名算法 Signature≌alue 对本CRL证书的签名结果
注销证书的管理