Книга: Инфраструктуры открытых ключей

Проблемы репозитория

Многие корпоративные домены используют онлайновый репозиторий для своевременного и надежного распространения сертификатов, информации об их статусе, а также другой информации, имеющей отношение к PKI (например, информации о политике). Опыт развертывания PKI свидетельствует о том, что предоставление услуг репозитория не обходится без проблем, которые связаны с отсутствием единых стандартов, принятых в индустрии, и совместимостью продуктов PKI разных поставщиков >[105].

Выбор репозитория

В PKI может быть реализовано несколько вариантов распространения сертификатов конечных субъектов, информации об их аннулировании и других релевантных данных; имеется ряд поставщиков, которые поддерживают один или несколько подобных сервисов. Как и в случае выбора поставщика технологии PKI, для организации важны гарантии, что поставщик репозитория предлагает гибкую функциональность и обеспечивает совместимость с продуктами многих поставщиков.

Отсутствие единых стандартов на сервисы каталога

Одна из проблем, связанных с сервисами каталога, заключается в отсутствии единого стандарта на эти услуги. Некоторые сегменты рынка адаптировали стандарты каталога X.500, но одновременно существует и разрабатывается большое количество стандартов, имеющих отношение к репозиторию. Например, известный упрощенный протокол доступа к каталогу LDAP, разработанный организацией IETF, с точки зрения технической перспективы находится в прямой конкуренции с протоколом DAP, базирующимся на стандарте X.500. Имеется еще ряд нерешенных проблем обмена информацией и взаимодействия "клиент-сервер" и "сервер-сервер". Рабочая группа LDAPext организации IETF разрабатывает ряд стандартов, таких как механизмы управления доступа и модели контроля доступа, в стадии разработки находится протокол LDUP >[87], который, вероятно, будет конкурировать со своим двойником - протоколом DISP (Directory Information Shadowing Protocol) стандарта X.500. Кроме того, распространение информации PKI выполняется и другими способами (см. лекцию 12).

Хотя любое из этих решений может вполне соответствовать требованиям конкретной организации, при взаимодействии систем PKI разных организаций могут возникнуть проблемы функциональной совместимости разных решений.

Масштабируемость и производительность

Наконец, с развертыванием сервиса репозитория связаны потенциальные проблемы масштабируемости и производительности. Очевидно, что необходимое количество серверов зависит от количества конечных пользователей, а также от срока действия списков САС (в предположении, что допускается кэширование) и других обстоятельств реализации (например, от того, поддерживаются ли дельта-списки САС). Также надо учитывать и дополнительную нагрузку на репозиторий, поскольку он часто используется не только для целей PKI, но и для других нужд организации.

Оглавление книги


Генерация: 1.259. Запросов К БД/Cache: 3 / 0
поделиться
Вверх Вниз