سلسلة الشهادات والتسلسل الهرمي Certificate Chains/Hierarchies
قد ترغب بعض الشركات بإسناد مسؤولية منح الشهادات لجهة أوجهات
أخرى، فمثلاً، قد تكون قاعدة إصدار الشهادات كبيرة جداً كي تقوم هيئة منح
Certificate Authority أو CA وحيدة بإدارتها، وقد توجد حواجز جغرافية بين فروع
الشركة وأقسامها، وقد ترغب الشركة بإعطاء صلاحيات مختلفة لكل قسم من أقسامها.
غالباً ما تسند الشركات الضخمة مسؤولية منح الشهادات لهيئات CA فرعية تقوم بمنح
الشهادات. ومقياس X.509 هو نظام خاص بإعداد التسلسل الهرمي للهيئات التي تمنح
شهادات الوثوقية بحيث تكون الهيئة الأصلية في أعلى الهرم ولها شهادة تستطيع من
خلالها ضمان وثوقية الشهادات الأخرى.
ويوجد لدى الهيئات الموجودة مباشرة تحت الهيئة الأصلية ضمن هرم منح الوثوقية
شهادات موقعة من الهيئة الأصلية. وبدورها، هناك هيئات فرعية تخدم تحت الهيئات
الفرعية الأكبر، ولدى هذه الهيئات الفرعية شهادات موقعة من الهيئات الفرعية
الأكبر منها.
يوضح المخطط التالي بنية التسلسل الهرمي لسلسلة الشهادات. فالتحقق من شهادة
صادرة من هيئة دنيا في الهرم يتم من خلال الأفتراض بأن كافة الهيئات الفرعية هي
هيئات غير مكفولة Untrusted. تدوم عملية التحقق من هيئة إلى أخرى ضمن السلسلة،
والإفتراض مجدداً أن كل هيئة فرعية هي هيئة غير مكفولة. وتستمر إجراءات عملية
التحقق بالمرور بكافة الهيئات إلى أن تصل إلى أعلى الهرم، لحين وصولها إلى
الهيئة الأصلية حيث يتم اثبات الوثوقية باعتبار أنها هيئة مكفولة. وبالرغم من
إسناد مسؤولية إصدار الشهادات لهيئات أخرى، إلا أن الهيئة الأصلية Root CA هي
المسؤولة بالنهاية عن اثبات وثوقية الشهادات، الأمر الذي يضمن الأمن.
|
|
