Infrastruktura klucza publicznego i podpisy elektroniczne
- Józef Muszyński,
- 01.06.2001
System dostarczany jest w wersjach na różne platformy: Windows NT/2000, Solaris, HP-UX i AIX, i używa bazy danych Informix jako repozytorium danych związanych z systemem (nie jest używana jako magazyn certyfikatów). Może być stosowana także baza danych Oracle, ale musi być kupiona oddzielnie. Oddzielnie zakupić też trzeba najnowsze wydanie katalogu LDAP. Firma pośredniczy w sprzedaży katalogu Peer Logic/Critical Path Live Content X.500.
Administracja. Entrust/Master Control jest nadrzędnym punktem administrowania całym systemem PKI. Z tego miejsca administrator główny może wykonywać: niezbędną administrację bazą danych Informix (np. składowanie), sprawdzanie zawartości i (w razie konieczności) deszyfrowanie. W systemie administrowania funkcjonują pojęcia roli. Administratorem nadrzędnym jest Master User, który ma fizyczny dostęp do hosta PKI, jak również może powoływać i odwoływać inspektorów ochrony (SO - Security Officer) wykonujących operacje, takie jak ustawianie reguł polityki ochrony, powoływanie innych SO i administratorów, wykonywanie certyfikacji przechodnich z innymi CA itp. Codzienne czynności operacyjne wykonywane są przez administratorów, do zadań których należy dodawanie, usuwanie, utrzymywanie, odwoływanie i odtwarzanie użytkowników. Możliwe jest także ustanowienie zasady "podwójnego klucza", określającej, że co najmniej dwóch - SO lub administratorów - musi wykonać logowanie przed wykonaniem istotnych zadań.
CA kluczy podpisu elektronicznego. Musi być zarządzany w sposób całkowicie bezpieczny, aby zapewnić integralność transakcji biznesowych. Klucze do podpisu mogą być przechowywane również sprzętowo w specjalnych urządzeniach. System zapewnia automatyczną wymianę kluczy do podpisu przed upływem terminu ważności. Mechanizm ten jest operacją automatyczną i transparentną dla użytkownika. Proces ten umożliwia administratorowi ustawienie odpowiedniego czasu ważności klucza.
Certyfikacja przechodnia. Dostępna w Entrust/PKI, dopuszcza krzyżową wymianę informacji o kluczach pomiędzy wieloma CA. Proces ten jest podobny do tworzenia profili użytkowników, chociaż operacja w sposób oczywisty musi być wykonana przez oba CA. Z chwilą ustalenia zaufania certyfikaty mogą być rozpowszechniane, uaktualniane i odwoływane w ten sam sposób jak certyfikaty użytkowników. System obsługuje zarówno równorzędny, jak i hierarchiczny system certyfikacji przechodniej.