TELETRUST MailTrusT Spezifikation - Secorvo Security Consulting ...
TELETRUST MailTrusT Spezifikation - Secorvo Security Consulting ...
TELETRUST MailTrusT Spezifikation - Secorvo Security Consulting ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
5 Festlegung von Namensstrukturen und -formaten<br />
Aufgrund der Verwendung von X.509v1-Zertifikaten sind als Namen von Teilnehmern und<br />
Zertifizierungsstellen gemäß dieser <strong>Spezifikation</strong> stets X.500-Distinguished-Names zu<br />
verwenden.<br />
Im Rahmen einer Sicherheitsinfratruktur nach dieser <strong>Spezifikation</strong> ist darüber hinaus durch<br />
geeignete Regelungen sicherzustellen, daß alle innerhalb der Infrastruktur vergebenen<br />
Namen infrastrukturweit eindeutigt sind. Es darf in der gesamten Infrastruktur weder zwei<br />
Teilnehmer mit gleichem Namen, noch zwei Zertifizierungsstellen mit gleichem Namen, noch<br />
einen Teilnehmer und eine Zertifizierungsstelle mit gleichem Namen geben können.<br />
Werden innerhalb einer Sicherheitsinfrastruktur keine speziellen Regelungen getroffen, um<br />
die Eindeutigkeit von Namen sicherzustellen, so sind die in PEM definierten Regeln der<br />
Namenssubordination anzuwenden, mit Hilfe derer ebenfalls eine eindeutige Vergabe von<br />
Namen erreicht wird:<br />
• Unterhalb der CA-Ebene gilt die Regel der Namenssubordination: CAs dürfen nur Zertifikate<br />
ausstellen, bei denen der im „subject“-Feld eingetragene Subjektname ihren<br />
eigenen CA-Namen als Präfix enthält.<br />
• CAs dürfen innerhalb ihres Bereichs nur eindeutige Namen vergeben.<br />
• Die Wurzel einer Zertifizierungshierarchie (in der Regel die TLCA oder eine PCA) hat<br />
eine Datenbank zu führen, in der die Namen aller PCAs und CAs geführt und bei Neuzulassung<br />
weiterer CAs und PCAs auf Kollisionsfreiheit geprüft werden.<br />
• Die Namen von CAs, die wiederum selbst von einer CA zertifiziert wurden (mehrstufige<br />
CA-Hierarchie, siehe 4.2.1) können bei Bedarf aus der Datenbank weggelassen werden,<br />
da ihre Namenskollisionsfreiheit bereits durch die Namenssubordinationsregel für die<br />
übergeordneten CAs gewährleistet ist.<br />
• Die Wurzel der Zertifizierungshierarchie hat die Aufgabe, die Kollisionsfreiheit aller<br />
Namen zu garantieren, die für CAs, PCAs und für sie selbst vergeben werden. Jede CA<br />
hat die Aufgabe, die Eindeutigkeit der von ihr zertifizierten Namen zu garantieren. In<br />
Zusammenwirken mit der Namenssubordination wird damit insgesamt die Kollisionsfreiheit<br />
aller Namen innerhalb der gesamten Sicherheitsinfrastruktur gewährleistet.<br />
<strong>MailTrusT</strong>-<strong>Spezifikation</strong> Seite 38 von 52<br />
Mttspc11.doc Stand: 15. Dezember 1997