Enroll для оператора РЦ

[agievich]

Оператор РЦ помогает выпускать сертификаты другим ФЛ / ЮП, проверяя запросы на получение сертификата и подписывая их. Но как сам оператор получил свой сертификат? Этот вопрос не освещен в BPKI.

Естественно предположить, что оператор РЦ получает свой сертификат в рамках стандартного процесса Enroll1 с помощью другого оператора РЦ. Но все равно должен быть по крайней мере один genesis-оператор, который получил сертификат вне Enroll1.

Как получает сертификат genesis-оператор РЦ?

[agievich]

Самое простое решение: разрешить выпускать сертификаты операторов с помощью Enroll4. УЦ предварительно регистрирует идентификационные данные оператора, генерирует enroll-пароль, передает пароль оператору.

При описании Enroll4 следует сказать, что для будущих субъектов УЦ должен поддерживать список записей имя/роль/пароль. Роль обязательна, иначе субъект может поднять свой статус в запросе.

Желательно сказать как долго действует пароль (как долго ожидается регистрация субъекта).

[agievich]

В п. 9.2.1 добавлена фраза о том, что операторы РЦ могут получать сертификаты с помощью Enroll4.

Enroll4 детализирован: сказано о тройках (id-данные, идентификаторы ролей, пароль), которые должен хранить УЦ (в течение 90 дней).