公開鍵インフラストラクチャのコンテキストでは?LDAPとは、LDAPプロトコルを使用してクエリできるLDAPサーバーによって公開されている公開鍵を意味しますか?CRLは証明書失効リストの略で、信頼できない証明書が含まれています。これらの2つのプロトコルは、公開鍵証明書の同じデータベースに依存していますか?ここにCAがあり、CRLの更新を続行しないことを発表しましたが、LDAPクエリへの応答は最新のようです。
1474 次
2 に答える
4
LDAPは、 RFC4511で指定されている小型の軽量プロトコルです。現在、LDAPという用語は、プロトコル自体に加えて、ディレクトリ情報ツリー(DIT)を指すために使用されています。
証明書失効リスト(CRL)は、発行機関または検証機関によって取り消されたため、クライアントが確実に使用できない証明書のシリアル番号のリストです。
LDAPは、公開鍵、秘密鍵、証明書などのPKI情報のデータストアとしてよく使用され、実際、このタスクに優れています。
于 2012-04-16T09:37:22.190 に答える
0
- HTTPは、CRL情報の代替アクセス方法です。米国連邦およびCertiPathPKIでは、HTTPが標準になり、LDAPは現在では一般的ではありません。
- CRL情報は、特定のデジタル証明書/公開鍵の失効ステータスについて問い合わせるQ&Aスタイルの方法を使用するOCSPを介して1:1の方法で取得することもできます。これは、最新の失効情報が必要な場合、またはCRLサイズが大きい場合(たとえば、米国国防総省のPKI)に特に役立ちます。HTTPはOCSPのプロトコルであり、OCSP応答はすでにデジタル署名されているため、HTTPSを介して実行されることはめったにありません。
あなたの特定の質問は、それ以上のCRL更新を公開しないというCAの意図に言及していました。うまくいけば、これは彼らがCAの操作を完全に停止し、CAをオフラインにすることを意味します。明らかな懸念は、このCAが発行したエンドエンティティキーのいずれかが紛失または侵害された場合、今後の失効情報がないことです。さらに、オンラインのCA(自己署名ルート)は常に侵害される可能性があり、発生した場合に自分自身を取り消すCRLを投稿できる必要があります。権限がなくなった信頼できる機関から発行された資格情報にどの程度の信頼を置くかを慎重に検討してください。
于 2012-04-16T12:37:02.237 に答える