Переключение между УЦ с помощью Spawn

[agievich]

Процесс Spawn реализует "выпуск нового сертификата для стороны, которая располагает действительным сертификатом". Предполагалось (но об этом не было сказано явно), что старый эмитент (A) и новый эмитент (B) должны совпадать. А между тем если разрешить A != B, то появляются большие возможности.

Например, B -- это корпоративный ПУЦ (подчиненный A), который выпускает сертификаты для своих криптоавтоматов (IР-шифраторов). При инициализации автомат выполняет Spawn и фактически меняет локальный сертификат, изданный B, на глобальный сертификат, изданный A.

Предлагаю явно разрешить в Spawn переключение между УЦ, т.е. разрешить несовпадение A != B.

Для справки. Spawn с переключением между УЦ описан в одной из редакций SCEP:

If the requesting system has no certificate issued by the new CA, but has credentials from an alternate CA the certificate issued the alternate CA MAY be used. Policy settings on the new CA determine if the request can be accepted or not. This is when enrolling with a new administrative domain; by using certificate from the old domain as credentials.

Только в SCEP Spawn сохраняет имя Enroll.

[mihasK]

согласен, можно написать явно. Правда не очень понимаю куда лучше вставить эту пометку

[agievich]

В п. 9.4 добавлено предложение:

УЦ, который выдает новый сертификат, может отличаться от УЦ, выдавшего действующий. Например, действующий сертификат может быть временным, выданным корпоративным ПУЦ, а новый сертификат -- долгосрочным, выдаваемым РУЦ.