证书管理协议
证书管理协议(CMP) | |||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
家族: | 未知 | ||||||||||||||||||||||||||||
应用领域: | 证书管理 | ||||||||||||||||||||||||||||
最新版本: | cmp2000(2) | ||||||||||||||||||||||||||||
最新版本的OID: | 1.3.6.1.5.5.7.0.16 | ||||||||||||||||||||||||||||
TCP/UDP端口: | 829 (pkix-3-ca-ra) | ||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||
建议标准: | |||||||||||||||||||||||||||||
草案标准: |
证书管理协议(Certificate Management Protocol)是一个网际协议,用于在公開金鑰基礎建設(PKI)体系中获取符合X.509标准的数字证书。文档RFC 4210对其进行了详细地描述,该协议是至今为止唯二使用CRFM格式的(证书请求消息格式,Certificate Request Message Format,在文档RFC 4211中进行描述),另一个使用该格式编码的协议是CMC(基于CMS的证书管理,Certificate Management over CMS,在文档RFC 5273中进行描述)。RFC 2510中描述了一个过时的CMP版本,RFC 2511中描述了一个过时的CRMF版本。
CMP消息使用ASN.1进行编码,使用DER方法,通常在HTTP协议上传输。
PKI实体
在PKI体系中,证书颁发机构(CA)负责颁发数字证书,并作为服务端使用CMP协议。通过该协议获取数字证书的客户端被称为终端实体(end entity,EE)。EE和CA之间可以存在0个或者多个注册机构(registration authorities,RA)。
特征
EE可以利用CMP从CA获取证书。 这可以通过“初始注册/认证”、“密钥对更新”或“证书更新”消息序列完成。通过撤销请求,它也可以取消其自己的一个证书。使用“交叉认证请求”,CA可以获得由另一个CA签署的证书。如果EE失去了私钥并由CA存储,可能会通过请求“密钥对恢复”来恢复。
传输
可以有多种传输方式携带CMP消息:[1]
其MIME类型为application/pkixcmp;旧版本草案为application/pkixcmp-poll、application/x-pkixcmp 或 application/x-pkixcmp-poll。
参考文献
- ^ RFC 6712 Internet X.509 Public Key Infrastructure -- HTTP Transfer for the Certificate Management Protocol (CMP). [2018-06-30]. (原始内容存档于2018-12-12).