证书管理协议

证书管理协议(CMP)
家族: 未知
应用领域: 证书管理
最新版本: cmp2000(2)
最新版本的OID英语Object identifier 1.3.6.1.5.5.7.0.16
TCP/UDP端口: 829 (pkix-3-ca-ra)
CMP在TCP/IP模型中:
应用层 CMP CMP
HTTP HTTPS SMTP ...
传输层 TCP
网络互连层 IP (IPv4, IPv6)
网络接口层 以太网 令牌总线 令牌环 FDDI ...
建议标准:

RFC 4210 (CMP, 2005)

草案标准:

RFC 2510 (CMP, 1999)

证书管理协议(Certificate Management Protocol)是一个网际协议,用于在公开密钥基础建设(PKI)体系中获取符合X.509标准的数字证书。文档RFC 4210对其进行了详细地描述,该协议是至今为止唯二使用CRFM格式的(证书请求消息格式,Certificate Request Message Format,在文档RFC 4211中进行描述),另一个使用该格式编码的协议是CMC(基于CMS的证书管理英语Certificate Management over CMS,Certificate Management over CMS,在文档RFC 5273中进行描述)。RFC 2510中描述了一个过时的CMP版本,RFC 2511中描述了一个过时的CRMF版本。

CMP消息使用ASN.1进行编码,使用DER英语X.690#DER_encoding方法,通常在HTTP协议上传输。

PKI实体

在PKI体系中,证书颁发机构(CA)负责颁发数字证书,并作为服务端使用CMP协议。通过该协议获取数字证书的客户端被称为终端实体(end entity,EE)。EE和CA之间可以存在0个或者多个注册机构英语Registration authority(registration authorities,RA)。

特征

EE可以利用CMP从CA获取证书。 这可以通过“初始注册/认证”、“密钥对更新”或“证书更新”消息序列完成。通过撤销请求,它也可以取消其自己的一个证书。使用“交叉认证请求”,CA可以获得由另一个CA签署的证书。如果EE失去了私钥并由CA存储,可能会通过请求“密钥对恢复”来恢复。

传输

可以有多种传输方式携带CMP消息:[1]

MIME类型application/pkixcmp;旧版本草案为application/pkixcmp-pollapplication/x-pkixcmpapplication/x-pkixcmp-poll

参考文献