云南龙网

  1. 首页 > 云知道 > >

X.509证书请求消息格式( 五 )

云知道


valueHint[4]OCTETSTRINGOPTIONAL,
--一个有关encValue内容的简单的描述或标识符(它可能只对发送终端有意义,
--并且只有EncryptedValue以后可以被发送终端重新检验,它才可以用)
encValueBITSTRING}
KeyGenParameters::=OCTETSTRING
一种发送密钥的选择是发送有关如何使用KeyGenParameters选项重新产生密钥的信息
(例如,对许多RSA实行来说,可以发送第一个最初测试的随机数) 。对于这个参数的实际
的语法可以定义在这个文档的接下来版本中,或定义在另一个标准中 。
6.5旧证书ID(OldCertID)控制
如此项存在,则OldCertID详述了被当前证书请求所更新的证书 。其语法为:
CertId::=SEQUENCE{
issuerGeneralName,
serialNumberINTEGER
}
6.6协议加密密钥(ProtocolEncryptionKey)控制
如此项存在,则protocolEncrKey详述了一个CA用于加密对CertReqMessages的回答的
密钥 。此项能被用于当CA有发送给订户的需要加密的信息 。这些信息中包括一个由CA生
成的让订户使用的私钥 。protocolEncrKey的编码应为SubjectPublicKeyInfo 。
7对象标识符(ObjectIdentifiers)
id-pkix的对象标识符为:
id-pkixOBJECTIDENTIFIER::={iso(1)identified-organization(3)
dod(6)internet(1)security(5)mechanisms(5)pkix(7)}
--用于InternetX.509PKI协议及其组件的部分
id-pkipOBJECTIDENTIFIER::{id-pkiXPkip(5)}
--在CRMF中的注册登记控制(RegistrationControls)
id-regCtrlOBJECTIDENTIFIER::={id-pkipregCtrl(1)}
id-regCtrl-regTokenOBJECTIDENTIFIER::={id-regCtrl1}
id-regCtrl-authenticatorOBJECTIDENTIFIER::={id-regCtrl2}
id-regCtrl-pkiPublicationInfoOBJECTIDENTIFIER::={id-regCtrl3}
id-regCtrl-pkiArchiveOptionsOBJECTIDENTIFIER::={id-regCtrl4}
id-regCtrl-oldCertIDOBJECTIDENTIFIER::={id-regCtrl5}
id-regCtrl-protocolEncrKeyOBJECTIDENTIFIER::={id-regCtrl6}
--CRMF中的注册信息(RegistrationInfo)
id-regInfoOBJECTIDENTIFIER::={id-pkipid-regInfo(2)}
id-regInfo-asciiPairsOBJECTIDENTIFIER::={id-regInfo1}
--使用OCTETSTRING
id-regInfo-certReqOBJECTIDENTIFIER::={id-regInfo2}
--使用CertRequest
8对于安全的考虑
CRMF传送的安全性是基于协议或用于和CA通信的进程的安全结构 。这些协议或进程
需要确保完整性,数据来源的真实性和信息的隐私 。假如一个CRMF包括敏感的订户信息,
并且CA有一个终端实体所知的加密证书,那么强烈建议使用CRMF加密 。
9参考
[HMAC]Krawczyk,H.,Bellare,M.和R.Canetti,"HMAC:Keyed-HashingforMessage
Authentication"(“HMAC:为了保证信息真实性的密钥Hash散列”),RFC2104,1997.2 。
10谢辞
作者非常感谢BarbaraFox,WarwickFord,RussHousley和JohnPawling所做的贡献 。
他们的复审和建议进一步阐明和改善了本篇的实用功能 。
附录A.构造dhMAC
本附录描述了计算Diffie-Hellman证书请求的POPOPrivKey结构中的dhMAC位串的方
法 。
1终端产生一个DH公/私钥对
用于计算公钥的DH参数被详述在CA的DH证书中 。
从CA的DH证书中,CApub=g^xmodp,这里g,p是已有的DH参数,而x是
CA私有的DH组件 。
对终端E来说,DHprivatevalue=https://www.rkxy.com.cn/dnjc/y,Epub=DHpublicvalue=g^ymodp 。
2MAC进程有以下步骤组成
a) certReq项的值用DER编码,产生一个二进制串 。这就是在[HMAC]中提
到的‘text’,它是HMAC-SHA1算法所应用的数据 。
b) 计算共享的DHsecret,如下所示:sharedsecret=Kec=g^xymodp 。终端E
计算CApub^y,CApub是来自于CA的DH证书;CA计算Epub^x,Epub是来自
于证书请求 。
c) 密钥K来自于Kec,证书请求者名称,证书颁发者名称 。如下所示:K=

推荐阅读


上一篇:路灯的好处

下一篇:如何查自己本地IP和宽带IP