Certificate Request Message Format
Familie: | Nachrichtenformat |
Einsatzgebiet: | Zertifikatsverwaltung |
Neueste Version: | crmf2005 |
OID der neuesten Version: | 1.3.6.1.5.5.7.0.36 |
Vorgeschlagener Standard: | RFC 4211 (CRMF, 2005)[1] |
Obsoleter Standard: | RFC 2511 (CRMF, 1999)[2] |
Das Certificate Request Message Format (CRMF, englisch für „Zertifikats-Beantragungs-Nachrichtenformat“) ist ein Nachrichtenformat für einen CSR, mit dem ein digitalen Zertifikaten bei einer Zertifizierungsstelle (CA) angefordert wird. Üblicherweise wird die Anforderung über eine Registrierungsstelle (RA) versandt, die die Anforderung überprüft. CA und RA sind Teil einer Public-Key-Infrastruktur (PKI) nach dem Standard X.509.
Die Anforderung enthält üblicherweise einen öffentlichen Schlüssel und zur Registrierung gehörende Informationen wie die Identität des Zertifikats-Antragstellers, die in das Zertifikat übernommen werden soll.
Nachrichtenformat
Nachrichten im CRMF sind „DER“ kodierte ASN.1 Datenstrukturen. Im Gegensatz zum deutlich weiter verbreiteten Format PKCS #10 ist es nicht zwingend erforderlich, dass die Nachricht eine Selbstsignatur enthält. Damit ist CRMF auch für Schlüsseltypen geeignet, die keine Signatur unterstützen. Der sogenannte Proof-of-Possession (Nachweis, dass der Antragsteller den zugehörigen privaten Schlüssel hat) kann dann auch auf andere, indirekte Arten erbracht werden, z. B. durch Verschlüsselung des neu erzeugten Zertifikats mit dem enthaltenen öffentlichen Schlüssel, welche nur vom legitimen Antragsteller entschlüsselt werden kann, der auf den zugehörigen privaten Schlüssel Zugriff hat.
Einsatz
Dieses Format wird vom Certificate Management Protocol (CMP) und vom Certificate Management over CMS (CMC) verwendet.
Normen und Standards
- RFC – Internet X.509 Certificate Request Message Format. März 1999 (aktualisiert durch , englisch).
- RFC – Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF). September 2005 (englisch).