Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 14762-10:2015 信息技术—开放系统互连—目录—第10部分:公钥基础设施在目录中的使用实施指南
基于X.500目录服务的公钥基础设施集成规范与实施指导
ISO/IEC 14762-10:2015 是信息技术领域开放系统互连(OSI)目录系列的重要标准。它专门针对公钥基础设施(PKI)与 X.500 目录服务的深度集成,提供了详尽的技术要求与实施指南。标准覆盖证书及证书撤销列表(CRL)在目录中的存储结构、命名规范、属性定义、发布流程以及目录访问控制策略,旨在确保不同 PKI 域之间通过目录实现可互操作的证书分发与验证。自 2015 年发布以来,该标准已被众多国家、行业组织及企业采纳,截至 2026 年仍是构建目录化 PKI 体系的核心技术文档。
1. 标准概况与适用范围
ISO/IEC 14762-10:2015 是 ISO/IEC 14762 系列标准的第 10 部分,与通用框架部分(ISO/IEC 14762-1)配合使用。
- 制定组织:国际标准化组织(ISO)与国际电工委员会(IEC)联合信息技术标准化技术委员会(JTC 1);
- 适用范围:
- 需要将 PKI 服务(证书颁发、撤销、验证)集成到 X.500 目录中的组织;
- 认证机构(CA)、注册机构(RA)、目录服务管理者及应用程序开发者;
- 跨域证书交换、桥接 CA 及全局证书发现场景;
- 核心目标:定义目录中存储 PKI 对象(证书、CRL、属性证书、交叉证书对)的统一规则,确保互操作性和安全性。
本标准不涉及私钥的目录存储(私钥在任何情况下均不得放入目录),也不涵盖在线证书状态协议(OCSP)的实现细节。
2. 主要技术内容与要求
2.1 PKI 对象类与属性要求
标准继承 X.500 系列的对象类体系,并扩展了专用于 PKI 的辅助对象类与属性。下表列出了核心对象类及其约束:
| 对象类 | 类型 | 强制属性(示例) | 允许属性(示例) |
|---|---|---|---|
| pkiCA | 辅助类 | cACertificate; certificateRevocationList | authorityRevocationList; crossCertificatePair |
| certificationAuthority | 结构类 | userCertificate; authorityRevocationList | cRLDistributionPoint; deltaRevocationList |
| cRLDistributionPoint | 辅助类 | commonName; certificateRevocationList | deltaRevocationList; issuerName |
所有 PKI 属性均采用标准的 LDAP/X.500 名称形式(如 cACertificate;binary),确保与现有目录网关的兼容。
2.2 目录信息树(DIT)设计
标准推荐以公共策略驱动的命名结构,例如将 CA 条目置于国家/组织分支下,并建议对 CRL 分发点采用统一的 nsDS 命名属性。提供了两种基本模型:
- 空间分离模型:PKI 对象存放于独立的子树(如
cn=CA-Name, o=Organization); - 内嵌模型:PKI 对象与用户实体共存,通过辅助类扩展实现。
2.3 证书与 CRL 发布机制
除了支持 X.509 标准格式的证书及 CRL 直接存储外,本标准还规定了:
- **交叉配对证书(crossCertificatePair)**的管理与检索;
- **增量 CRL(deltaRevocationList)**的可选支持;
- **权威撤销列表(authorityRevocationList)**用于标识 CA 自身证书的撤销状态。
标准实施收益:通过统一目录结构,多 CA 域可以实现证书的自动发现与路径构建,降低手工交换 X.509 证书的复杂度,提升大规模 PKI 的运维效率。
3. 实施与应用要点
部署符合 ISO/IEC 14762-10:2015 的目录 PKI 系统时,建议关注以下关键环节:
3.1 目录安全硬化
- 对存放证书和 CRL 的条目应用严格的 ACIs(访问控制项),确保目录匿名查询只能读取
userCertificate等公开属性,而对privateKey(意外存储)属性的访问需完全禁止; - 启用 TLS 加密目录传输;
- 定期审计目录修改日志,防范未授权添加或篡改证书对象。
强制性要求:目录条目中绝对不得包含私钥属性(如
privateKey)。任何企图将私钥发布到目录的行为均违反本标准安全原则,会导致凭据泄露风险。 3.2 复制与高可用性
推荐将 PKI 目录部署为阴影副本或多主复制模式。标准建议对 CRL 条目设置合适的 TTL(时间戳),配合目录同步抵消延迟带来的撤销遗漏。
注意:目录副本之间的同步延迟可能导致部分用户读到过期 CRL。建议结合 CRL 的
nextUpdate 字段设置合理的复制间隔(通常不超过 1 小时)。 3.3 命名与策略协调
不同 CA 的命名格式(如 LDAP DN 或 X.500 名称)应遵循标准对应的对象标识符(OID)映射规则。若使用桥接 CA 进行跨域认证,须确保所有参与 CA 的条目按照本标准提供的交叉证书配对属性存储。
实用建议:在开发目录查询工具时,优先使用
cACertificate 属性和 crossCertificatePair 属性获取完整 CA 链,而非直接解析单个证书的签发者字段,以提高路径查找效率。 4. 与其他标准的关系
ISO/IEC 14762-10:2015 是庞大的目录和安全标准体系中的一环,与以下标准紧密关联:
| 标准 | 关系说明 |
|---|---|
| ITU-T X.500 | ISO/IEC 9594 | 目录服务的基础框架,本标准是对其 PKI 应用层的扩展定义。 |
| ITU-T X.509 | ISO/IEC 9594-8 | 定义了证书和 CRL 格式;本标准采用该格式并将属性映射纳入目录方案。 |
| IETF PKIX (RFC 5280 等) | 互操作参考;本标准在目录命名和 CRL 分发点属性上与其保持一致。 |
| CA/Browser Forum 基线要求 | 本标准可作为 SSL/TLS 证书目录分发的补充架构实现。 |
通过协调上述标准,ISO/IEC 14762-10 使得在 X.500 目录基础上建立全球统一的公钥发现服务成为可能。
常见问题(FAQ)
问:ISO/IEC 14762-10:2015 与 X.509 标准的主要区别在哪里?
答:X.509 定义的是证书和 CRL 的数据格式及验证算法;而本标准关注的是这些对象在目录(如 X.500/LDAP 目录)中的 存储架构、属性命名、检索策略 以及跨目录的互操作规则,是对 X.509 的目录实现补充。
答:X.509 定义的是证书和 CRL 的数据格式及验证算法;而本标准关注的是这些对象在目录(如 X.500/LDAP 目录)中的 存储架构、属性命名、检索策略 以及跨目录的互操作规则,是对 X.509 的目录实现补充。
问:标准是否要求所有 PKI 都必须使用目录服务?
答:不要求。本标准仅为需要或已经选择目录作为证书分发渠道的组织提供标准化方案。对于使用 OCSP 或本地证书存储的 PKI 仍然有效,且目录可以并行作为备用渠道。
答:不要求。本标准仅为需要或已经选择目录作为证书分发渠道的组织提供标准化方案。对于使用 OCSP 或本地证书存储的 PKI 仍然有效,且目录可以并行作为备用渠道。
问:企业部署时应优先选用哪种 DIT 模型?
答:建议根据域间关系选择。对于独立内部 CA,内嵌模型易于维护;对于跨企业联盟 PKI,空间分离模型更利于隔离和访问控制。本标准同时在附录中提供了两种模型的配置示例。
答:建议根据域间关系选择。对于独立内部 CA,内嵌模型易于维护;对于跨企业联盟 PKI,空间分离模型更利于隔离和访问控制。本标准同时在附录中提供了两种模型的配置示例。
问:标准是否有 2026 年后的更新计划?
答:截至目前(2026 年),ISO/IEC JTC 1 对 14762-10 的维护状态为“现行”。未来可能结合量子密码相关目录扩展进行修订,但现有版本仍是稳定参考。
答:截至目前(2026 年),ISO/IEC JTC 1 对 14762-10 的维护状态为“现行”。未来可能结合量子密码相关目录扩展进行修订,但现有版本仍是稳定参考。
