(Public Key Cryptography Standard(PKCS
برای PKI تعدادی استاندارد وجود دارد که برای کار با Digital Certificateها استفاده میشود که شامل موارد زیر میباشد:
- PKCS#10
برای این استاندارد فرمتی برای Certificate Request میباشد.
- PKCS#7
این استاندارد فرمتی برای Response به Certificate Request از طرف CA میباشد به عبارت دیگر نقطه مقابل PKCS#10 میباشد.
- PKCS#1
استانداردی برای RSA Cryptography میباشد.
- PKCS#12
فرمتی برای ذخیره هر دو کلید Public و Private میباشد که توسط یک پسورد Symmetric میتوان آن را Unlock کرد.
- PKCS#3
فرمتی برای تبادل کلیدها توسط Diffe-Hellman میباشد.
(Simple Certificate Enrollment Protocol(SCEP
یکی از پروتکلهای شرکت Cisco میباشد که با استفاده از آن میتوان عملیات Request و Install یک Certificate را از یک CA به صورت اتوماتیک انجام داد.
در شکل زیر میتوانید نحوه کار SCEP را مشاهده کنید.
Revoked Certificates
برای مشاهده Certificateهایی که باطل یا Revoke شدهاند بایستی لیست CRL را با استفاده از پروتکل HTTP و LDAP بررسی کنیم به عبارت دیگر به صفحه HTTP یک CRL رفته و با استفاده از پروتکل LDAP بایستی به صورت Manual عمل جستجو Certificate را انجام دهیم.
در شکل زیر میتوانید دلایلی که میتواند باعث شود که یک Certificate باطل یا Revoke شود را مشاهده کنید.
Online Certificate Status Protocol
پروتکلی است که با استفاده از آن میتوان به صورت Online وضعیت یک Certificate را بر اساس Serial Number آن بررسی کرد و دیگر نیازی به بررسی تمام لیست نمیباشد و خود این پروتکل عملیات جستجو را برای ما انجام میدهد.
در شکل زیر میتوانید ساختار OCSP را مشاهده کنید.
(Authentication,Authorization,Accounting(AAA
عملیات بررسی Revoke Certificateها را میتوان توسط Cisco AAA نیز انجام داد ولی از آنجایی که این روش مختص شرکت سیسکو میباشد اغلب در PKI استفاده نمیشود.
Use For Digital Certificate
کاربرد Certificate شامل موارد زیر است:
- HTTPS یا (SSL (Secure Soket Layer
بیشتر در صفحات بانکی استفاده میشود.
- IPSEC VPN
بیشتر در قسمت Authentication میان سایتها استفاده میشود.
- 802.1x
برای Authentication یک کاربر استفاده میشود.
PKI Topologies
انواع توپولوژیهایی که در PKI استفاده میشود شامل موارد زیر میباشد:
- Single Root
در این توپولوژی یک Root CA وجود دارد که وظیفه اختصاص Certificate را برعهده دارد که برای Scaleهای کوچک مناسب میباشد.
در شکل زیر میتوانید ساختار Single Root CA را مشاهده کنید.
Hierarchical CA and Subordinate CA
در این توپولوژی شما یک Root CA و چندین Subordinate CA دارید که Subordinate CAها Certificate خود را از Root CA میگیرند و Clientها نیز Certificate خود را از Subordinate CA میگیرند و شما برای Authentication یک CA نیاز به Certificate و Root دارید علاوه بر آن نیز نیاز به Certificate Subordinate دارید.
این توپولوژی بیشتر در سازمانهای بزرگ استفاده میشود.
در شکل زیر Hierarchical CA را مشاهده میکنید:
Cross-Certifying CA
در این نوع توپولوژی یک Trust Relationship میان CAها وجود دارد که باعث میشود از Certificate یک یا چندین CA دیگر نیز در ساختار خود استفاده کنیم.
در شکل زیر میتوانید نحوه عملکرد Cross-Certifying CA را مشاهده کنید.
در مبحث آموزشی بعدی؛ اقدام به پیادهسازی یک سناریو عملی جهت راهاندازی یک CA Server برروی Cisco Router میکنیم؛ که هر SITE بایستی بتوانند CA Server را Authenticate کنند و در مرحله بعد بتوانند یک Certificate از CA نیز Enroll کنند و همچنین بایستی یک Identity Certificate از CA بتوانند دریافت کنند که این Certificate در سناریوهای بعدی برای اجرا و پیادهسازی IPSEC و یا SSL قابل استفاده خواهد بود.