憑證管理協定
| 憑證管理協定(CMP) | |||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 家族: | 未知 | ||||||||||||||||||||||||||||
| 應用領域: | 憑證管理 | ||||||||||||||||||||||||||||
| 最新版本: | cmp2000(2) | ||||||||||||||||||||||||||||
| 最新版本的OID: | 1.3.6.1.5.5.7.0.16 | ||||||||||||||||||||||||||||
| TCP/UDP埠: | 829 (pkix-3-ca-ra) | ||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||
| 建議標準: | |||||||||||||||||||||||||||||
| 草案標準: | |||||||||||||||||||||||||||||
憑證管理協定(Certificate Management Protocol)是一個網際協定,用於在公開金鑰基礎建設(PKI)體系中取得符合X.509標準的數位憑證。文件RFC 4210對其進行了詳細地描述,該協定是至今為止唯二使用CRFM格式的(憑證請求訊息格式,Certificate Request Message Format,在文件RFC 4211中進行描述),另一個使用該格式編碼的協定是CMC(基於CMS的憑證管理,Certificate Management over CMS,在文件RFC 5273中進行描述)。RFC 2510中描述了一個過時的CMP版本,RFC 2511中描述了一個過時的CRMF版本。
CMP訊息使用ASN.1進行編碼,使用DER方法,通常在HTTP協定上傳輸。
PKI實體
在PKI體系中,憑證頒發機構(CA)負責頒發數位憑證,並作為伺服器端使用CMP協定。通過該協定取得數位憑證的客戶端被稱為終端實體(end entity,EE)。EE和CA之間可以存在0個或者多個序號產生器構(registration authorities,RA)。
特徵
EE可以利用CMP從CA取得憑證。 這可以通過「初始註冊/認證」、「金鑰對更新」或「憑證更新」訊息序列完成。通過復原請求,它也可以取消其自己的一個憑證。使用「交叉認證請求」,CA可以獲得由另一個CA簽署的憑證。如果EE失去了私鑰並由CA儲存,可能會通過請求「金鑰對恢復」來恢復。
傳輸
可以有多種傳輸方式攜帶CMP訊息:[1]
其MIME類型為application/pkixcmp;舊版本草案為application/pkixcmp-poll、application/x-pkixcmp 或 application/x-pkixcmp-poll。
參考文獻
- ^ RFC 6712 Internet X.509 Public Key Infrastructure -- HTTP Transfer for the Certificate Management Protocol (CMP). [2018-06-30]. (原始內容存檔於2018-12-12).