TÌM HIỂU VỀ XÂY DỰNG ĐƯỜNG DẪN CHỨNG THỰC

Cơ sở hạ tầng an ninh rộng khắp khóa công khai (PKI) hỗ trợ một số các dịch vụ bảo mật liên quan bao gồm bảo mật dữ liệu, tính toàn vẹn dữ liệu và xác thực thực thể cuối. Về cơ bản, các dịch vụ này dựa trên việc sử dụng đúng cặp khóa công khaibí mật. Các thành phần công khai của cặp khóa này được phát hành dưới hình thức chứng chỉ khóa công khai kèm theo các thuật toán thích hợp, nó được sử dụng để xác thực chữ kí số, mã hóa dữ liệu hoặc cả hai. Trước khi chứng chỉ được đưa vào sử dụng, thì nó đã được xác nhận. Để được xác nhận như là một chứng chỉ, một chuỗi chứng chỉ hoặc một đường dẫn chứng thực giữa chứng chỉ và một điểm tin cậy phải được thành lập.Và mỗi chứng chỉ trong mỗi đường dẫn phải được kiểm tra. Quá trình này được gọi là quy trình đường dẫn chứng nhận.

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

BÁO CÁO ĐỀ TÀI MÔN HỌC CHỨNG THỰC ĐIỆN TƯ TÌM HIỂU VỀ XÂY DỰNG ĐƯỜNG DẪN CHỨNG THỰC

Gv hướng dẫn:Hoàng Đức Tho Sinh viên tham gia :

HÀ NỘI 2/2016

LỜI MỞ ĐẦU

Với sự phát triển mạnh mẽ của công nghệ thông tin và truyền thông(CNTT&TT), việc từng bước xây dựng chính phủ điện tử đã trở nên tất yếu tạinhiều quốc gia trên thế giới Tại Việt Nam, chủ trương xây dựng Chính phủ điện

tử và ứng dụng CNTT trong các hoạt động của Đảng, Nhà nước đang từng bướcđược cụ thể hóa bằng các chính sách, các văn bản quy phạm pháp luật, các đề

án, dự án và các chương trình trọng điểm quốc gia về ứng dụng CNTT

Cùng với chủ trương đó, vấn đề đảm bảo an toàn thông tin trong các giaodịch điện tử, với cốt lõi là hệ thống chứng thực điện tử là nhiệm vụ hết sức quantrọng

Chứng thực điện tử đang là giải pháp quan trọng nhất để bảo đảm bí mật,xác thực và toàn vẹn dữ liệu trong các giao dịch điện tử phục vụ hoạt động điềuhành của Chính phủ, đảm bảo quốc phòng - an ninh và các hoạt động kinh tế -

xã hội Hầu hết các quốc gia có nền kinh tế, công nghệ phát triển và mức độ sẵn

sàng của Chính phủ điện tử cao (Hàn Quốc, Mỹ, Singapore, Trung Quốc,Malaysia ) đều đã ứng dụng chứng thực điện tử một cách đồng bộ và rộng rãi.

Giao dịch thực hiện qua mạng được bảo đảm an toàn sẽ góp phần thúcđẩy ứng dụng CNTT trong cải cách hành chính, điện tử hóa quy trình làm việc,tiến tới xây dựng Chính phủ điện tử Các giao dịch truyền thống dựa trên cácvăn bản giấy chỉ được thay thế bằng các giao dịch điện tử khi chứng thực điện tử

và chữ ký số được thừa nhận về mặt pháp lýỵ́ và an toàn về mặt công nghệ

Do thời gian hạn chế cũng như kiến thức và kinh nghiệm về lĩnh vực cònnon trẻ nên trong bài báo cáo không thể không có sai sót mong quý thầy cô góp

ý thêm để nhóm có thể hoàn thiện tốt hơn các đề tài nghiên cứu về sau!

Xin chân thành cảm ơn!

CHƯƠNG 1 TÌM HIỂU VỀ XÂY DỰNG ĐƯỜNG DẪN CHỨNG

THỰC

1.1 GIỚI THIỆU

Cơ sở hạ tầng an ninh rộng khắp khóa công khai (PKI) hỗ trợ một số cácdịch vụ bảo mật liên quan bao gồm bảo mật dữ liệu, tính toàn vẹn dữ liệu vàxác thực thực thể cuối Về cơ bản, các dịch vụ này dựa trên việc sử dụngđúng cặp khóa công khai/bí mật Các thành phần công khai của cặp khóanày được phát hành dưới hình thức chứng chỉ khóa công khai kèm theo cácthuật toán thích hợp, nó được sử dụng để xác thực chữ kí số, mã hóa dữ liệuhoặc cả hai

Trước khi chứng chỉ được đưa vào sử dụng, thì nó đã được xác nhận Đểđược xác nhận như là một chứng chỉ, một chuỗi chứng chỉ hoặc một đườngdẫn chứng thực giữa chứng chỉ và một điểm tin cậy phải được thành lập.Vàmỗi chứng chỉ trong mỗi đường dẫn phải được kiểm tra Quá trình này đượcgọi là quy trình đường dẫn chứng nhận

Nói chung,quy trình đường dẫn chứng nhận bao gồm 2 giai đoạn:

1 Xây dựng đường dẫn

2 Xác nhận đường dẫn

Cụ thể được mô tả như sau:

1 Xây dựng đường dẫn: liên quan đến “kiến trúc” một hoặc nhiều đườngdẫn chứng chỉ tiêu biểu Lưu ý rằng việc chúng ta sử dụng “tiêu biểu”

ở đây là để chỉ ra rằng mặc dù chứng chỉ có thể tạo thành chuỗi, đườngdẫn bản thân nó có thể không hợp lệ vì những lí do khác nhau như là

độ dài đường dẫn, tên hoặc chính sách hạn chế của chứng chỉ

2 Xác nhận đường dẫn: bao gồm việc chắc rằng mỗi chứng chỉ trongđường dẫn còn thời hạn hiệu lực, chưa bị thu hồi, đảm bảo tính toànvẹn, vv…; bất kì ràng buộc nào đánh vào một phần hoặc tất cả cácđường dẫn của chứng chỉ đều được chú trọng (ví dụ: ràng buộc vềchiều dài đường dẫn, ràng buộc tên, ràng buộc về chính sách) Tuy

nhiên ở một số khía cạnh có thể liên quan với việc xác thực đường dẫnthi thoảng được đưa ra xem xét trong suốt quá trình xây dựng đườngdẫn theo thứ tự để tạo ra được cơ hội lớn nhất có thể tìm được mộtđường dẫn chứng nhận chấp nhận được dù sớm hay muộn.

1.2 MỤC ĐÍCH,PHẠM VI,GIẢ THUYẾT

Quy trình xây dựng đường dẫn có thể khá phức tạp và mang tính họcthuật ở một mức độ nào đó của thử nghiệm và lỗi và có rất ít tài liệu hiện có đểthảo luận các vẫn đề liên quan đến quy trình xây dựng đường dẫn chứngnhận.Vì thế sau đây ta sẽ xem xét để làm rõ các thuật ngữ, xem xét lại các vấn

đề có liên quan đến quy trình xây dựng đường dẫn chứng thực để tạo ra cáckhuyến nghị thích hợp Tuy nhiên, không có nghĩa bắt buộc nhà cung cấp nhưthế nào đấy phải thực hiện xây dựng đường dẫn, cũng không phải là chúng tađang cố gắng miêu tả một thuật toán xây dựng đường dẫn hoàn chỉnh.Nhàcung cấp được tự ý thực hiện xây dựng đường dẫn logic của họ khi họ thấythích hợp.Tuy nhiên,chương này cung cấp những thông tin hữu ích cần đượcđưa vào xem xét khi đánh giá và thực hiện thuật toán xây dựng đường dẫnchứng nhận

Ta chỉ tập trung vào version 3 của chứng chỉ khóa công khai theo nhưđịnh nghĩa trong ấn bản thứ tư của X.509 Chúng ta thừa nhận rằng các hìnhthức khác của chứng chỉ vẫn tồn tại bao gồm version 1 và version 2 của chứngchỉ khóa công khai đã được định nghĩa ở lần xuất bản X.509 trước đó Tuynhiên,chúng ta chỉ tập trung vào chứng chỉ khóa công khai version 3 vì đó lànhững hình thức phổ biến nhất của chứng chỉ được tìm thấy ở hầu hết cácdoanh nghiệp và chính phủ, và nhiều phần mở rộng chỉ hỗ trợ với version 3 làrất cần thiết cho việc kiểm soát các mối quan hệ trong kinh doanh trên miềnPKI Ta sẽ thảo luận phần mở rộng của chứng chỉ version 3, cái mà được sửdụng để tạo điều kiện cho quy trình xây dựng đường dẫn chứng thực Cần lưu

ý rằng những thảo luận này liên quan đến phần mở rộng chứ không áp dụngvào chứng chỉ khóa công khai version 1 hoặc version 2

1.3 CÁC KHÁI NIÊM CƠ BẢN

Cấu trúc cơ bản của các chứng chỉ khóa công khai version3 được minhhọa trong hình sau:

Các chứng chỉ được phát hành bởi các nhà cung cấp chứng chỉ (CA) đếncác CA khác hoặc đến các thực thể cuối (ví dụ: người dùng cuối, các thiết bị,các web server, các tiến trình) Các CA cũng có thể tự cấp phát chứng chỉ chomình

Các chứng chỉ được cấp phát cho các CA khác được gọi là các chứng chỉ

CA, và các chứng chỉ được cấp phát cho các thực thể cuối được gọi là các chứngchỉ thực thể cuối Việc gia hạn chứng chỉ để phân biệt giữa 2 loại chứng chỉ trên

Ấn bản thứ 4 của X.509 định nghĩa một bên có nhu cầu chứng thực như

“một người dùng hoặc đại lý dựa trên dữ liệu trong chứng chỉ trong việc đưa raquyết định” Nói cách khác, bên có nhu cầu chứng thực sử dụng chúng chỉ thựcthể cuối cho các mục đích rõ ràng Ví dụ: một người có thể chứng thực mộtngười gửi thông điệp đến cho mình và xác minh tính toàn vẹn của thông điệpbằng cách sử dụng chứng chỉ tương ứng với người tạo ra thông điệp để xác minh

1 chữ kí số kết hợp với thông điệp Một nút cuối tin cậy là một chứng chỉ CA(hoặc chính xác hơn, khóa xác minh công khai của một CA) được sử dụng bởibên có nhu cầu chứng thực như là điểm khởi đầu cho việc xác thực đường dẫn.Bên có nhu cầu có thể có một hoặc nhiều nút cuối tin cậy bắt nguồn từ một sốnguồn Ví dụ, một nút cuối tin cậy có thể là khóa công khai của một root CAhoặc CA cấp phát một hoặc nhiều chứng chỉ trực tiếp đến các bên có nhu cầu

Một chứng chỉ mà một CA cấp phát cho một CA khác được gọi là mộtchứng chỉ chéo (cross-certificate) Một CA cấp cao hơn có thể cấp phát mộtchứng chỉ chéo đến một CA cấp dưới như thấy trong các mô hình phân cấp Nóđược gọi là chửng chỉ chéo một chiều hoặc đơn phương Khi một CA cấp phátmột chứng chỉ đến các CA khác, nó được gọi là xác thực chéo lẫn nhau hoặcsong phương Nó thường được tìm thấy trong các môi hình phân phối Nhưnglưu ý rằng có nhiều ví dụ trong công nghiệp, thời hạn xác thực chéo để biểu thịtrường hợp song phương duy nhất Tuy nhiên từ góc độ kĩ thuật, xác thực chéo

có thể là đơn phương Điều này được nêu ra trong phiên bản thứ 4 của X.509 ,xác thực chéo được định nghĩa như sau:

Chứng chỉ chéo: là một chứng chỉ được phát hành bởi các nhà phân phối và đối tượng là các CA khác Các CA phát hành các chứng chỉ đến các

CA khác như một cơ chế cho phép các đối tượng CA tồn tại (trong mô hình phân cấp nghiêm ngặt) hoặc để nhận ra sự tồn tại của chúng (trong

mô hình phân phối) Cấu trúc chứng chỉ chéo được sử dụng cho cả hai

mô hình trên.

Việc xây dựng đường dẫn chứng thực liên quan đến việc phát hiện ra một chuỗi chứng chỉ giữa chứng chỉ thực thể cuối và nút cuối tin cậy được công nhận Các đường dẫn xác thực có thể được xây dựng theo chiều thuận ( tức là từ chứng chỉ thực thể cuối đến nút cuối tin cậy) phù hợp cho các mô hình phân cấp tin cậy hoặc ngược lại (từ nút cuối tin cậy đến chứng chỉ thực thể cuối) phù hợp cho mô hình phân phối tin cậy Và bài viết này sẽ chứng minh rằng một thuật toán xây dựng đường dẫn mạnh mẽ có khả năng xây dựng đường dẫn theo cả 2 chiều Trong thực tế nó phù hợp để xây dựng các phần của một đường dẫn

chứng thực sử dụng một phương pháp và các phần khác của việc chứng thực sử dụng phương pháp khác

Trước khi chúng ta bắt đầu xem xét các vấn đề liên quan đến quá trình xây dựng đừng dẫn chứng thực ta xẽ tìm hiểu một số nguyên tắc cơ bản đường sau khái niệm “certificate chaining”

1.3.1 Name chaining

Ở cấp độ cơ bản nhất, một đường dẫn chứng thực phải có “name chain” giữa nút cuối tin cậy được công nhận và chứng chỉ mục tiêu (ví dụ: chúng chỉ thực thể cuối) Làm việc từ nút cuối tin cậy đến chứng chỉ mục tiêu, có nghĩa là tên đối tượng trong một chứng chỉ phải là tên nhà phát hành trong chứng chỉ tiếptheo trong đường dẫn Hình 3 sẽ mô tả khái niệm này:

Trong ví dụ này, đường dẫn bắt đầu với một chứng chỉ tự kí có chứa khóacông khai của nút cuối tin cậy Đường dẫn kết thúc với chứng chỉ thực thể cuối.Tất cả các chứng chỉ khác chứa trong đường dẫn được xem như các CA trunggian Lưu ý rằng mỗi chứng chỉ trong chuỗi từ chứng chỉ cuối cùng là mộtchứng chỉ CA

Khi xây dựng các đường dẫn xác thực theo chiều thuận, ta có thể sử dụng

tổ chức phát hành DN trong chứng chỉ thực thể cuối để lấy chúng chỉ mà đãđược phát hành cho các CA cấp phát chứng chỉ thực thể cuối Như minh họatrong hình 2, tổ chức cấp phát là CA2 trong chứng chỉ thực thể cuối sẽ dẫn đếnchứng chỉ của CA2 Một khi lấy được chứng chỉ của CA2 , ta có thể sử dụng tổchức phát hành DN trong chứng chỉ của CA2 để lấy chứng chỉ của CA1 Cuốicùng, tổ chức cấp phát DN trong chứng chỉ của CA1 dẫn đến chứng chỉ của

CA0 Logic này cũng được áp dụng khi xây dựng các đừng dẫn chứng thựctheo chiều ngược lại.

Nếu CA được đảm bảo để chỉ có một cặp khóa công khai/ bí mật hoạtđộng tại bất kì thời gian nhất định, đáp ứng yêu cầu của name chaining sẽ là tất

cả những gì cần để xây dựng một đường dẫn chứng thực Tuy nhiên có thể các

CA có nhiều hơn một cặp khóa ký hợp lệ tại cùng một thời điểm Điều này cónghĩa là chỉ name chaining không đủ để xác định liệu đường dẫn chứng thực làmột ứng cử viên hợp pháp không Vậy ta sẽ tiếp tục xem xét về “key identifierchaining”

1.3.2 Key indentifier chaining

The Authority Key Identifier (AKID) và Subject Key Identifier (SKID) làphần mở rộng của chứng chỉ có thể được sử dụng để tạo thuận lợi cho quá trìnhxây dựng đường dẫn chứng thực Như đã mô tả trong X.509 và RFC3208, AKIDđược sử dụng để phân biệt khóa công khai từ một CA khác khi 1 CA có nhiềukhóa ký, và SKID cung cấp một phương tiện để xác thực chứng chỉ chứa mộtkhóa công khai cụ thể

Tương tự như “name chaining” giữa nút cuối tin cậy và chứng chỉ thựcthể cuối, SKID của chứng chỉ đầu tiên là AKID của chứng chỉ tiếp theo trongđường dẫn Hình 3 sẽ mô tả khái niệm này Lưu ý kể từ khi AKID và SKID làphần mở rộng của chúng chỉ, khái niệm về key identifier chaining chỉ áp dụngcho các chúng chỉ khóa công khai version 3

1.3.3 Cấu trúc và sử dụng AKID/SKID

Theo như trong X.509, AKID có thể được biểu diễn bằng cách sử dụngmột keyIdentifier, 1 authorityCertIssuer, cặp authoritySerialNumber, hoặc cả

2 Tuy nhiên X.509 cũng nói rằng:

Các dạng keyIdentifier có thể được sử dụng để chon các chứng chỉ

CA trong quá trình xây dựng đường dẫn authorityCertIssuer, authoritySerialNumber pair chỉ có thể được sử dụng để cung cấp độ ưu tiên cho một chứng chỉ trong quá trình xây dựng đường dẫn.

Ngoài ra, Internet Certificate and CRL Profile cho rằng trườngkeyIdentifier trong AKID phải được bao gồm trong tất cả các chứng chỉ đượctạo ra bằng cách tuân theo các CA (với ngoại lệ là các chứng chỉ tự kí, trongtrường hợp này keyIdentifier sẽ được chứa trong SKID, các tùy chọn vàAKID) Hơn nữa Internet Certificate and CRL Profile chỉ ra rằng: trườngkeyIdentifier của AKID phải được bao gồm trong tất cả các chứng chỉ đượctạo ra bằng cách tuân theo các CA để tạo điều kiện cho việc xây dựng cácchuỗi

Theo X.509, SKID chỉ có thể được biểu diễn bằng cách sử dụngkeyIdentifier (tức là, cú pháp của SKID không bao gồm authorityCertIssuer,

authoritySerialNumber pair) Tuy nhiên, the Internet Certificate and CRLProfile lại nói rằng tất cả các chứng chỉ CA phải bao gồm phần mở rộngSKID: giá trị của Subject Key Identifier phải là giá trị được đặt trong trườngkey identifier của AKID… của các chứng chỉ được cấp phát bởi chủ thể củachứng chỉ này.

Do đó, một CA phù hợp với Internet Certificate and CRL profile phải ởtrong AKID của tất cả các chứng chỉ mà nó cấp phát với cùng keyIdentifierlằm trong SKID của chứng chỉ được sử dụng để xác minh chữ kí số trênnhững chứng chỉ được cấp phát

1.3.4 Tính toán giá trị keyIdentifier

Có nhiều phương pháp để tính keyIdentifier Các phương pháp sau được

đề cập cụ thể trong Internet Certificate and CRL Profile:

- 20byte giá trị SHA-1 của khóa công khai (không bao gồm tag, chiều dài,các bit không sử dụng)

- 1 giá trị 4bit 0100 tiếp theo là các trọng số nhỏ nhất của giá trị SHA-1 củakhóa công khai (subject public key)

- Một dãy đơn điệu tăng của dãy số nguyên Lưu ý rằng chúng chỉ là cáckhuyến nghị- hồ sơ không ủy quyền một thuật toán cụ thể

Ở đây ta cần lưu ý 2 điều quan trọng Đầu tiên, trong khi keyIdentifier cóthể là duy nhất trên nhiều miền PKI (ví dụ, khi giá trị băm SHA-1 của khóacông khai được sử dụng ) Chỉ bảo đảm rằng keyIdentifier là duy nhất liênquan đến khóa công khai được đưa ra trong bối cảnh của một tổ chức pháthành Điều này có nghĩa là chúng ta không thể chỉ dựa trên giá trịkeyIdentifier để đảm bảo rằng ta có chứng chỉ hợp lệ Thứ 2, có thể có một tổchức cấp phát có thể gia hạn chứng chỉ (tức là, một khóa công khai tương tựcũng được phát hành trong một chứng chỉ mới) và giá trị keyIdentifier có thểgiống nhau trong nhiều hơn một chứng chỉ Đây là lý do tại sao chúng ta sử

dụng authorityCertIssuer authorityCertIssuer pair có thể cần thiết để lựachọn một chứng chỉ trong số những cái khác (tức là: số serial được đảm bảo

là duy nhất cho mỗi chứng chỉ được cấp phát bởi 1 CA mặc dù khóa côngkhai tương tự có thể được cấp lại)

1.4 XÁC NHẬN CHỨNG CHỈ HỢP LỆ

Trong bối cảnh các doanh nghiệp, hầu hết các nhà cung cấp PKI đã dựavào việc sử dụng các vùng lưu trữ cho việc lưu trữ và thu hồi chứng chỉ Trongnhiều trường hợp, nó được hỗ trợ bởi một thư viện dựa trên chuẩn X.509 với

sự tương tác client-server được hỗ trợ bởi Lightweight Directory AccessProtocol (LDAP) X.509 định nghĩa các thuộc tính thư mục cụ thể mà cácchưng chỉ CA và các chứng chỉ thực thể cuối được lưu trữ Trong khi có một

số tranh cãi về thuộc tính nên được sử dụng, X.509 version4 chỉ thị các yêucầu cụ thể, các hành vi mong đợi Cú pháp và dự kiến sử dụng các thuộc tínhphù hợp với X.509 được mô tả dưới đây

a Các thuộc tính chứng chỉ X.509

X.509 định nghĩa một số thuộc tính của chứng chỉ Ở đây ta quan tâm đếncác thuộc tính cACertificate và crossCertificatePair Thuộc tính userCertificateđược sử dụng để lưu trữ các chứng chỉ thực thể cuối nhưng để đơn giản chúng

ta giả định rằng các chứng chỉ thực thể cuối đã có trong tay trước quá trình xâydựng đường dẫn chứng thực

Theo quy định trong X.509: thuộc tính cACertificate của đường dẫn thưmục của CA được sử dụng để lưu trữ các chứng chỉ tự kí và các chứng chỉđược cấp phát cho các CA bởi các CA trong cùng lĩnh vực của CA này Địnhnghĩa về lĩnh vực hoàn toàn là vấn đề của chính sách địa phương

Theo định nghĩa, chứng chỉ tự cấp là chứng chỉ CA nơi mà tổ chức pháthành DN và chủ thể DN là giống nhau Chứng chỉ tự kí là một chứng chỉ tựcấp nơi khóa bí mật được sử dụng để kí chứng chỉ tương ứng với khóa côngkhai trong chứng chỉ (tức là khóa công khai trong chứng chỉ được sử dụng để

xác minh chữ kí số kết hợp với chứng chỉ) X.509 tạo ra sự phân biệt, từ đóchứng chỉ tự cấp không được đảm bảo nó cũng là chứng chỉ tự kí Điều này cóthể được minh họa bằng cách dùng việc gia hạn khóa CA là ví dụ Để cho phépchuyển cặp khóa ký cũ thành mới, CA sẽ cấp phát một chứng chỉ mà chứakhóa công khai cũ đã được kí bởi khóa kí bí mật mới và một chứng chỉ chứakhóa công khai cũ được kí bởi khóa kí bí mật cũ Cả hai chúng chỉ này đã được

tự cấp, nhưng không phải là tự kí

Thuộc tính cặp chứng chỉ chéo bao gồm 2 phần: issuedToThisCA vàissuedByThisCA Theo quy định của X.509: phần issuedToThisCA của thuộctính crossCertificatePair của đường dẫn thư mục của CA được sử dụng để lưutrữ tất cả, ngoại trừ các các chứng chỉ tự cấp được cấp bởi CA này Tùy chọn,các phần issuedByThisCA của thuộc tính crossCertificatePair của đường dẫnthư mục của CA có thể chứa một tập hợp con của các chứng chỉ được cấp bởi

CA này đến các CA khác Và đối tượng CA không phải là một nhánh của tổchức cấp phát CA trong một hệ thống phân cấp, sau đó tổ chức cấp phát CA sẽphong tỏa các chứng chỉ trong phần issuedByThisCA của thuộc tínhcrossCertificatePair của đường dẫn thư mục riêng của mình

Điều này dẫn chúng ta đến một số kết luận:

- Thứ nhất, chúng ta mong muốn từng CA chứa thuộc tính cACertificatetrong thư mục riêng của mình ,đăng nhập bằng chứng chỉ tự cấp riêng củamình, nếu có Điều này sẽ bao gồm bất kỳ chứng chỉ tự ký cũng như bất

kỳ chứng chỉ cấp bởi CA với hỗ trợ cập nhập khóa CA

- Thứ hai, chúng ta có thể thấy chứng chỉ được cấp cho một CA đã đượcban hành bởi các CA khác thuộc cùng một "khu" để được lưu trữ trongcác thuộc tính cACertificate vào thư mục riêng của nó Trong một vùngchưa xác định, một ví dụ có thể là một PKI domain đơn bao gồm một hệthống các CA Trong trường hợp cụ thể này, chúng ta có thể mong đợirằng CA được cấp để lưu trữ các chứng chỉ cấp cho chúng bởi CA cấptrên của chúng trong các thuộc tính cACertificate của thư mục riêng củachúng Tuy nhiên, cho rằng "lãnh địa" là không xác định và được diễn

giải, không có đảm bảo rằng điều này sẽ được thực hiện nhất quán bởi tất

- Cuối cùng, chúng tôi mong chờ các thuộc tính issuedByThisCA lưu giữ với chứng chỉ cấp bởi CA này cho các CA khác khi những người CAkhông thuộc hệ thống phân cấp tương tự Đặc biệt, chúng ta sẽ thấy cácthuộc tính issuedByThisCA lưu giữ với chứng chỉ được ban hành từ CAthường được tìm thấy trong một mô hình tin cậy phân phối Mặc

dù issuedByThisCA có thể được lưu giữ trong một domain phân cấp, nókhông hợp lý để giả định rằng điều này sẽ luôn luôn đúng cho mọi trườnghợp

Vì vậy, chúng ta có thể bắt buộc những điều sau cho CA cho phù hợp với ấnbản thứ 4 của X.509:

- Tất cả các chứng chỉ tự ban hành phải được lưu trữ trong các thuộc tínhcACertificate của thư mục CA phát hành;

- Tất cả các chứng chỉ đã cấp cho CA trừ các chứng chỉ tự ban hành phảiđược lưu trữ trong các yếu tố issuedToThisCA của thuộc tính cross-certificate của thư mục của CA ;

- Tất cả các chứng chỉ cấp bởi một CA tới CA cuối hay ngang hàng phảiđược lưu trữ trong các yếu tố issuedByThisCA của cross-certificate củađường dẫn thư mục của CA đang phát hành

Ấn bản thứ 4 của X.509 cũng định nghĩa một thuộc tính pkiPath có thểđược sử dụng để lưu trữ một phần hoặc đường dẫn xác nhận hoàn tất Mỗicon đường được biểu diễn bởi một chuỗi các thập chứng X.509 mô tả việc

sử dụng các thuộc tính này như sau: thuộc tính này có thể được lưu trữ trongđường dẫn thư mục CA và sẽ chứa một số đường dẫn chứng thực từ CA đến