Diseño de CP y CPS para múltiples CAs jerárquicas

2

Estoy pensando en cómo diseñar y estructurar CP y CPS para múltiples CAs construidas de una manera jerárquica y compatible con RFC 3647 .

La estructura de las CA en la compilación de una CA raíz a varias CA subordinadas, cada una de las cuales brinda servicios de PKI y perfiles de certificado diferentes:

Raíz CA - > CP0 y CPS0

  • Sub CA 1 - > CP1 y CPS1
    • emitir certificados VPN
  • Sub CA 2 - > CP2 y CPS2
    • emitir certificados de cliente
    • emitir certificados RA
  • Sub CA 3 - > CP3 y CPS3
    • emitir certificados para la autenticación con extensión personalizada
  • Sub CA 4 - > CP4 y CPS4
    • emitir certificados para dispositivos
  • Sub CA 5 - > CP5 y CPS5
    • emisión de certificados para tarjetas de pago
    • emitir certificados para la autorización de pago
    • emitir certificados para el acceso de comerciantes
  • etc ...

Ahora sé qué es OID y cómo definir el CP en el certificado junto con la URL a CPS. Actualmente solo la CA raíz ha definido "cualquier política" con OID 2.5.29.32.0. Cada CA subordinada tiene su propia definición de OID y, por lo tanto, debe tener su propio CP y CPS para los servicios PKI que proporciona. Pero con el número creciente de Sub CAs, es realmente difícil mantener todos estos CP y CPS.

¿Cuál es la mejor práctica sobre cómo manejar los entornos PKI complejos desde el punto de vista de CP y CPS?

¿Debo comenzar a usar OID en el nivel de perfil de certificado y no en Sub CA? ¿Y en ese caso cree uno o dos CP con la definición de todos los OID relacionados con los certificados que se pueden emitir?

En ese caso, puede haber un CP con:

  • CP - > OID1
  • emitir certificados VPN - > OID2
  • emitir certificados de cliente - > OID3
  • emitir certificados RA - > OID4
  • emitir certificados para la autenticación con extensión personalizada - > OID5
  • emitir certificados para dispositivos - > OID6
  • emitir certificados para tarjetas de pago - > OID7
  • emitir certificados para la autorización de pago - > OID8
  • emitir certificados para el acceso de comerciantes - > OID9

¿Entonces puedo mantener solo una versión de CP y varias versiones de CPS relacionadas con servicios PKI diferentes entre sí o también solo una CPS para todo el entorno?

    
pregunta user1563721 16.10.2017 - 20:00
fuente

1 respuesta

1

Bueno, tu diseño tiene algún sentido para mí y puede ser válido. Si cada política tiene sus propios procedimientos únicos (definidos en CPS), es posible que deba crear tantas políticas como se definan muchas políticas diferentes. Incluso si operan bajo la misma Autoridad de Administración PKI.

Su pregunta requiere un poco de investigación para examinar los procedimientos para cada tipo de certificado. Por ejemplo, ¿hay alguna diferencia entre issuing VPN certificates y issuing certificates for authentication with custom extension ? ¿Qué tipo de diferencia? Normalmente, la diferencia más importante incluye (pero no se limita a):

  • La forma en que se autentica al solicitante del certificado (por ejemplo, puede solicitar el certificado por correo electrónico o mediante reuniones cara a cara y firmar el documento, los requisitos que debe cumplir el solicitante, etc.)
  • La forma en que se entrega y almacena el certificado (por ejemplo, la política requiere almacenar certificados solo en tarjetas inteligentes)
  • ¿La política permite la recuperación de claves?
  • ...

En otras palabras, las secciones §4.3 y §4.4 puede ser diferente para un solo PMA (el resto de los párrafos suelen ser iguales en todas las políticas) y cada conjunto requerirá un CP separado. Luego, si dos o más CA operan bajo el mismo CPS (no tiene diferencias significativas que puedan ser críticas para el software donde se pueden presentar múltiples certificados, pero solo se aceptan específicos según la política), entonces puede combinar y asignar el mismo CP / CPS a estas CAs.

Por ejemplo, no parece haber una diferencia notable entre CP1 y CP4. Puede considerar fusionarlos en un CP. CP3 tiene muy poco sentido en términos de CP. El hecho de que el certificado incluya alguna extensión adicional significa, literalmente, nada, porque (lo más probable) no emplea prácticas y procedimientos distintos. Puede considerar deshacerse de este CP en absoluto. CP2 puede fusionarse con CP1 y / o con CP4. CP5 es la única política que parece requerir un CP por separado, porque estos certificados se encuentran (lo más probable) bajo el nivel de seguro más alto y los requisitos más estrictos.

Cuando examine todas las políticas, puede terminar con solo dos políticas: CP1 asignado a SubCA1-SubCA4 y CP2 asignado a SubCA5 con los OID correspondientes (OID1 y OID2).

Respecto a la cartografía entre CP y CPS. Puede crear un solo documento de CPS y describir todas las políticas en el mismo documento. Como se dijo, la mayoría de las secciones (excepto §4.3 y §4.4) serán las mismas en todas las políticas, porque operan bajo el mismo PMA. Y proporcione §4.3 y §4.4 separados para cada política.

Además, revisaría las entradas para CP5. Cada entrada puede tener diferentes políticas OID. Los certificados para el acceso de comerciantes y la autorización de pago pueden parecer iguales, pero habrá un software que verificará si el certificado presentado se encuentra dentro de una categoría específica (aunque se emitan bajo el mismo CP y CPS). No estoy seguro de cómo se utilizan en su entorno.

Sugerencia: no debe definir la extensión Certificate Policies en el nivel de CA raíz. Una ausencia de la extensión Certificate Policies en el certificado raíz implica Any Policy para ella. La primera aparición de Certificate Policies debe estar en el nivel 2 en la jerarquía. Lo más probable es que todas las CA estén bajo el mismo control administrativo y no requieran una política por separado para las CA. Sin embargo, si la CA raíz (o las CA subordinadas) se subcontrata, es posible que deba pasar a la jerarquía de 3 niveles con una CA de política dedicada bajo la raíz que define la política atribuida a las CA de 3 niveles.

    
respondido por el Crypt32 16.10.2017 - 21:54
fuente

Lea otras preguntas en las etiquetas