Введение в PKI: различия между версиями

Содержимое удалено Содержимое добавлено
Строка 210:
Важной особенностью инфраструктуры независимых УЦ является то, что она не является иерархией - это уже не древовидная структура, а граф произвольного вида (в котором могут быть петли, а в результате каких-то катаклизмов - и обособленные участки). В этой ситуации, для взаимодействия УЦ из разных иерархий приходится выписывать сертификаты специального вида, которые называются ''кросс-сертификаты''.
 
== Зачем всё это нужно? ==
Основной вопрос: а зачем это нужно в реальной жизни? Если не рассматривать огромные, поросшие бюрократическим мхом, транснациональные корпорации и министерства?
 
Ответов два: во-первых, полное понимание инфраструктуры (точнее, вариантов построения инфраструктуры) - это лучше, чем неполное понимание или полное непонимание. В определенённые моменты времени может оказаться так, что таки придётся делать кросс-сертификацию для нескольких инфрактурктур. В этом случае лучше понимать, что происходит, иначе последствия окажутся сильно хуже, чем кажется (например, неосторожно выписанный сертификат для чужого УЦ можем привести к автоматическому доверию сертификатам тысяч других УЦ, что, например, не есть цель сертификации).
 
Второй ответ (более прагматичный). Существующее ПО по работе с сертификатами исходит из общей модели, и для понимания, что эти программы делают, для чего, и что именно нужно сделать, чтобы "оно работало". Возможно, от УЦ требуется всего-то навсего выписать сертификаты. Но ...шаблоны сертификатов, политики, критические дополнения, САС - всё это есть и всё это нужно знать. (Примером такого, кстати, является CA-сервис в windows server).
== Литература ==
* Полянская О.Ю. , Горбатов В.С. Инфраструктуры открытых ключей, Бином, 2007, ISBN: 978-5-9556-0081-9