SGP.14 服务器上的多 CA 支持

12 Multiple CA support

12.1 On Servers

To allow the support of multiple CAs where different CAs are operating in different regions or

within the same region, a GSMA SAS-SM certified Server (SM-SR, SM-DP, SM-DP+, and

SM-DS) can get a Certificate from the CA operating in the targeted region. The Server

SHALL use different key pairs (public and private keys) for each of its Certificates whether

they are issued by the same or different CA. The same GSMA SAS-SM certified Server OID

SHALL be used in all the Certificates of this specific GSMA SAS-SM certified Server.

In figure below, we give an example of a SM-DP+ under CA2 willing to target eUICC1 under

CA1.

The SM-DP+2 has the ability to manage eUICC from region 1 and eUICC from region 2. SMDP+1 can only manage eUICC from region 1.

12 多 CA 支持

12.1 服务器上的多 CA 支持

为了支持在不同区域或同一区域内运营的不同 CA,GSMA SAS-SM 认证服务器(SM-SR、SM-DP、SM-DP+ 和 SM-DS)可以从目标区域运营的 CA 获取证书。服务器 必须 为其每个证书使用不同的密钥对(公钥和私钥),无论这些证书是由同一 CA 还是不同 CA 颁发的。特定 GSMA SAS-SM 认证服务器的所有证书中 必须 使用相同的 GSMA SAS-SM 认证服务器对象标识符 (OID)。

在下图中,我们给出了一个在 CA2 下运行的 SM-DP+ 想要针对在 CA1 下运行的 eUICC1 的示例。

SM-DP+2 有能力管理来自区域 1 和区域 2 的 eUICC,而 SM-DP+1 只能管理来自区域 1 的 eUICC。

图示说明:

  • SM-DP+2CA2 获取证书,并能够管理来自 区域 1区域 2 的 eUICC。
    • 这意味着 SM-DP+2 拥有与 CA2 颁发的证书相关联的密钥对。
    • 为了管理 区域 1 的 eUICC,SM-DP+2 需要能够与 CA1 信任链进行交互,这可能涉及交叉认证或其他信任机制。
  • SM-DP+1CA1 获取证书,只能管理来自 区域 1 的 eUICC。
    • 这意味着 SM-DP+1 拥有与 CA1 颁发的证书相关联的密钥对。

关键点:

1.不同的密钥对: 每个证书都需要不同的密钥对,即使它们由同一 CA 颁发。这是为了确保每个证书的密钥对唯一性,并防止密钥重用带来的安全风险。

2.相同的服务器 OID: 特定服务器的所有证书中都需要使用相同的 OID。这有助于识别服务器的身份,并确保不同证书之间的关联性。

跨区域管理:

  • SM-DP+2 通过从 CA2 获取证书,并能够与 CA1 信任链进行交互,从而实现对不同区域 eUICC 的管理。
  • 这可能涉及以下机制:
    • 交叉认证: CA2 和 CA1 之间建立信任关系,允许 SM-DP+2 使用 CA2 颁发的证书来管理 CA1 下的 eUICC。
    • 桥 CA: 使用桥 CA 作为中间人,建立 CA2 和 CA1 之间的信任路径。
    • 其他信任机制: 例如,基于属性的信任等。

安全性考虑:

  • 服务器需要确保其密钥对的安全存储和管理。
  • CA 需要实施适当的访问控制措施,以防止未经授权的服务器获取证书。
  • 跨区域管理需要仔细评估信任关系和潜在的安全风险。

总结

本节描述了如何在多 CA 环境中支持服务器,通过为不同区域获取不同 CA 颁发的证书,并使用不同的密钥对和相同的服务器 OID,来实现对不同区域 eUICC 的安全管理和互操作性。

相关推荐
Dovis(誓平步青云)1 小时前
远程办公软件文件传输实测:6 款工具的速度、稳定性和办公体验对比
linux·运维·服务器·后端·生成对抗网络
专注_每天进步一点点1 小时前
SLB(绑定弹性公网ip)-gateway-业务pod,gateway上出现reset by peer,业务pod上没有reset by peer
服务器·tcp/ip·gateway
csdn_aspnet2 小时前
GitHub Actions自动化运维实战,用CI/CD流水线实现测试、部署、安全扫描一体化
运维·安全·ci/cd·自动化·github
ACP广源盛139246256732 小时前
GSV6155@ACP# 搭配 AI 服务器、AI PC 完整适配方案
大数据·服务器·人工智能·分布式·单片机·嵌入式硬件
Inhand陈工3 小时前
数据中心UPS无功补偿与智能化监控方案:基于IG502的Modbus RTU转IEC61850实战
运维·人工智能·物联网·信息与通信
qetfw3 小时前
CentOS 7 搭建 LDAP 目录服务
linux·运维·centos
BerrySen1783 小时前
我的AI辅助开发工具链2026版
开源·github
dong_junshuai4 小时前
每天一个开源项目#40 Apache Ossie:1K Stars的AI/BI语义层通用标准
github
Lary_Rock5 小时前
MTK SecureBoot全链路配置指南
前端·vscode·github
IT方大同5 小时前
linux简介
linux·运维·服务器