Cryptography Reference
In-Depth Information
29.4.2
Policy Mapping
Einer CA reicht es oft nicht aus, die Zahl der Hierarchieebenen zu begrenzen.
Vielmehr kommt es der CA in der Regel zusätzlich darauf an, dass alle CAs unter
ihr in der Hierarchie eine akzeptable Certificate Policy verwenden. Zur Durchset-
zung dieses Ziels kann das X.509v3-Zertifikatsfeld
Policy Mapping
verwendet
werden. Um dieses Feld zu erklären, nehmen wir wieder an, dass
CA
1
ein Zertifi-
kat für
CA
2
ausstellt.
CA
1
halte sich an die Certificate Policy
CP
1
, während
CA
2
die Certificate Policy
CP
2
beachtet. Wenn
CA
1
mit
CP
2
einverstanden ist, dann
kann sie dies im CA-Zertifikat von
CA
2
vermerken. Dazu verwendet sie das
besagte Feld
Policy Mapping
, in dem sie in kodierter Form angibt, dass
CP
1
und
CP
2
aus ihrer Sicht gleichwertig sind.
Was das bringt, sehen wir, wenn wir uns in die Lage von Bob versetzen, der
Alices Zertifikat überprüfen will, das von
CA
2
ausgestellt worden ist. Da Bob nur
CA
1
und deren Policy
CP
1
kennt, kann er mit Alices Zertifikat zunächst nichts
anfangen. Mithilfe des öffentlichen Schlüssels von
CA
1
kann Bob jedoch das Zer-
tifikat von
CA
2
und damit auch Alices Zertifikat überprüfen. Außerdem sieht er
im Policy-Mapping-Feld des Zertifikats von
CA
2
, dass
CP
2
aus Sicht von
CA
1
gleichwertig mit
CP
2
ist. Da
CP
2
in Alices Zertifikat angegeben ist, weiß er, dass
er diesem vertrauen kann.
Für unser Beispiel nehmen wir als nächstes Folgendes an:
■
CA
1
habe ein Zertifikat ohne Policy-Mapping-Feld.
■
CA
2
habe ein Policy-Mapping-Feld mit dem Inhalt
CP
1
=
CP
2
.
■
CA
3
habe ein Policy-Mapping-Feld mit dem Inhalt
CP
2
=
CP
3
.
■
CA
4
habe ein Policy-Mapping-Feld mit dem Inhalt
CP
3
=
CP
4
.
Nun beziehen wir ein weiteres X.509v3-Feld in unsere Betrachtungen mit ein:
Policy Constraints
. Dieses sieht zwei mögliche Teilfelder vor:
inhibitPolicyMap-
ping
und
requireExplicitPolicy.
Beide Teilfelder können jeweils die Werte 0, 1, 2,
3 usw. annehmen.
inhibitPolicyMapping
hat den Zweck, das Policy Mapping auf
eine bestimmte Zahl von Hierarchiestufen zu begrenzen. Stehen im Zertifikat von
CA
1
folgende Werte für
inhibitPolicyMapping
, dann ergeben sich mit der genann-
ten Belegung der Policy-Mapping-Felder die jeweils angegebenen Auswirkungen:
■
inhibitPolicyMapping
= 0: kein Policy Mapping erlaubt.
■
inhibitPolicyMapping
= 1: Policy Mapping für
CA
2
erlaubt.
■
inhibitPolicyMapping
= 2: Policy Mapping für
CA
2
und
CA
3
erlaubt.
■
inhibitPolicyMapping
= 3: Policy Mapping für
CA
2
,
CA
3
und
CA
4
erlaubt.
Das Teilfeld
requireExplicitPolicy
gibt an, ab welcher Hierarchie-Ebene eine Cer-
tificate Policy im CA-Zertifikat vorhanden sein muss. Die folgenden Aussagen
gelten für das Zertifikat von
CA
1
und die oben genannten Belegungen der Policy-
Mapping-Felder: