j'ai compris

Mécanisme de travail PKI

publié il y a  2020-8-30 12:42:25 71 0 0 0 0

Mécanisme de travail PKI

Sur un réseau PKI, une entité PKI demande un certificat local auprès de l'autorité de certification et l'appareil demandeur authentifie le certificat. La figure 1 montre le processus de travail de l'ICP.

Figure 1 Processus de travail PKI
fig_dc_fd_pki_000901.png
  1. Une entité PKI demande un certificat CA (certificat du serveur CA) auprès de l'autorité de certification.

  2. Lors de la réception de la demande d'application, l'autorité de certification envoie son propre certificat à l'entité PKI.

  3. L'entité PKI installe le certificat CA.

    Si l'entité PKI utilise SCEP pour l'application de certificat, elle calcule une empreinte numérique à l'aide de l'algorithme de hachage sur le certificat d'autorité de certification reçu et compare l'empreinte calculée avec celle prédéfinie pour le serveur de l'autorité de certification. Si les empreintes digitales sont identiques, la PKI accepte le certificat CA; sinon, il rejette le certificat CA.

  4. L'entité PKI envoie un message d'inscription de certificat (y compris la clé publique transportée dans la paire de clés configurée et les informations d'entité PKI) à l'autorité de certification.

  • Certificat d'identité externe

    L'entité PKI utilise la clé publique du certificat CA pour crypter le message d'inscription et la clé privée du certificat d'identité externe pour la signature numérique.

  • MAC

    L'entité PKI utilise la clé publique du certificat CA pour crypter le message d'inscription et le message doit contenir la valeur de référence MAC et la valeur secrète (les valeurs doivent être les mêmes que celles de l'AC).

  • Si l'entité PKI utilise SCEP pour l'application de certificat, elle crypte le message d'inscription à l'aide de la clé publique du certificat CA et signe le message à l'aide de sa propre clé privée. Si le serveur de l'autorité de certification requiert un mot de passe de vérification, le message d'inscription doit contenir un mot de passe de vérification, qui doit être le même que le mot de passe de vérification de l'autorité de certification.

  • Si l'entité PKI utilise CMPv2 pour demander un certificat local, elle utilise un certificat d'identité externe (certificat local émis par une autre autorité de certification) ou MAC pour authentifier le certificat.

L'autorité de certification reçoit le message d'inscription de l'entité PKI.

  • Certificat d'identité externe

    L'autorité de certification utilise sa propre clé privée pour déchiffrer le message d'inscription et la clé publique du certificat d'identité externe pour déchiffrer la signature numérique et vérifie l'empreinte numérique. Lorsque les empreintes digitales sont identiques, l'autorité de certification vérifie les informations d'identité de l'entité PKI. Lorsque les informations d'identité de l'entité PKI réussissent la vérification, l'autorité de certification accepte l'application et émet un certificat local à l'entité PKI. L'autorité de certification utilise la clé publique dans le certificat d'identité externe de l'entité PKI pour crypter le certificat et sa propre clé privée pour signer numériquement le certificat, et envoie le certificat à l'entité PKI. En même temps, l'autorité de certification envoie également le certificat à la base de données de certificats / CRL.

  • MAC

    L'autorité de certification utilise sa propre clé privée pour déchiffrer le message d'inscription et vérifie la valeur de référence MAC et la valeur secrète. Lorsque la valeur de référence et la valeur secrète sont identiques à celles du serveur CA, l'AC vérifie les informations d'identité de l'entité PKI. Lorsque les informations d'identité de l'entité PKI réussissent la vérification, l'autorité de certification accepte l'application et émet un certificat local à l'entité PKI. L'autorité de certification utilise ensuite la clé publique de l'entité PKI pour crypter le certificat et émet le certificat à l'entité PKI. En même temps, l'autorité de certification envoie également le certificat à la base de données de certificats / CRL.

  • Si l'entité PKI utilise SCEP pour demander un certificat local, l'autorité de certification utilise sa propre clé privée pour déchiffrer le message d'inscription et la clé publique de l'entité PKI pour déchiffrer la signature numérique, et vérifie l'empreinte numérique. Lorsque les empreintes digitales sont identiques, l'autorité de certification vérifie les informations d'identité de l'entité PKI. Lorsque les informations d'identité de l'entité PKI réussissent la vérification, l'autorité de certification accepte l'application et émet un certificat local à l'entité PKI. L'autorité de certification utilise la clé publique de l'entité PKI pour crypter le certificat et sa propre clé privée pour signer numériquement le certificat, et envoie le certificat à l'entité PKI. En même temps, l'autorité de certification envoie également le certificat à la base de données de certificats / CRL.

  • Si l'entité PKI utilise CMPv2 pour demander un certificat local, l'autorité de certification peut utiliser deux modes:

L'entité PKI reçoit le certificat de CA.

  • Certificat d'identité externe

    L'entité PKI utilise la clé privée du certificat d'identité externe pour décrypter le certificat et la clé publique de l'autorité de certification pour décrypter la signature numérique, et vérifie l'empreinte numérique. Si l'empreinte numérique est la même que son empreinte locale, l'entité PKI accepte et installe le certificat local.

  • MAC

    L'entité PKI utilise sa propre clé privée pour déchiffrer le certificat et vérifie la valeur de référence MAC et la valeur secrète. Si la valeur de référence et la valeur secrète sont les mêmes que celles locales, l'entité PKI accepte et installe le certificat local.

  • Si l'entité PKI a demandé un certificat local à l'aide de SCEP, l'entité PKI utilise sa propre clé privée pour déchiffrer le certificat et la clé publique de l'autorité de certification pour déchiffrer la signature numérique et vérifie l'empreinte numérique. Si l'empreinte numérique est la même que son empreinte locale, l'entité PKI accepte et installe le certificat local.

  • Si l'entité PKI a demandé un certificat local à l'aide de CMPv2:

Les entités PKI dans une session de communication doivent obtenir et installer les certificats locaux de l'autre. Les entités PKI peuvent télécharger les certificats locaux de l'homologue via HTTP ou LDAP. Dans des scénarios spéciaux, tels que l'application IPSec, les entités PKI envoient activement leurs certificats locaux à l'homologue.

Une fois le certificat local de l'homologue installé à l'extrémité locale, l'extrémité locale utilise CRL ou OCSP pour vérifier si le certificat d'homologue est valide.

Les entités PKI utilisent les clés publiques dans les certificats homologues pour une communication sécurisée uniquement après avoir confirmé que les certificats homologues sont valides.

Si une RA est disponible dans un système PKI, les entités PKI doivent également télécharger le certificat de la RA. La RA vérifie les messages locaux d'inscription de certificat provenant d'entités PKI et transmet les messages à l'autorité de certification une fois les vérifications passées.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.