Certificate Management Protocol

Das Certificate Management Protocol (englisch für „Zertifikat Verwaltungs Protokoll“, kurz CMP), ist ein Protokoll, das von der IETF entwickelt wird, um digitale Zertifikate in einer Public-Key-Infrastruktur (PKI) nach dem Standard X.509 zu verwalten. Das Protokoll regelt hierbei die Interaktion zwischen den Komponenten einer PKI wie der Zertifizierungsstelle (CA) oder der Registrierungsstelle (RA) und einer Anwendung oder einem Benutzer.

CMP Nachrichten sind "DER" kodierte ASN.1 Datenstrukturen. Der Grundaufbau besteht aus einem Header, dessen Inhalt den meisten Nachrichtentypen gemein ist und aus einem Body, der Informationen enthält, die für den jeweiligen Typ spezifisch sind. Außerdem können optional noch Daten zum Schutz der Integrität sowie zusätzliche, für den Empfänger eventuell nützliche, Zertifikate in einer Nachricht enthalten sein.

Der Body einer Zertifikatsanforderung entspricht dem, in RFC 4211 definierten, Certificate Request Message Format (CRMF). Die Formate der restlichen Nachrichten sind im RFC 4210 beschrieben, welches CMP definiert.

Für den Transport von CMP Nachrichten sind mehrere Möglichkeiten vorgesehen^[1]:

• Über TCP oder jedes andere zuverlässige, verbindungsorientierte Transportprotokoll.
• In einer HTTP Nachricht gekapselt.
• In einer Datei, z.B. über FTP oder SCP.
• Per E-Mail, wobei der MIME Kodierungsstandard benutzt wird. Der dabei gesetzte Content-Type ist application/pkixcmp. In älteren Versionen des Standards wurde application/x-pkixcmp verwendet.

Laut Peter Gutmann, dem Autor der cryptlib, ist der in HTTP gekapselte Transport am üblichsten^[2].

• Die Bibliothek cryptlib implementiert alle CMP Komponenten.

1. ↑ http://tools.ietf.org/id/draft-ietf-pkix-cmp-transport-protocols-05.txt
2. ↑ http://osdir.com/ml/encryption.cryptlib/2005-11/msg00054.html