3.2. Маршруты сертификации и доверие
Клиент службы обеспечения безопасности, для которого необходимо знать открытый ключ, как правило, нуждается в получении и проверке подлинности СЕРТ, содержащего требуемый ключ. Если пользователь открытого ключа уже не обладает надёжной копией открытого ключа УЦ, подписавшего сертификат, наименование этого УЦ и дополнительной информацией (например, периодом действия или ограничения на именование), то может понадобиться дополнительный сертификат для получения такого открытого ключа. Как правило, может понадобиться цепочка нескольких связанных сертификатов, включающая сертификат владельца открытого ключа (конечного субъекта), подписанный одним УЦ, и один или несколько (либо ни одного) сертификатов УЦ, подписанных другими УЦ. Такие цепочки сертификатов, именуемые МС, чрезвычайно необходимы пользователю открытого ключа, так как именно с него начинается ограниченное количество (последовательность) открытых ключей, гарантированных УЦ.
Существует несколько способов упорядочения УЦ, которое необходимо пользователям открытых ключей с целью поддержки их при поиске МС. Для PEM-системы стандарт RFC-1422 определил жёсткую иерархическую структуру УЦ. В PEM-системе существуют следующие три типа УЦ:
Центр регистрации политики в Интернет-сети (Internet Policy Registration Authority — IPRA). Этот центр, функционирующий под эгидой Интернет-сообщества, выступает в роли корневого УЦ первого уровня в иерархической структуре сертификации PEM-системы. Он выпускает СЕРТ только для УЦ следующего уровня (УЦ, формирующие политики сертификации). Все МС начинаются с IPRA-центра.
УЦ, формирующие политики сертификации (Policy Certification Authorities — PCA). PCA-центры располагаются на втором уровне иерархии, а каждый PCA-центр сертифицируется IPRA-центром. PCA-центр разрабатывает и опубликовывает положения своей политики, связанной с сертификацией пользователей или подчинённых УЦ. Специализированные PCA-центры предназначены для удовлетворения различных запросов пользователей. Например, один PCA-центр (организационный PCA-центр) может обеспечивать потребности коммерческих организаций в услугах общей электронной почты, а другой PCA-центр (высоко надёжный PCA-центр) может иметь более жёсткую политику, предназначенную для юридически обязательных требований по использованию ЭЦП.
УЦ (Certification Authorities — CA). УЦ образуют третий уровень иерархии и могут располагаться на более низких уровнях. УЦ третьего уровня сертифицируются PCA-центрами. УЦ представляют, например, соответствующие организации, подразделения таких организаций (например, департаменты, группы, отделы) или соответствующие географические области.