證書管理協議

證書管理協議(CMP)
家族: 未知
應用領域: 證書管理
最新版本: cmp2000(2)
最新版本的OID英語Object identifier 1.3.6.1.5.5.7.0.16
TCP/UDP端口: 829 (pkix-3-ca-ra)
CMP在TCP/IP模型中:
應用層 CMP CMP
HTTP HTTPS SMTP ...
傳輸層 TCP
網絡互連層 IP (IPv4, IPv6)
網絡接口層 以太網 令牌總線 令牌環 FDDI ...
建議標準:

RFC 4210 (CMP, 2005)

草案標準:

RFC 2510 (CMP, 1999)

證書管理協議(Certificate Management Protocol)是一個網際協議,用於在公開金鑰基礎建設(PKI)體系中獲取符合X.509標準的數字證書。文檔RFC 4210對其進行了詳細地描述,該協議是至今為止唯二使用CRFM格式的(證書請求消息格式,Certificate Request Message Format,在文檔RFC 4211中進行描述),另一個使用該格式編碼的協議是CMC(基於CMS的證書管理英語Certificate Management over CMS,Certificate Management over CMS,在文檔RFC 5273中進行描述)。RFC 2510中描述了一個過時的CMP版本,RFC 2511中描述了一個過時的CRMF版本。

CMP消息使用ASN.1進行編碼,使用DER英語X.690#DER_encoding方法,通常在HTTP協議上傳輸。

PKI實體

在PKI體系中,證書頒發機構(CA)負責頒發數字證書,並作為服務端使用CMP協議。通過該協議獲取數字證書的客戶端被稱為終端實體(end entity,EE)。EE和CA之間可以存在0個或者多個註冊機構英語Registration authority(registration authorities,RA)。

特徵

EE可以利用CMP從CA獲取證書。 這可以通過「初始註冊/認證」、「密鑰對更新」或「證書更新」消息序列完成。通過撤銷請求,它也可以取消其自己的一個證書。使用「交叉認證請求」,CA可以獲得由另一個CA簽署的證書。如果EE失去了私鑰並由CA存儲,可能會通過請求「密鑰對恢復」來恢復。

傳輸

可以有多種傳輸方式攜帶CMP消息:[1]

MIME類型application/pkixcmp;舊版本草案為application/pkixcmp-pollapplication/x-pkixcmpapplication/x-pkixcmp-poll

參考文獻