Diseño de CP y CPS para múltiples CAs jerárquicas

Bueno, tu diseño tiene algún sentido para mí y puede ser válido. Si cada política tiene sus propios procedimientos únicos (definidos en CPS), es posible que deba crear tantas políticas como se definan muchas políticas diferentes. Incluso si operan bajo la misma Autoridad de Administración PKI.

Su pregunta requiere un poco de investigación para examinar los procedimientos para cada tipo de certificado. Por ejemplo, ¿hay alguna diferencia entre issuing VPN certificates y issuing certificates for authentication with custom extension ? ¿Qué tipo de diferencia? Normalmente, la diferencia más importante incluye (pero no se limita a):

• La forma en que se autentica al solicitante del certificado (por ejemplo, puede solicitar el certificado por correo electrónico o mediante reuniones cara a cara y firmar el documento, los requisitos que debe cumplir el solicitante, etc.)
• La forma en que se entrega y almacena el certificado (por ejemplo, la política requiere almacenar certificados solo en tarjetas inteligentes)
• ¿La política permite la recuperación de claves?
• ...

En otras palabras, las secciones §4.3 y §4.4 puede ser diferente para un solo PMA (el resto de los párrafos suelen ser iguales en todas las políticas) y cada conjunto requerirá un CP separado. Luego, si dos o más CA operan bajo el mismo CPS (no tiene diferencias significativas que puedan ser críticas para el software donde se pueden presentar múltiples certificados, pero solo se aceptan específicos según la política), entonces puede combinar y asignar el mismo CP / CPS a estas CAs.

Por ejemplo, no parece haber una diferencia notable entre CP1 y CP4. Puede considerar fusionarlos en un CP. CP3 tiene muy poco sentido en términos de CP. El hecho de que el certificado incluya alguna extensión adicional significa, literalmente, nada, porque (lo más probable) no emplea prácticas y procedimientos distintos. Puede considerar deshacerse de este CP en absoluto. CP2 puede fusionarse con CP1 y / o con CP4. CP5 es la única política que parece requerir un CP por separado, porque estos certificados se encuentran (lo más probable) bajo el nivel de seguro más alto y los requisitos más estrictos.

Cuando examine todas las políticas, puede terminar con solo dos políticas: CP1 asignado a SubCA1-SubCA4 y CP2 asignado a SubCA5 con los OID correspondientes (OID1 y OID2).

Respecto a la cartografía entre CP y CPS. Puede crear un solo documento de CPS y describir todas las políticas en el mismo documento. Como se dijo, la mayoría de las secciones (excepto §4.3 y §4.4) serán las mismas en todas las políticas, porque operan bajo el mismo PMA. Y proporcione §4.3 y §4.4 separados para cada política.

Además, revisaría las entradas para CP5. Cada entrada puede tener diferentes políticas OID. Los certificados para el acceso de comerciantes y la autorización de pago pueden parecer iguales, pero habrá un software que verificará si el certificado presentado se encuentra dentro de una categoría específica (aunque se emitan bajo el mismo CP y CPS). No estoy seguro de cómo se utilizan en su entorno.

Sugerencia: no debe definir la extensión Certificate Policies en el nivel de CA raíz. Una ausencia de la extensión Certificate Policies en el certificado raíz implica Any Policy para ella. La primera aparición de Certificate Policies debe estar en el nivel 2 en la jerarquía. Lo más probable es que todas las CA estén bajo el mismo control administrativo y no requieran una política por separado para las CA. Sin embargo, si la CA raíz (o las CA subordinadas) se subcontrata, es posible que deba pasar a la jerarquía de 3 niveles con una CA de política dedicada bajo la raíz que define la política atribuida a las CA de 3 niveles.