¿Qué esquema LDAP se recomienda para PKI?

9

En mi investigación, encontré algunos RFC que no se han actualizado en más de una década, por ejemplo, draft-ietf-pkix-ldap-crl-schema-01 .

También exploré varios directorios públicos utilizados en PKI (por ejemplo, x500.bund.de ) y establecí que optaron por no atenerse a ese RFC. Otros directorios que encontré tampoco siguieron esa recomendación.

En este punto, tengo la impresión de que las personas hacen rodar su propio esquema, ya que no he podido encontrar algún consenso al respecto.

¿Qué material de lectura recomienda para determinar un esquema para PKI? Y en el mismo contexto, si ejecuta un servidor de este tipo, ¿qué esquema eligió y por qué?

    
pregunta ralien 05.01.2016 - 21:36
fuente

2 respuestas

1

Supongo que está intentando implementar su propio servicio de certificado respaldado por LDAP. El mejor esquema coincidente para este propósito es el esquema de coseno disponible en todas las instalaciones de OpenLDAP. Si no desea instalar el servidor openldap solo para obtener el esquema, simplemente extráigalo del código fuente aquí: enlace . El esquema de coseno se puede encontrar en la carpeta servers\slapd\schema bajo el directorio raíz del código fuente.

Como no conozco los detalles completos de su requerimiento, supongo que el conjunto mínimo de tipos de atributos que necesitaría almacenar para una PKI sería: certificados públicos del usuario, certificados de CA y certificado Listas de revocaciones. Estos atributos están disponibles en este esquema.

En caso de que necesite ajustes y personalizaciones específicas, siempre puede agregar su propio esquema de soporte con atributos u objetos adicionales con una combinación personalizada de atributos. Consulte esta referencia para obtener más detalles: enlace . He tenido que hacer esto en varias ocasiones, y es difícil obtener la sintaxis correcta al principio, pero es sencillo una vez que aprendes.

    
respondido por el Sandeep S. Sandhu 20.06.2016 - 11:56
fuente
0

La mayoría de las implementaciones utilizan RFC 4523 que también especifica los atributos certificateRevocationList y authorityRevocationList .

    
respondido por el Michael Ströder 17.07.2018 - 12:19
fuente

Lea otras preguntas en las etiquetas