Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Education Center
    2. Public Key Infrastructure (PKI)

Vad är en objektidentifierare (OID) i PKI? Hur får man tag på en OID?

Postat avDivyansh Dwivedi 9 minuter
Vad-är-en-Objektidentifierare-OID-i-PKI_-Hur-får-du-ett-OID
Innehållsförteckning

Objektidentifierare (OID) är som domännamnsutrymmet på internet. Organisationer som behöver en identifierare kan ha ett rot-OID tilldelat sig, så att de kan skapa sina egna under-OID:er ungefär som de kan skapa underdomäner. En stor och standardiserad uppsättning OID:er finns redan.

Vad betyder objektidentifierare (OID)?

Objektidentifierare (OID) är globalt unika identifierare som säkerställer att identifierare som skapats av olika organisationer inte kolliderar. De följer ett hierarkiskt och standardiserat sätt för att identifiera objekt, processer och protokoll. Ett OID kan tillämpas på varje CPS (Certifikat OID är en identifierare som är kopplad till CPS eller, om flera policyer är definierade, till varje CA:er Certifikatpolicy. För allmänna certifikatutfärdare kan du använda en universell objektidentifierare med värdet 2.5.29.32.0. Denna identifierare betyder "Alla utfärdandepolicyer" och är en sorts jokerteckenpolicy. Alla policyer kommer att matcha denna identifierare under validering av certifikatkedjan.

Hierarki för ett OID

Ett OID är hierarkiskt strukturerat och liknar ett träd. Varje nivå i trädet representeras av en sekvens av heltal, separerade med punkter (.Ett exempel på en typisk OID är 1.2.840.113549, vi kommer att avkoda detta i ett senare avsnitt. Varje segment (siffrorna mellan punkterna) representerar en nod i hierarkin, som formellt definieras med hjälp av ITU:s OID-standard, X.660. Rotbågar leder trädets hierarki och därefter följs av underbågar som som helhet skapar ett flexibelt identifieringssystem. Här är representationen av ett OID:

• Rotbågar: Den översta nivån i hierarkin, eller vi kan säga, den första siffran i ett OID.

  1. ITU-T (0)
  2. ISO (1)
  3. Gemensam ISO/ITU-T (2)

Delbågar: Representerar organisationer, länder eller syften.

Avkodning av ett OID

Låt oss förstå detta med ett exempel 1.2.840.113549Varje punkt representerar en nivå och har sin betydelse här.

  • 1 – ISO (Internationella standardiseringsorganisationen)
  • 2 – ISO-medlemsorgan
  • 840 – USA (ANSI – American National Standards Institute)
  • 113549 – Avser RSA Data Security, Inc. och PKCS-serien (Public Key Cryptography Standards).

Vad är en PEN-identifierare?

Privata företagsnummer används främst i objektidentifierare (OID), vilket är reserverat för privata företagSyftet är att låta organisationer skapa sina egna namnrymder inom OID-strukturen för internt bruk. Objektidentifierare styrs av IANA och du måste registrera ett privat företagsnummer (PEN), eller OID-båge, under namnrymden 1.3.6.1.4.1. Här är PEN-registreringssidan: https://pen.iana.org/pen/PenApplication.page

När ditt OID-namnområde har hämtats kommer det att se ut så här: 1.3.6.1.4.1.{PENnumber}. Du kan tilldela certifikatpolicyer under ditt privata namnområde, till exempel:

  • 1.3.6.1.4.1.{PEN-nummer}.1.1 – Policy för utfärdande av smartkort
  • 1.3.6.1.4.1.{PEN-nummer}.1.2 – Policy för utfärdande av digitala signaturer
  • 1.3.6.1.4.1.{PEN-nummer}.1.3 – Krypteringscertifikat med utfärdandepolicy för nyckelarkivering

Några exempel på PEN OID:er är 1.3.6.1.4.1.311(Microsoft) och 1.3.6.1.4.1.9(Cisco Systems).

Var får man tag i ett OID?

Ett OID är en unik siffersekvens som identifierar ett specifikt katalogobjekt eller attribut. Du kan definiera ett OID för en CPS som antingen ett offentligt eller privat OID.

Om organisationen planerar att använda PKI-aktiverade applikationer i samarbete med andra organisationer måste organisationen skaffa ett OID från ett offentligt nummertilldelningsföretag för att intyga att deras OID kommer att vara unikt på internet. Källor för offentliga OID:er inkluderar:

  • Internet Assigned Numbers Authority (IANA). Denna källa utfärdar gratis OID:er under kategorin Private Enterprises. Varje IANA-ID börjar med siffrorna 1.3.6.1.4.1 som representerar iso(1).org(3).dod(6).internet(1).private(4).enterprise(1).

AnmärkningarEn båge är den term som används för att referera till en specifik sökväg i det globala OID-trädet som underhålls av Internationella standardiseringsorganisationen (ISO) och Internationella telekommunikationsunionen. Detta globala OID-träd kallas ibland för det gemensamma ISO/ITU-T-trädet. Till exempel innehåller bågen för privata företag alla OID:er som börjar med 1.3.6.1.4.1.

  • American National Standards Institute (ANSI). Denna källa utfärdar OID:er för köp under US Organizations-bågen i ANSI OID-trädet. Varje OID som tilldelas av ANSI börjar med siffrorna 2.16.840.1, vilket representerar joint-iso-itu-t(2). country(16).US(840). US company-båge(1).
  • Andra länder. Varje land har sin egen organisation för OID-hantering. Det enklaste sättet att hitta organisationen för ett givet land är att göra en Google-sökning (www.google.com) med sökfrasen Land (där Land är namnet på det givna landet) och ”Objektidentifierare”. Här är några exempel på de bågar som finns tillgängliga inom det gemensamma ISO/ITU-T-trädet:
    • Kanada: joint-iso-itu-t(2).country(16).canada(124)
    • Nederländerna: joint-iso-itu-t(2).country(16).netherlands(528)
    • Schweiz: joint-iso-itu-t(2).country(16).switzerland(756)
    • Thailand: joint-iso-itu-t(2).country(16).thailand(764)

Du kan också generera ett privat OID baserat på din skogs globalt unika identifierare (GUID) i det Microsoft IANA-tilldelade trädet. Om du väljer att använda dessa OID:er får du ett OID tilldelat från 1.3.6.1.4.1.311.21.8.abcde1.402 (där abcde är en unik siffersträng baserad på din skogs GUID).

AnmärkningarAnvänd det privata OID-trädet endast om du inte planerar att använda OID:erna tillsammans med andra organisationer och din organisation inte är villig att skaffa ett gratis IANA-ID. Om du planerar att använda PKI-aktiverade applikationer inom andra organisationer, skaffa ett gratis OID-träd från IANA eller köp ett träd från ANSI.

TipsDu kan hämta din skogs privata OID genom att öppna konsolen Certifikatmallar (certtmpl.msc) som medlem i gruppen Företagsadministratörer. I konsolträdet högerklickar du på Certifikatmallar och klickar på Visa objektidentifierare. I den resulterande dialogrutan kan du välja objektidentifieraren med hög assurans och klicka på knappen Kopiera objektidentifierare. När du har kopierat OID:t kan du lägga till din skogs värden i platshållarna abcde och ta bort eventuella efterföljande siffror.

Varför behöver du OID:er?

Vi har förstått vad OID är och hur man får tag på det, men du kanske undrar varför vi behöver dessa OID:er? Låt oss se några viktiga anledningar:

  1. Global unikhet

    En av de främsta anledningarna är att OID:er säkerställer att identifierare som skapats av olika organisationer inte kolliderar, ungefär som hur domännamn förhindrar namnkonflikter på internet.

  2. Standardisering

    OID:er används ofta i internationella standarder, särskilt inom säkerhetsprotokoll (t.ex. certifikat, kryptografi), hälso- och sjukvård (t.ex. HL7, DICOM) och telekommunikation.

  3. Skalbarhet

    Organisationer kan skapa ett obegränsat antal sub-OID:er efter behov, när de väl har sitt rot-OID. Detta är användbart för att tilldela identifierare inom ett stort, komplext system utan att behöva förlita sig på externa register för varje identifierare.

  4. Säkerhet

    Inom kryptografi och digitala certifikat (som X.509) har varje signaturalgoritm, precis som SHA-256 med RSA-kryptering, ett OID som identifierar den unikt. OID:t för en algoritm fungerar som en signatur som ger en globalt unik referens till algoritmtypen.

Tillägg av certifikatpolicyer

Certifikatpolicytillägget, om det finns i ett utfärdarcertifikat, uttrycker de policyer som följs av CA, både vad gäller hur identiteter valideras innan certifikatutfärdande samt hur certifikat återkallas och de operativa metoder som används för att säkerställa CA:ns integritet. Dessa policyer kan uttryckas på två sätt: som ett OID, vilket är ett unikt nummer som refererar till en given policy, och som en mänskligt läsbar certifikatpraxis (CPS). Ett certifikatpolicytillägg kan innehålla både det datorkänsliga OID:t och en utskrivbar CPS. Ett särskilt OID har avsatts för varje policy, vilket anger att CA kan utfärda certifikat enligt en fritt formulerad policy.

IETF RFC 252717 ger en fullständig beskrivning av vad som bör finnas i ett CA-policydokument och en CPS. Mer information om 2527-riktlinjerna finns i avsnittet "PKI-policybeskrivning".

Enligt RFC5280 §4.2.1.4 består en post i certifikatpolicytillägget av minst en policyidentifierare (OID). Tillägget Single Certificate Policies kan innehålla flera poster, en post per policy. Policyidentifieraren kan kombineras med en eller flera policykvalificerare. RFC5280 stöder två policykvalificerare:

  1. CPS-pekare
  2. Användarmeddelande

CPS-pekare är en URL till ett dokument med certifikatpraxis som beskriver den policy enligt vilken certifikatet i ämnet utfärdades.

Användarmeddelande är en liten textstycke (RFC rekommenderar att man använder högst 200 tecken) som beskriver policyn.

Microsoft kräver att certifikatpolicytillägget måste bestå av en policyidentifierare och en eller flera policykvalificerare. Föredragen policykvalificerare är en CPS-pekare eftersom användarmeddelandet är kort och inte kan ge tillräckligt med information, medan du i CPS-pekaren kan ange en URL till ett CPS-dokument eller en webbsida. En annan anledning att använda CPS-pekaren är att när du öppnar ett digitalt certifikat i användargränssnittet finns det en knapp som heter "Utgivarens uttalande".

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Dialogrutan för certifikatets grafiska gränssnitt letar efter certifikatpolicytillägg i certifikatet och aktiverar knappen när den hittas. Genom att trycka på knappen omdirigeras du till en första CPS-pekar-URL där du kan läsa certifikatutfärdarens uttalande.

Undrade du varför rot-CA-certifikat inte behöver ha en certifikatpolicy-tillägg? – Eftersom en implicit certifikatpolicy-tillägg med jokertecknet "Alla utfärdandepolicyer" är implicit för självsignerade certifikat. Och inga anpassade policyer får definieras på rotnivå. Certifikatpolicy-tillägget måste visas på andra nivån (policy-CA i en 3-nivåhierarki eller utfärdande certifikatutfärdare när policy- och utfärdande certifikatutfärdarroller kombineras i en 2-nivåhierarki).

Till exempel, Certifikatpolicyer utseende i en 3-nivåhierarki:

Rot-CA – ingen tilläggspolicy för certifikat

Policy CA – Utökning av certifikatpolicyer med en eller flera policyer

Utfärdande CA – Certifikatpolicyutökning med en eller flera policyer

Leaf-certifikat – Utökning av certifikatpolicyer med en eller flera policyer

ANMÄRKNINGARI en tvånivåhierarki är vägen kortare, men samma regler gäller.

Slutsats

Objektidentifierare (OID) spelar en viktig roll i PKI och fungerar som unika identifierare för certifikatsystem, Certifikatpraxisutlåtanden (CPS)och andra katalogobjekt. Att få ett OID kräver registrering hos en offentlig nummerorganisation som IANA eller köp av en produkt enligt ANSI, beroende på dina behov. Krypteringskonsulttjänster kan hjälpa till att generera och hantera OID:er, vilket säkerställer att din PKI-infrastruktur är kompatibel och unik.

Utforska

Fler ämnen