Column | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
IntroduksjonBuypass tilbyr en katalogtjeneste for å hente ut sertifikater utstedt fra Buypass CA. Dette kan være hensiktmessig i tilfeller der man trenger å finne sertifikatet til en part man skal kommunisere med, feks for å få tak i den offentlige nøkkelen for å kryptere en melding. Tjenesten kan også benyttes for å hente ut CA-sertifikater og CRL-er. Katalogtjenesten benytter LDAP (v3) og benyttes kun til oppslag, dvs tjenesten kan kun brukes til å hente ut informasjon, ikke til å legge til eller endre informasjon. Tjenesten krever ikke klientautentisering. Katalogtjenesten er basert på bruk av LDAP-protokollen med parametre som angitt i tabellen nedenfor.
Oppslag på sertifikater via LDAPLDAP er en protokoll som benyttes for å aksessere elementer i en katalogstruktur som i vårt tilfelle består av CA-er og sertifikater. Vi kan se på CA-ene som noder i en slik katalogstruktur der det er mulig å søke etter attributter som sertifikater, CA-sertifikater og CRL-er. I eksemplet nedenfor ser vi informasjon som returnes ved oppslag på CA = Buypass Class 3 CA G2 ST Business i vårt testmiljø. Attributtene til høyre er attributter som returneres fra CA-en som node i katalogstrukturen, dette inkluderer CA-sertifikat og CRL. På venstre finner vi sertifikater utstedt under CA-en, i dette tilfellet resultat av søk med default søkeattributter begrenset i hht regler beskrevet nedenfor. Vi kan se på disse elementene som attributter som brukes av LDAP tjenesten:
CA-er som det kan søkes påLDAP kan brukes for å hente ut både personsertifikater og virksomhetssertifikater utstedt under CA-ene oppgitt i tabellen nedenfor.
Se også Nye CA-er ('generasjon 2') for informasjon om hvilke CA-er som brukes for sertifikater utstedt med hhv SEID v1.0 og SEID v2.0 sertifikatprofiler. I tillegg er det definert en generalisert søkebase som kan benyttes på tvers av alle CA-ene:
For testsertifikater benyttes stammen "Buypass Class 3 Test4 CA" i stedet for "Buypass Class 3 CA" - ellers er tjenesten tilsvarende i test. Bruk av tjenestenTjenesten brukes normalt for å søke etter sertifikater ved bruk av søkbare attributter via et søkefilter i en LDAP klient, disse er angitt i tabellen nedenfor sammen sammen med hvilke sertifikater disse kan brukes for.
Søk kan konstrueres i hht rfc 4511 og rfc 4515 for å gjøre oppslag på sertifikater basert på spesifikke sertifikatattributter. Det er en 1:1 mapping mellom de søkbare attributtene i tabellen over og sertifikatattributter. Feks:
Det er lagt inn en begrensning på antall sertifikater som returneres i hvert søk =20. For sertifikatinnehavere som har mange sertifikater, kan dette være en utfordring, men det er de sist utstedte sertifikatene som blir returnert. Dette forutsetter imidlertid at søkefiltrene gir eksakt match (ikke wildcard). EksemplerEksempler på LDAP søkestrenger for Virksomhetssertifikater Europa som er utstedt under ny Buypass Class 3 Test4 CA G2 ST Business:
Eksempler på LDAP søkestrenger for Virksomhetssertifikater generelt for et gitt organisasjonsnummer og navn
Eksempel på virksomhetssertifikat til underenhet:
Eksterne referanser
Alternative løsningerI en del sammenhenger kan det være aktuelt å benytte den nye tjenesten CertPub (BCP/BCL) for å hente ut sertifikater. Les mer om denne her: https://certpub.com/. |
Column | ||
---|---|---|
| ||
Column | ||||||
---|---|---|---|---|---|---|
| ||||||
|
Column | ||
---|---|---|
| ||
Section | ||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|