Certificate Policy (CP)

Certificate Policy

Copyright ┬ę Shutterstock / Song_about_summer

Was ist eine Certificate Policy?

Eine Certificate Policy (deutsch: Zertifikatsrichtlinie) ist ein Dokument, das darauf abzielt, die verschiedenen Entit├Ąten einer sog. Public Key-Infrastruktur (PKI), ihre Rollen und ihre Aufgaben abzugeben. Dieses Dokument wird im Perimeter der PKI ver├Âffentlicht.
Bei Verwendung mit X.509-Zertifikaten kann ein bestimmtes Feld so eingestellt werden, dass es eine Verkn├╝pfung zu der zugeh├Ârigen Certificate Policy (CP) enth├Ąlt. W├Ąhrend eines Austauschs hat somit jede vertrauende Partei Zugriff auf die mit dem Zertifikat verkn├╝pfte Zuverl├Ąssigkeitsstufe und kann entscheiden, auf welcher Vertrauensstufe das Zertifikat abgelegt wird.

Die Eigenschaften einer Certificate Policy

Das Dokument sollte die allgemeine Architektur der zugeh├Ârigen PKI beschreiben, die verschiedenen Entit├Ąten der PKI und jeden Austausch, der auf Zertifikaten basiert, die von derselben PKI ausgestellt wurden, darstellen.
Ein wichtiger Punkt der Certificate Policy (CP) ist die Beschreibung der genehmigten und der nicht erlaubten Verwendung von Zertifikaten. Wenn ein Zertifikat ausgestellt wird, kann in seinen Attributen angegeben werden, welche Anwendungsf├Ąlle es erf├╝llen soll. Zum Beispiel kann ein Zertifikat f├╝r die digitale Signatur von E-Mails (aka S / MIME), Verschl├╝sselung von Daten, Authentifizierungen (z. B. eines Webservers) oder weitere Ausgabe von Zertifikaten (Delegierung der Autorit├Ąt) ausgestellt werden. Nicht erlaubte Verwendungen werden auf dieselbe Weise angegeben.
Das Dokument beschreibt auch, wie Zertifikatsnamen zu w├Ąhlen sind und dar├╝ber hinaus die damit verbundenen Erfordernisse zur Identifizierung und Authentifizierung. Wenn ein Zertifizierungsantrag ausgef├╝llt ist, ist die Zertifizierungsstelle (oder durch Delegierung die Registrierungsstelle) daf├╝r verantwortlich, die vom Antragsteller bereitgestellten Informationen zu ├╝berpr├╝fen, beispielsweise seine Identit├Ąt. Dadurch wird sichergestellt, dass die Zertifizierungsstelle nicht an einem Identit├Ątsdiebstahl beteiligt ist.
Die Generierung der Schl├╝ssel wird auch in einer Certificate Policy (CP) erw├Ąhnt. Benutzer k├Ânnen berechtigt sein, ihre eigenen Schl├╝ssel zu generieren und sie zur Generierung eines zugeh├Ârigen Zertifikats an die Zertifizierungsstelle zu senden. Die PKI kann sich auch daf├╝r entscheiden, benutzergenerierte Schl├╝ssel zu verbieten und eine getrennte und wahrscheinlich sicherere Methode zum Generieren der Schl├╝ssel bereitstellen (z.B. durch Verwendung eines Hardware-Sicherheitsmoduls).
Die verschiedenen Verfahren f├╝r die Antragstellung, Ausstellung, Annahme, Erneuerung, Umschl├╝sselung, ├änderung und Widerrufung von Zertifikaten sind ein gro├čer Teil des Dokuments. Diese Verfahren beschreiben, wie jeder Akteur der PKI handeln muss, damit die gesamte Sicherheitsstufe akzeptiert wird.

Kontrollen in einer CERT Policy

Anschlie├čend wird ein Kapitel zu den physischen und verfahrenstechnischen Kontrollen, Pr├╝f- und Protokollierungsverfahren der PKI zur Gew├Ąhrleistung der Datenintegrit├Ąt, Datenverf├╝gbarkeit und Datenvertraulichkeit gefunden.

In diesem Abschnitt werden die technischen Anforderungen in Bezug auf die Schl├╝sselgr├Â├čen, den Schutz privater Schl├╝ssel (durch die Verwendung von Schl├╝ssel-Escrow) und verschiedene Arten von Steuerungen in Beug auf die technische Umgebung (Computer, Netzwerk) beschrieben.

Zertifikatssperrlisten sind ein wesentlicher Bestandteil jeder Public Key Infrastruktur. Daher wird ein spezielles Kapitel der Beschreibung der Verwaltung dieser Listen gewidmet, um die Konsistenz zwischen dem Zertifikatsstatus und dem Inhalt der Liste sicherzustellen.

Audit und Bewertungen

Die Public Key Infrastruktur muss ├╝berpr├╝ft werden, um sicherzustellen, dass sie die in ihren Dokumenten angegebenen Regeln enth├Ąlt, wie z. B. die Certificate Policy (CP). Die Verfahren zur Beurteilung dieser Konformit├Ąt werden hier beschrieben und dokumentiert.

In Kapitel “Andere” werden alle verbleibenden Punkte behandelt, z. B. alle mit der PKI verbundenen rechtlichen Angelegenheiten.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte