SGP.14 服务器上的多 CA 支持

12 Multiple CA support

12.1 On Servers

To allow the support of multiple CAs where different CAs are operating in different regions or

within the same region, a GSMA SAS-SM certified Server (SM-SR, SM-DP, SM-DP+, and

SM-DS) can get a Certificate from the CA operating in the targeted region. The Server

SHALL use different key pairs (public and private keys) for each of its Certificates whether

they are issued by the same or different CA. The same GSMA SAS-SM certified Server OID

SHALL be used in all the Certificates of this specific GSMA SAS-SM certified Server.

In figure below, we give an example of a SM-DP+ under CA2 willing to target eUICC1 under

CA1.

The SM-DP+2 has the ability to manage eUICC from region 1 and eUICC from region 2. SMDP+1 can only manage eUICC from region 1.

12 多 CA 支持

12.1 服务器上的多 CA 支持

为了支持在不同区域或同一区域内运营的不同 CA,GSMA SAS-SM 认证服务器(SM-SR、SM-DP、SM-DP+ 和 SM-DS)可以从目标区域运营的 CA 获取证书。服务器 必须 为其每个证书使用不同的密钥对(公钥和私钥),无论这些证书是由同一 CA 还是不同 CA 颁发的。特定 GSMA SAS-SM 认证服务器的所有证书中 必须 使用相同的 GSMA SAS-SM 认证服务器对象标识符 (OID)。

在下图中,我们给出了一个在 CA2 下运行的 SM-DP+ 想要针对在 CA1 下运行的 eUICC1 的示例。

SM-DP+2 有能力管理来自区域 1 和区域 2 的 eUICC,而 SM-DP+1 只能管理来自区域 1 的 eUICC。

图示说明:

  • SM-DP+2CA2 获取证书,并能够管理来自 区域 1区域 2 的 eUICC。
    • 这意味着 SM-DP+2 拥有与 CA2 颁发的证书相关联的密钥对。
    • 为了管理 区域 1 的 eUICC,SM-DP+2 需要能够与 CA1 信任链进行交互,这可能涉及交叉认证或其他信任机制。
  • SM-DP+1CA1 获取证书,只能管理来自 区域 1 的 eUICC。
    • 这意味着 SM-DP+1 拥有与 CA1 颁发的证书相关联的密钥对。

关键点:

1.不同的密钥对: 每个证书都需要不同的密钥对,即使它们由同一 CA 颁发。这是为了确保每个证书的密钥对唯一性,并防止密钥重用带来的安全风险。

2.相同的服务器 OID: 特定服务器的所有证书中都需要使用相同的 OID。这有助于识别服务器的身份,并确保不同证书之间的关联性。

跨区域管理:

  • SM-DP+2 通过从 CA2 获取证书,并能够与 CA1 信任链进行交互,从而实现对不同区域 eUICC 的管理。
  • 这可能涉及以下机制:
    • 交叉认证: CA2 和 CA1 之间建立信任关系,允许 SM-DP+2 使用 CA2 颁发的证书来管理 CA1 下的 eUICC。
    • 桥 CA: 使用桥 CA 作为中间人,建立 CA2 和 CA1 之间的信任路径。
    • 其他信任机制: 例如,基于属性的信任等。

安全性考虑:

  • 服务器需要确保其密钥对的安全存储和管理。
  • CA 需要实施适当的访问控制措施,以防止未经授权的服务器获取证书。
  • 跨区域管理需要仔细评估信任关系和潜在的安全风险。

总结

本节描述了如何在多 CA 环境中支持服务器,通过为不同区域获取不同 CA 颁发的证书,并使用不同的密钥对和相同的服务器 OID,来实现对不同区域 eUICC 的安全管理和互操作性。

相关推荐
IT成长日记2 小时前
【Docker基础】Docker数据持久化与卷(Volume)介绍
运维·docker·容器·数据持久化·volume·
热爱生活的猴子2 小时前
阿里云服务器正确配置 Docker 国内镜像的方法
服务器·阿里云·docker
物联网老王4 小时前
Ubuntu Linux Cursor 安装与使用一
linux·运维·ubuntu
艾伦_耶格宇6 小时前
【ACP】阿里云云计算高级运维工程师--ACP
运维·阿里云·云计算
一位摩羯座DBA6 小时前
Redhat&Centos挂载镜像
linux·运维·centos
计算机毕设定制辅导-无忧学长7 小时前
西门子 PLC 与 Modbus 集成:S7-1500 RTU/TCP 配置指南(一)
服务器·数据库·tcp/ip
油泼辣子多加7 小时前
2025年06月30日Github流行趋势
github
ai小鬼头7 小时前
AIStarter如何快速部署Stable Diffusion?**新手也能轻松上手的AI绘图
前端·后端·github
cui_win8 小时前
【网络】Linux 内核优化实战 - net.core.flow_limit_table_len
linux·运维·网络
风清再凯8 小时前
自动化工具ansible,以及playbook剧本
运维·自动化·ansible