El acceso a la información de autoridad es una extensión X.509 que describe a dónde puede ir la parte que confía para descargar el certificado de autoridad. Esto se describe en detalle en RFC 5280 . También puede encontrar información sobre la estructura del Identificador de clave de autoridad .
La firma cruzada es cuando otra CA emite una firma contra un certificado que ya ha sido firmado por otra CA. Aquí hay un ejemplo:
Trabajo para la organización A y tengo el certificado firmado por la CA emisora de PKI A. Mi ancla de confianza es la CA raíz de la PKI A. Tengo un problema porque quiero autenticar a nuestro socio, la organización B, pero todos sus certificados se emiten desde PKI B. Puedo obtener la CA raíz de PKI B para emitir una firma cruzada contra el certificado raíz de PKI A. Ahora la cadena lógica termina con la CA raíz de PKI B: IE Asunto Cert - > Sub CA (A) - > Raíz CA (A) - > Raíz CA (B).
La firma cruzada no se implementa realmente dentro de los certificados. Tengo que usar las entradas del directorio LDAP para implementar la firma cruzada, por lo que los AIA y las AID son tan importantes para la firma cruzada.
Las entradas de esquema estándar del directorio LDAP para PKI se definen en RFC4523 . Estos incluyen la entrada para un CA PKI. Esta entrada, a su vez, incluye el atributo crossCertificatePair. Este contiene el par de certificados emitidos por la CA de firma cruzada. En el ejemplo anterior, la entrada para la CA raíz (A) contendría el certificado con firma cruzada para la CA raíz (A) y el certificado de la CA raíz (B).
La Sección 6 de RFC 5280 incluye el algoritmo para llevar a cabo la validación de la ruta del certificado.