1

간단한 인증서 등록 프로토콜 (SCEP)에서 챌린지 암호의 용도는 무엇입니까?SCEP의 챌린지 암호

내 이해는 장치를 인증하는 데 사용됩니다.

제 질문은 공개 키와 개인 키 쌍을 사용하여 인증과 어떻게 다릅니 까?

답변

1

인증서가 손상된 경우 (개인 키가 도난당한 경우 등) 용어가 끝날 때까지 유효하기 때문에 인증서는 해지해야합니다.

인증서에 액세스 할 수있는 관리자는 인증서를 취소 할 수 있습니다. 인증서 서명 요청 중에 암호 이 지정되면 암호를 취소하기 전에 암호 이 필요합니다.

따라서 비밀번호가없는 사람이 을 해지하지 못하도록하는 것이 유일한 시도입니다.

+1

그래서 챌린지 암호의 목적은 무단 액세스로부터 인증서를 보호하는 것입니까? – user3345390

+0

예. 도전 passoword의 목적입니다 .. – kayle

2

챌린지 암호는 등록 과정에서 사용됩니다. SCEP specification (섹션 2.3)에 명시된 바와 같이

PKCS # 10 [RFC2986] 등록 요청의 일부로서 전송 될 수있는 PKCS # 9 [RFC2985] challengePassword 속성을 지정한다. 을 포함하면 SCEP 클라이언트의 challengePassword는 OPTIONAL이며 등록 요청의 인증되지 않은 권한 부여를 허용합니다. PKCS # 7 [RFC2315] 봉투는 챌린지 암호의 개인 정보를 보호합니다.

challengePassword를 사용할 때 서버는 요청을 요청자와 고유하게 연관시키는 요청자에게 공유 secret을 배포합니다. 비밀의 분배는 비공개 여야합니다. 최종 주체 만이 비밀을 알아야합니다. 요청자와 암호 간의 실제 바인딩 메커니즘은 서버 정책과 구현 인 의 적용을받습니다.

섹션

2.5 초안 상태 다음 challengePassword 자동 요청을 승인하기 위해 사용될 수있다

. 2.8 절에서

SCEP 초안 상태 :

SCEP 인증서 해지를 요청하는 방법을 지정하지 않습니다. 도전 암호가 다음 등록 과정에서 사용 된 경우

하지만 : 인증서를 취소하기 위해

, 요청자 비 SCEP 정의 메커니즘을 사용하여 CA 서버 운영자에게 문의해야합니다. PKCS # 10 [RFC2986] challengePassword는 등록 인증을 위해 SCEP에서 사용하지만 (등록 승인 (섹션 2.3))이 경우 은 CA 서버가 challengePassword의 레코드를 유지 관리하여 [RFC2985]에 의해 암시 된 과 같은 후속 해지 작업 중에 사용하는 것을 금지하지 않습니다.