Certificate Management Protocol
Das Certificate Management Protocol (CMP, englisch für „Zertifikat-Verwaltungsprotokoll“) ist ein Protokoll von der IETF um digitale Zertifikate in einer Public-Key-Infrastruktur (PKI) nach dem Standard X.509 zu verwalten. Das Protokoll regelt hierbei die Interaktion zwischen den Komponenten einer PKI wie der Zertifizierungsstelle (CA) oder der Registrierungsstelle (RA) und einer Anwendung oder einem Benutzer.
CMP (Certificate Management Protocol) | ||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Familie: | unbekannt | |||||||||||||||||||||||||||||
Einsatzgebiet: | Zertifikatsverwaltung | |||||||||||||||||||||||||||||
Neueste Version: | cmp2000(2) | |||||||||||||||||||||||||||||
OID der neuesten Version: | 1.3.6.1.5.5.7.0.16 | |||||||||||||||||||||||||||||
TCP/UDP-Port: | 829 (pkix-3-ca-ra) | |||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||
Vorgeschlagener Standard: |
RFC 4210 (CMP, 2005) | |||||||||||||||||||||||||||||
Obsoleter Standard: |
RFC 2510 (CMP, 1999) |
Nachrichtentypen
Eine CMP Nachricht kann einem der folgenden Typen entsprechen:
- Initialisierungs-Anforderung
- Initialisierungs-Antwort
- Zertifizierungs-Anforderung
- Zertifizierungs-Antwort
- PKCS #10 Zertifizierungs-Anforderung
- Beweis des Schlüsselbesitzes-Aufgabe
- Beweis des Schlüsselbesitzes-Antwort
- Schlüssel-Aktualisierungs-Anfrage
- Schlüssel-Aktualisierungs-Antwort
- Schlüssel-Wiederherstellungs-Anfrage
- Schlüssel-Wiederherstellungs-Antwort
- Zurückziehungs-Anforderung
- Zurückziehungs-Antwort
- Kreuz-Zertifizierungs-Anforderung
- Kreuz-Zertifizierungs-Antwort
- CA-Schlüssel-Aktualisierungs-Bekanntgabe
- Zertifikats-Bekanntgabe
- Zurückziehungs-Bekanntgabe
- CRL-Bekanntgabe
- Bestätigung
- Verschachtelte Nachricht
- Allgemeine Nachricht
- Allgemeine Antwort
- Fehler-Nachricht
- Zertifikats-Bestätigung
- Befragungs-Anfrage
- Befragungs-Antwort
Nachrichtenformat
CMP-Nachrichten sind DER kodierte ASN.1 Datenstrukturen. Der Grundaufbau besteht aus einem Header, dessen Inhalt den meisten Nachrichtentypen gemein ist und aus einem Body, der Informationen enthält, die für den jeweiligen Typ spezifisch sind. Außerdem können optional noch Daten zum Schutz der Integrität sowie zusätzliche, für den Empfänger eventuell nützliche Zertifikate in einer Nachricht enthalten sein.
Der Body der Anforderungstypen für Initialisierung, Zertifizierung, Schlüssel Aktualisierung, Schlüssel Wiederherstellung und Kreuz-Zertifizierung entspricht dem in RFC 4211 definierten Certificate Request Message Format (CRMF, deutsch Zertifikats-Anforderungs-Nachrichtenformat). Die Formate der restlichen Nachrichten sind im RFC 4210 beschrieben, welches CMP definiert.
Transport
Für den Transport von CMP-Nachrichten gibt es viele Möglichkeiten, insbesondere:[1]
- Über TCP oder jedes andere zuverlässige, verbindungsorientierte Transportprotokoll.
- In HTTP-Nachrichten gekapselt, optional zusätzlich über TLS abgesichert (HTTPS).
- In CoAP-Nachrichten gekapselt, ggf. zusätzlich über DTLS abgesichert.[2]
- In Dateien, z. B. über FTP oder SCP.
- Per E-Mail, wobei der MIME-Kodierungsstandard benutzt wird. Der dabei gesetzte Content-Type ist application/pkixcmp. In älteren Versionen des Standards wurde application/x-pkixcmp verwendet.
Laut Peter Gutmann, dem Autor der cryptlib, und anderen Quellen ist der in HTTP gekapselte Transport am üblichsten.[3]
Implementierungen
- Die Bibliothek cryptlib implementiert CMP Komponenten.
- EJBCA, eine in Java geschriebene CA, implementiert ein Subset[4] der Funktionen von CMP.
- OpenSSL 3.0 implementiert die wichtigsten CMP-Features und bietet ein Kommandozeilen-Tool für einen CMP-Client.[5]
- Der Certifier der finnischen Firma Insta unterstützt CMP.
- BouncyCastle unterstützt CMP-Nachrichten für Java und C#.
Geschichte
Normen und Standards
- RFC 4210 Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP)
- RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF) [Basis für CMP und CMC]
- RFC 6712 Internet X.509 Public Key Infrastructure -- HTTP Transfer for the Certificate Management Protocol (CMP) [Erweiterung von RFC 4210]
Einzelnachweise
- tools.ietf.org
- https://datatracker.ietf.org/doc/html/draft-ietf-ace-cmpv2-coap-transport
- osdir.com (Memento des Originals vom 30. September 2007 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- ejbca.sourceforge.net
- CMP client support in OpenSSL 3.0 (englisch)
- Certificate Management Protocol (CMP) Updates
- Lightweight Certificate Management Protocol (CMP) Profile