Certificate Management Protocol
CMP (Protocolo de gestión de certificados) | |||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
familia: | desconocida | ||||||||||||||||||||||||||||
campo de aplicación : | gestión de certificados | ||||||||||||||||||||||||||||
La versión más nueva: | cmp2000 (2) | ||||||||||||||||||||||||||||
OID de la versión más reciente: | 1.3.6.1.5.5.7.0.16 | ||||||||||||||||||||||||||||
Puerto TCP / UDP: | 80 (http), 443 (https), 829 (pkix-3-ca-ra) | ||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||
norma propuesta: | RFC 4210 (CMP, 2005) | ||||||||||||||||||||||||||||
norma obsoleta: | RFC 2510 (CMP, 1999) |
El Protocolo de gestión de certificados (CMP) es un protocolo de Internet utilizado para obtener certificados digitales X.509 en una infraestructura de clave pública (PKI). Hasta ahora, es uno de los dos protocolos para usar el Formato de Mensaje de Solicitud de Certificado (CRMF), descrito en RFC 4211, y el otro protocolo es Gestión de certificados en CMS (CMC), descrito en RFC 5273. Una versión obsoleta de CMP se describe en RFC 2510, la respectiva versión de CRMF en RFC 2511.
Los mensajes CMP están codificados en ASN.1, utilizando el método DER y generalmente se transportan a través de HTTP.
Entidades PKI
editarUna autoridad de certificación (CA), que emite los certificados legales, actúa como el servidor en una PKI mediante CMP. Uno de los clientes, que obtiene sus certificados digitales mediante este protocolo, se denomina entidad final (EE). Ninguna o cualquier número de autoridades de registro (RA), se puede utilizar para mediar entre las EE y la CA.
Características
editarUna entidad final puede utilizar CMP para obtener certificados de la CA. Esto se puede hacer a través de una secuencia de mensajes de «registro/certificación inicial», «actualización de par de claves» o «actualización de certificado». Por medio de una solicitud de revocación, también puede obtener uno de sus propios certificados revocados. Mediante una "solicitud de certificación cruzada", una CA puede obtener un certificado firmado por otra CA. En caso de que una entidad final haya perdido su clave privada y la CA la almacene, puede recuperarse solicitando una "recuperación de par de claves".
Transporte
editarSe prevén varios medios de transporte para transmitir mensajes CMP:[1]
- Encapsulado en un mensaje HTTP .
- TCP o cualquier otro protocolo de transporte confiable y orientado a la conexión.
- Como un archivo, por ejemplo, a través de FTP o SCP .
- Por correo electrónico, utilizando el estándar de codificación MIME .
El tipo de contenido utilizado es application / pkixcmp ; las versiones anteriores del borrador utilizaban application / pkixcmp-poll, application / x-pkixcmp o application / x-pkixcmp-poll .
Implementaciones
editar- Nexus Certificate Manager es compatible con CMP.
- La biblioteca cryptlib proporciona soporte CMP.
- Entrust Authority Security Manager implementa el soporte de CMP.
- Insta Certifier CA implementa el soporte de CMPv2.
- EJBCA, un software de CA, implementa un subconjunto[2] de las funciones CMP.
- OpenSSL es capaz de producir y analizar mensajes CMP, usando un parche adicional.[3]
- BSAFE Java Library de RSA proporciona compatibilidad con CMP.
- Bouncy Castle API ofrece una biblioteca CMP para Java y C #.
Referencias
editar- ↑ [rfc:6712 RFC 6712 Internet X.509 Public Key Infrastructure -- HTTP Transfer for the Certificate Management Protocol (CMP)]
- ↑ «EJBCA - The Java EE Certificate Authority». Archivado desde el original el 7 de junio de 2019. Consultado el 16 de julio de 2019.
- ↑ CMP for OpenSSL, GitHub page