3. Обзор модели Х.509/PKI-инфраструктуры
Далее рассматривается иерархическая модель PKI-инфраструктуры, представленная в Рекомендации ITU-T X.509.
Компонентами этой модели являются:
- Конечный PKI-пользователь
- Пользователь PKI-сертификатов и/или система, обслуживающая конечных пользователей, который(ая) является владельцем СЕРТ.
- УЦ
- Удостоверяющий центр (орган сертификации).
- РЦ
- Центр регистрации (т.е. дополнительная система, которой УЦ делегировал некоторые функции обеспечения СЕРТ).
- Издатель СОС
- Система, которая формирует и подписывает СОС.
- Репозитарий
- Система или совокупность распределённых систем, которая хранит СЕРТ и СОС, а также служит средством распространения этих СЕРТ и СОС среди конечных PKI-пользователей.
УЦ несут ответственность за указание состояния аннулирования СЕРТ, которые они выпустили. Информация о состоянии отзыва (аннулирования) может распространяться с помощью интерактивного протокола определения состояния сертификата (Online Certificate Status Protocol — OCSP, RFC-6960), списков отозванных СЕРТ или иным способом. В общем, когда информация о состоянии отзыва (аннулирования) распространяется с использованием СОС, тогда УЦ также является издателем СОС. Тем не менее, УЦ может делегировать свои полномочия по изданию СОС другому субъекту.
Замечание. УЦ, издающий атрибутные СЕРТ (СЕРТ|АТ), также может делегировать свои полномочия по опубликованию СОС издателю СОС.
Рис.1. Компоненты PKI-инфраструктуры