ЗНАЙ ИНТУИТ, Лекция, Инфраструктури с публични ключове

6.1.8 Бележки Кръстосано сертифициране

Domino използва два вида кръстосани сертификати: Бележки за кръстосани сертификати и Интернет кръстосани сертификати. Ще опишем кръстосани сертификати Notes в този раздел и кръстосани сертификати за Интернет в раздела за инфраструктура на публичния ключ в Интернет по-късно в тази глава.

Кръстосните сертификати на Notes позволяват удостоверяване и защитени съобщения и по този начин позволяват на потребители от различни организации със собствена йерархия на сертифициране да имат достъп до сървъри и да получават подписани пощенски съобщения. От друга страна, интернет кръстосаните сертификати са по-фокусирани върху осигуряването на сигурни съобщения и по този начин те позволяват на потребителите да получават подписани пощенски съобщения и да изпращат криптирани пощенски съобщения.

Какво представляват бележките за кръстосани сертификати?

Имайки предвид вече дадения модел с йерархии на сертифициране, ние отбелязваме, че удостоверяването от един потребител на друг потребител или сървър няма да се извършва, ако някой от тях е в друго дърво на имената.

Значението на този проблем се увеличава в организации с динамична структура, които се превръщат в норма в наши дни (когато сливанията, придобиванията, сливанията и реорганизациите са често срещани).

В тази връзка редовно възниква въпросът: „Как можем да свържем множество йерархии на сертифициране или дървета с имена?“ Отговорът е, че макар да не е възможно простото и ефективно свързване на множество съществуващи дървета за сертифициране в една йерархия на сертифициране, все още има място за успех в тази посока.

Notes и Domino предоставят метод за хора и сървъри за удостоверяване срещу други сървъри от други йерархии за сертифициране. Те също така предоставят на хората от една йерархия на сертифициране метод за ефективна комуникация и изграждане на доверие с хора от друга йерархия на сертифициране.

Това се постига чрез кръстосано сертифициране, което е форма на модел на доверие между партньори (сертифициране).

Три вида кръстосано сертифициране

Кръстосано сертифициране може да се случи на различни нива в организацията. Има три възможни типа кръстосано сертифициране, както е посочено по-долу:

  • между две организации (или подразделения на организации);
  • между двама потребители или сървъри;
  • между организация и потребител или сървър.

Преди да опишем подробно тези видове, ние дефинираме няколко понятия, които трябва да разберете.

  • Двустранното кръстосано сертифициране не трябва да бъде симетрично. Например една организация може да има кръстосано удостоверение за източника на сертифициране на организационна единица, а друга организация може да има кръстосано удостоверение за източника на сертифициране на организацията.
  • Кръстосаното сертифициране, ако е направено неправилно, може да намали нивото на сигурност в домейна на организацията. Най-либералният модел на кръстосано сертифициране включва достъп до сървърите на организацията от хората, с които организацията е кръстосано сертифицирана. Това означава, че тези хора могат да имат достъп до сървъри, съдържащи поверителна информация. В светлината на това е разумно да се създадат ограничения за достъп, за да се попречи на хората от други организации да имат достъп до сървъри, които съдържат информация, която по своята същност е поверителна и е предназначена само за хора от тяхната организация.
  • За да опростим следните примери, ние не правим разлика между списъци за достъп до сървъри и списъци за контрол на достъпа до бази данни (ACL) и тяхната способност да ограничават достъпа до сървъри и бази данни.
Кръстосано сертифициране между две организации

Да приемем, че има типично организационно събитие, при което две отделни организации, Widget и Acme, решиха да се слеят.

В този случай организациите изискват най-простата форма на кръстосано сертифициране, при която всички потребители и сървъри на двете организации могат да се удостоверяват взаимно.

За постигане на тази цел ще бъдат изпълнени следните стъпки:

  1. Органът за удостоверяване на организацията Acme (/ Acme) получава кръстосания сертификат за органа за сертифициране на приспособления за организиране на приспособления (/ Widget) и го съхранява в директорията Domino на организацията Acme.
  2. Органът за сертифициране на Widget организация (/ Widget) получава кръстосан сертификат за Acme Organisation Certification Authority (/ Acme) и го съхранява в директорията Domino на организацията Widget.