Delen via

Certificaatketens

  • Artikel

Als u certificaten wilt gebruiken voor beveiliging, moet de echtheid en geldigheid van elk ontvangen certificaat worden geverifieerd. Deze verificatie is afhankelijk van het vertrouwensconcept en de overdracht van vertrouwen; Zie Hiërarchie van vertrouwensrelatiesvoor meer informatie.

Elk certificaat bevat een onderwerpveld dat de persoon of groep identificeert waaraan het certificaat is uitgegeven. Elk certificaat bevat ook een verlenerveld dat de certificeringsinstantie (CA) identificeert die bevoegd is om de identiteit van het onderwerp te certificeren.

Een certificaatketen bestaat uit alle certificaten die nodig zijn om het onderwerp te certificeren dat is geïdentificeerd door het eindcertificaat. In de praktijk omvat dit het eindcertificaat, de certificaten van tussenliggende CA's en het certificaat van een basis-CA die wordt vertrouwd door alle partijen in de keten. Elke tussenliggende CA in de keten bevat een certificaat dat is uitgegeven door de CA één niveau erboven in de vertrouwenshiërarchie. De basis-CA geeft een certificaat voor zichzelf uit.

Het proces van het verifiëren van de echtheid en geldigheid van een nieuw ontvangen certificaat omvat het controleren van alle certificaten in de keten van certificaten van de oorspronkelijke, universeel vertrouwde CA, via tussenliggende CA's, tot het certificaat dat zojuist is ontvangen, wat het eindcertificaat wordt genoemd. Een nieuw certificaat kan alleen worden vertrouwd als elk certificaat in de keten van dat certificaat correct is uitgegeven en geldig is.

Het bijhouden van alle certificaten die een nieuw eindcertificaat maken, kan lastig worden. Daarom biedt CryptoAPI- 2.0-technologie functies waarmee het maken van de keten van certificaten die een bepaald eindcertificaat back-up maken. Deze functies controleren en rapporteren ook over de geldigheid van elk certificaat in een keten.

De ketenbouw- en controlefuncties van CryptoAPI 2.0 gebruiken een ketenengine om ketenketens van certificaten te maken en te controleren. Een ketenengine definieert een winkelnaamruimte en cachepartitionering voor de infrastructuur voor certificaatketens. CryptoAPI 2.0 biedt een standaardketenengine voor elk toepassingsproces dat alleen gebruikmaakt van standaardsysteemarchieven (bijvoorbeeld MY, Root, CA en Trust) voor het bouwen en opslaan van ketens en caching. Een toepassing kan een eigen winkelnaamruimte definiëren of een eigen gepartitioneerde cache hebben door een eigen ketenengine te maken. Om optimaal cachinggedrag te bereiken, raden we u aan om tijdens het opstarten van de toepassing één keten-engine te maken en die ketenengine gedurende de levensduur van de toepassing te gebruiken.

Zie Certificate Chain Verification Functionsvoor een lijst met functies. Zie Voorbeeld van C-programma: een certificaatketen makenvoor een programma dat certificaatketens bouwt en certificaten verifieert.