9

誰かが次のことについて私を助けてくれませんか?
RFC2560は、OCSPレスポンダー証明書(応答の発信)をいつ受け入れることができるかを定義します。 

   1. Matches a local configuration of OCSP signing authority for the
   certificate in question; or

   2. Is the certificate of the CA that issued the certificate in
   question; or

   3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage
   extension and is issued by the CA that issued the certificate in
   question."

私の質問は次のとおり
です。OCSPレスポンダーの証明書が検証パスのトラストアンカーによって署名されている場合、それも受け入れられたと見なされますか?
私はそうあるべきだという印象を持っていますが、これはRFCから明示的に上に述べられておらず、これに関する明示的な参照を見つけることができませんでした。

私がRFCを読んだところ、TAによって署名されていても、OCSP応答には有効ではないということです。
どんな助けでも大歓迎
です注:それが重要な場合に備えて、私はこれについてJavaで作業しています

更新:
RFCのセクション2.2:

すべての決定的な応答メッセージは、デジタル署名されている必要があります。応答に署名するために使用されるキー
は、次のいずれかに属している必要があります。

-問題の証明書を発行したCA-
公開鍵が要求者によって信頼されている信頼できるレスポンダー
-CAによって直接発行された特別にマークされた証明書を保持するCA指定レスポンダー(承認されたレスポンダー)。そのCAのOCSP応答を発行します

ポイント2は私には曖昧に思えます。
これは、次のことを意味します
。a)信頼できるPKであるため、トラストアンカーが受け入れられる
、または
b)最初の引用でポイント(1)の意味を持つ。ここでJavaで行われます: 

   Security.setProperty("ocsp.responderCertSubjectName",ocspCert.getSubjectDN().getName));
   List<X509Certificate> list = new ArrayList<X509Certificate>();
   list.add(ocspCert);
   CollectionCertStoreParameters p = new CollectionCertStoreParameters(list);  
   CertStore store = CertStore.getInstance("Collection", p);
   PKIXParameters params = new PKIXParameters(Collections.singleton(anchor));
   params.addCertStore(store);
4

1 に答える 1

3

RFC 2560では、これらは次のことを意味します。

1. Matches a local configuration of OCSP signing authority for the
certificate in question; or

→自分がしていることを常に意識している限り、やりたいことができます。これは「catch-all」句であり、何をするにしてもRFC2560に準拠する可能性が高いことを意味します。ただし、 OCSP応答の作成である場合は、応答のユーザーが同じ「ローカル構成」を持っていなくても応答を受け入れることを希望するため、標準になるライセンスの使用は避けたいと思うでしょう。

2. Is the certificate of the CA that issued the certificate in
question; or

→トリッキーな点は、トラストアンカーCAであるということです。正式には証明書で表されません(ただし、多くのシステムでは、トラストアンカーは自己署名証明書としてエンコードされます)。ただし、証明書を発行するため、認証局です。この場合、OCSP応答がTAキーで署名されている場合です。

3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage
extension and is issued by the CA that issued the certificate in
question."

→上記と同様に、証明書Xの回答に署名するOCSPレスポンダーは、XがTAによって発行されたように見えますが、同じTAによって発行されたレスポンダー証明書Rを使用できます。これは、両方を意味します。 XとRは、トラストアンカーとして使用する名前とキーを持つ認証局によって発行されています。

これらの3つのケースでは、OCSP応答を受信し、それを証明書パス検証の一部として使用したい人が実行する必要のある検証手順について説明します。RFCのセクション2.2は、OCSPレスポンダーの義務に関するものです。

All definitive response messages SHALL be digitally signed. The key
used to sign the response MUST belong to one of the following:

-- the CA who issued the certificate in question
-- a Trusted Responder whose public key is trusted by the requester
-- a CA Designated Responder (Authorized Responder) who holds a specially
   marked certificate issued directly by the CA, indicating that the responder
   may issue OCSP responses for that CA

これらの3つのケースは、上記で詳しく説明したレシーバーのケースと「2、1、3」の順序で一致します。ここでも、「証明書を発行したCA」は、名前と公開鍵が受信者によってトラストアンカーとして使用されるエンティティである可能性があります。

于 2011-05-05T12:17:24.453 に答える