Strona główna

 

Krajowy Rejestr Identyfikatorów Obiektów

Polski Komitet Normalizacyjny
Krio strona główna

Strona główna  Rejestr nazw obiektów  Przykład wykorzystania

Przykład wykorzystania

W certyfikatach klucza publicznego (patrz np. pole AlgorithmIdentifier w certyfikacie z rys. poniżej) zgodnych z rekomendacją X.509 (ITU-T Recommendation X.509) powszechnie stosowane są identyfikatory obiektów. Zawsze, gdy w X.509 zachodzi potrzeba zidentyfikowania określonego obiektu, np. algorytmu podpisu cyfrowego, polityki certyfikacji, alternatywnej nazwy użytkownika lub określonych przez użytkownika tzw. rozszerzeń prywatnych, należy skorzystać z mechanizmu definiowania identyfikatorów obiektów. Identyfikatorem obiektu (w skrócie OID, ang. Object Identifier) jest w tym przypadku wartość numeryczna będąca ciągiem liczb całkowitych. Jest ona unikalna pośród wszystkich nazw obiektów (nie tylko innych OID-ów).

OID-y przydziela się zgodnie z hierarchiczną strukturą drzewa nazw RH, przypisanego organowi rejestracji przydzielającemu dany OID. Oto przykład, jak rejestruje się identyfikator polityki certyfikacji.

Załóżmy, że firma XCA wydaje i unieważnia certyfikaty klucza publicznego (szerzej – świadczy usługi związane z PKI) na potrzeby swoich klientów, np. banków. Wszystkie czynności XCA muszą przebiegać zgodnie ze spisaną polityką certyfikacji / wydawania certyfikatów.

 

 

Zgodnie z wymogami rekomendacji X.509 każda polityka certyfikacji powinna zostać zarejestrowana (powinna być jednoznacznie globalnie identyfikowalna) po to, aby posługujący się certyfikatem (tzw. strona ufająca) mógł określić np. obowiązki XCA (włącznie z gwarancjami finansowymi w przypadku strat poniesionych z powodu zaufania certyfikatom XCA) lub też stwierdzić czy certyfikat został wydany przez zatwierdzonego wystawcę certyfikatów.

Identyfikator polityki certyfikacji może być narzucony firmie XCA przez instytucję zewnętrzną lub określony przez firmę XCA. Niezależnie od tego, z jakim przypadkiem mamy do czynienia, identyfikatory polityk certyfikacji mogą być tworzone dopiero wówczas, gdy wcześniej same zarejestrowały swoją nazwę organizacji w Rejestrze Nazw Organizacji (ścieżka rejestracji iso(1) member-body(2) pl(616) organization(1)).

Proces budowania identyfikatora polityki certyfikacji CC wygląda więc następująco:

  • Na wniosek firmy XCA Rejestr Nazw Organizacji zarządzający domeną organization, przydziela XCA identyfikator, np. o postaci (w notacji ANS.1, patrz rekomendacje X.208 i X.209):

 

id-xca OBJECT IDENTIFIER ::= {iso(1) member-body(2) pl(616)
organization(1) xca(115000)}

Należy zauważyć, że numeryczną wartością nazwy firmy XCA jest 115000, zaś wartością alfanumeryczną ciąg xca.

  • Firma XCA musi z kolei przydzielić identyfikator realizowanej przez siebie polityki certyfikacji:

 

id-xca-polCert OBJECT IDENTIFIER ::= { id-xca 100}

 

  • Jeśli firma XCA ma złożoną strukturę organizacyjną i z tego względu w jej ramach wydzielono poddomeny nazewnictwa (np.: komórki organizacyjne, ochrona informacji) i przypisano im identyfikatory (odpowiednio komOrg(1) i infoSec(2)), identyfikator polityki będzie miał inną postać, np.:

 

id-xca-polCert OBJECT IDENTIFIER ::= { id-xca(115000) infoSec(2) 10}

 

Powyższy przykład pokazuje, że przyjęta procedura gwarantuje budowanym identyfikatorom unikalność przy założeniu, że każdy organ rejestrujący nazwy w obrębie swojej domeny będzie uzupełniał ścieżkę identyfikatorów prowadzącą od korzenia drzewa o unikalne liczby całkowite.

Wartość numeryczna i alfanumeryczna xca(115000) przydzielona organizacji XCA przez RNO‑KRIO musi być zawsze użyta przez tę organizację jako piąty element (komponent) w nazwie przypisanej dowolnemu obiektowi informacyjnemu, wydzielonemu w ramach tej organizacji. Liczba komponentów, występujących po komponencie xca(115000) jest dowolna i zależy jedynie od potrzeb organizacji (w naszym przypadku organizacji XCA).