2.2 CÁC THÀNH PHẦN CỦA PKI
2.2.2Trung tâm đăng ký (Registration Authorities)
Mặc dù CA có thể thực hiện những chức năng đăng ký cần thiết, nhưng đôi khi cần có thực thể độc lập thực hiện chức năng này. Thực thể này được gọi là “registration authority”- trung tâm đăng ký. Ví dụ khi số lượng thực thể cuối trong miền PKI tăng lên và số thực thể cuối này được phân tán khắp nơi về mặt địa lý thì việc đăng ký tại một CA trung tâm trở thành vấn đề khó giải quyết. Để giải quyết vấn đề này cần thiết phải có một hoặc nhiều RAs (trung tâm đăng ký địa phương).
Mục đích chính của RA là để giảm tải công việc của CA. Chức năng thực hiện của một RA cụ thể sẽ khác nhau tuỳ theo nhu cầu triển khai PKI nhưng chủ yếu bao gồm những chức năng sau:
- Xác thực cá nhân chủ thể đăng ký chứng thư số.
- Kiểm tra tính hợp lệ của thông tin do chủ thể cung cấp.
- Xác nhận quyền của chủ thể đối với những thuộc tính chứng thư số được yêu cầu.
- Kiểm tra xem chủ thể có thực sự sở hữu khoá bí mật đang được đăng ký hay không - điều này thường được đề cập đến như sự chứng minh sở hữu (proof of possession - POP).
- Tạo cặp khoá bí mật /công khai.
- Phân phối bí mật được chia sẻ đến thực thể cuối (ví dụ: khoá công khai của CA). - Thay mặt chủ thể thực thể cuối khởi tạo quá trình đăng ký với CA.
- Lưu trữ khoá bí mật.
- Khởi sinh qúa trình khôi phục khoá.
- Phân phối thẻ bài vật lý (ví dụ như thẻ thông minh) chứa khoá bí mật. Nhìn chung, RA xử lý việc trao đổi (thường liên quan đến tương tác người dùng) giữa chủ thể thực thể cuối và quá trình đăng ký, phân phối chứng thư số và quản lý vòng đời chứng thư số/khoá. Tuy nhiên, trong bất kỳ trường hợp nào thì RA cũng chỉ đưa ra những khai báo tin cậy ban đầu về chủ thể. Chỉ CA mới có thể cấp chứng thư số hay đưa ra thông tin trạng thái thu hồi chứng thư số như CRL.