12 Multiple CA support
12.1 On Servers
To allow the support of multiple CAs where different CAs are operating in different regions or
within the same region, a GSMA SAS-SM certified Server (SM-SR, SM-DP, SM-DP+, and
SM-DS) can get a Certificate from the CA operating in the targeted region. The Server
SHALL use different key pairs (public and private keys) for each of its Certificates whether
they are issued by the same or different CA. The same GSMA SAS-SM certified Server OID
SHALL be used in all the Certificates of this specific GSMA SAS-SM certified Server.
In figure below, we give an example of a SM-DP+ under CA2 willing to target eUICC1 under
CA1.
The SM-DP+2 has the ability to manage eUICC from region 1 and eUICC from region 2. SMDP+1 can only manage eUICC from region 1.
12 多 CA 支持
12.1 服务器上的多 CA 支持
为了支持在不同区域或同一区域内运营的不同 CA,GSMA SAS-SM 认证服务器(SM-SR、SM-DP、SM-DP+ 和 SM-DS)可以从目标区域运营的 CA 获取证书。服务器 必须 为其每个证书使用不同的密钥对(公钥和私钥),无论这些证书是由同一 CA 还是不同 CA 颁发的。特定 GSMA SAS-SM 认证服务器的所有证书中 必须 使用相同的 GSMA SAS-SM 认证服务器对象标识符 (OID)。
在下图中,我们给出了一个在 CA2 下运行的 SM-DP+ 想要针对在 CA1 下运行的 eUICC1 的示例。
SM-DP+2 有能力管理来自区域 1 和区域 2 的 eUICC,而 SM-DP+1 只能管理来自区域 1 的 eUICC。
图示说明:
- SM-DP+2 从 CA2 获取证书,并能够管理来自 区域 1 和 区域 2 的 eUICC。
- 这意味着 SM-DP+2 拥有与 CA2 颁发的证书相关联的密钥对。
- 为了管理 区域 1 的 eUICC,SM-DP+2 需要能够与 CA1 信任链进行交互,这可能涉及交叉认证或其他信任机制。
- SM-DP+1 从 CA1 获取证书,只能管理来自 区域 1 的 eUICC。
- 这意味着 SM-DP+1 拥有与 CA1 颁发的证书相关联的密钥对。
关键点:
1.不同的密钥对: 每个证书都需要不同的密钥对,即使它们由同一 CA 颁发。这是为了确保每个证书的密钥对唯一性,并防止密钥重用带来的安全风险。
2.相同的服务器 OID: 特定服务器的所有证书中都需要使用相同的 OID。这有助于识别服务器的身份,并确保不同证书之间的关联性。
跨区域管理:
- SM-DP+2 通过从 CA2 获取证书,并能够与 CA1 信任链进行交互,从而实现对不同区域 eUICC 的管理。
- 这可能涉及以下机制:
- 交叉认证: CA2 和 CA1 之间建立信任关系,允许 SM-DP+2 使用 CA2 颁发的证书来管理 CA1 下的 eUICC。
- 桥 CA: 使用桥 CA 作为中间人,建立 CA2 和 CA1 之间的信任路径。
- 其他信任机制: 例如,基于属性的信任等。
安全性考虑:
- 服务器需要确保其密钥对的安全存储和管理。
- CA 需要实施适当的访问控制措施,以防止未经授权的服务器获取证书。
- 跨区域管理需要仔细评估信任关系和潜在的安全风险。
总结
本节描述了如何在多 CA 环境中支持服务器,通过为不同区域获取不同 CA 颁发的证书,并使用不同的密钥对和相同的服务器 OID,来实现对不同区域 eUICC 的安全管理和互操作性。