https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Certificate_Management_ProtocolCertificate Management Protocol - Versionsgeschichte2026-05-28T16:14:02ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Certificate_Management_Protocol&diff=1051708&oldid=previmported>DvO: Update: 'Primekey' -> 'Keyfactor'2026-02-24T12:51:13Z<p>Update: 'Primekey' -> 'Keyfactor'</p>
<p><b>Neue Seite</b></p><div>{| class="wikitable float-right"<br />
|+ style="background:#C0C0FF; font-size:larger;"| CMP (Certificate Management Protocol)<br />
|-<br />
| '''Familie:'''<br />
| unbekannt<br />
|-<br />
| '''Einsatzgebiet:'''<br />
| [[Zertifikatsmanagement|Zertifikatsverwaltung]]<br />
|-<br />
| '''Neueste Version:'''<br />
| cmp2021(3)<br />
|-<br />
| '''[[Object Identifier|OID]] der neuesten Version:'''<br />
| 1.3.6.1.5.5.7.0.16<br />
|-<br />
| '''TCP/UDP-Port:'''<br />
| 80 (http), 443 (https), 829 (pkix-3-ca-ra)<br />
|-<br />
|colspan="2" style="text-align:center"|<br />
{| style="float:right; padding-left:10px; text-align:center;" cellspacing="3"<br />
|+ CMP im [[TCP/IP-Referenzmodell|TCP/IP-Protokollstapel]]:<br />
|-<br />
|rowspan="2" style="background:#FFCC99"| '''Anwendung'''<br />
|rowspan="2" style="background:#9999FF"| '''CMP'''<br />
|colspan="4" style="background:#9999FF"| '''CMP'''<br />
|- style="background:#EEEEFF"<br />
| '''[[Hypertext Transfer Protocol|HTTP]]'''<br />
| '''[[Hypertext Transfer Protocol Secure|HTTPS]]'''<br />
| '''[[Constrained Application Protocol|CoAP]]'''<br />
| '''[[Simple Mail Transfer Protocol|SMTP]]'''<br />
| '''…'''<br />
|-<br />
|style="background:#FFEEBB"| ''Transport''<br />
|colspan="5" style="background:#EEEEFF"| [[Transmission Control Protocol|TCP]]<br />
|-<br />
|style="background:#FFEEBB"| ''Internet''<br />
|colspan="5" style="background:#EEEEFF"| IP ([[IPv4]], [[IPv6]])<br />
|-<br />
|rowspan="2" style="background:#FFEEBB"| ''Netz-Zugang''<br />
|rowspan="2" style="background:#EEEEEE"| [[Ethernet]]<br />
|rowspan="2" style="background:#EEEEEE"| [[Token Bus|Token<br />Bus]]<br />
|rowspan="2" style="background:#EEEEEE"| [[Token Ring|Token<br />Ring]]<br />
|rowspan="2" style="background:#EEEEEE"| [[Fiber Distributed Data Interface|FDDI]]<br />
|rowspan="2" style="background:#EEEEEE"| …<br />
|}<br />
|-<br />
| '''Vorgeschlagener Standard:'''<br />
|<br />
<nowiki>RFC&nbsp;9810</nowiki> (CMP, 2025)<ref name="RFC9810" /><br />
|-<br />
| '''Obsoleter Standard:'''<br />
|<br />
<nowiki>RFC&nbsp;4210</nowiki> (CMP, 2005)<ref name="RFC4210" /><br /><br />
<nowiki>RFC&nbsp;2510</nowiki> (CMP, 1999)<ref name="RFC2510" /><br />
|}<br />
<br />
Das '''Certificate Management Protocol''' ('''CMP''', englisch für „Zertifikats-Verwaltungsprotokoll“) ist ein [[Netzwerkprotokoll|Protokoll]] von der [[Internet Engineering Task Force|IETF]] zur Verwaltung [[Digitales Zertifikat|digitaler Zertifikate]] nach dem Standard [[X.509]] in einer [[Public-Key-Infrastruktur]] (PKI). Das Protokoll regelt hierbei die Interaktion zwischen PKI-Klienten (Nutzern bzw. von ihnen verwendeten Anwendungen) oder PKI-Komponenten, die X.509-Zertifikate beantragen oder verwalten möchten, und PKI-Komponenten wie einer [[Registrierungsstelle]] (RA) oder [[Zertifizierungsstelle (Digitale Zertifikate)|Zertifizierungsstelle]] (CA).<br />
<br />
== Nachrichtentypen ==<br />
Eine CMP Nachricht kann einem der folgenden Typen entsprechen:<br />
* Initialisierungs-Anforderung<br />
* Initialisierungs-Antwort<br />
* Zertifizierungs-Anforderung<br />
* Zertifizierungs-Antwort<br />
* [[Public-Key Cryptography Standards|PKCS]] #10 Zertifizierungs-Anforderung<br />
* Beweis des Schlüsselbesitzes-Aufgabe<br />
* Beweis des Schlüsselbesitzes-Antwort<br />
* Aktualisierungs-Anfrage<br />
* Aktualisierungs-Antwort<br />
* Schlüssel-Wiederherstellungs-Anfrage<br />
* Schlüssel-Wiederherstellungs-Antwort<br />
* [[Zertifikatsperrliste|Widerruf]]-Anforderung<br />
* Widerruf-Antwort<br />
* Kreuz-Zertifizierungs-Anforderung<br />
* Kreuz-Zertifizierungs-Antwort<br />
* [[Zertifizierungsstelle (Digitale Zertifikate)|CA]]-Schlüssel-Aktualisierungs-Bekanntgabe<br />
* Zertifikats-Bekanntgabe<br />
* Widerruf-Bekanntgabe<br />
* [[Zertifikatsperrliste|CRL]]-Bekanntgabe<br />
* Bestätigung<br />
* Verschachtelte Nachricht<br />
* Allgemeine Nachricht<br />
* Allgemeine Antwort<br />
* Fehler-Nachricht<br />
* Zertifikats-Bestätigung<br />
* [[Polling (Informatik)|Abfrage]]-Anfrage<br />
* Abfrage-Antwort<br />
<br />
== Nachrichtenformat ==<br />
CMP-Nachrichten sind ''DER''-kodierte Datenstrukturen, die in [[Abstract Syntax Notation One|ASN.1]] definiert sind. Der Grundaufbau besteht aus einem [[Header]], dessen Inhalt den meisten Nachrichtentypen gemein ist, und aus einem ''Body'' (Nachrichtenrumpf), der Informationen enthält, die für den jeweiligen Typ spezifisch sind. Außerdem können optional noch Daten zum Schutz der Integrität und Authentizität sowie zusätzliche, für den Empfänger eventuell nützliche Zertifikate in einer Nachricht enthalten sein.<br />
<br />
Der Body der Anforderungstypen für ''Initialisierung'', ''Zertifizierung'', ''Schlüssel Aktualisierung'', ''Schlüssel Wiederherstellung'' und ''Kreuz-Zertifizierung'' entspricht dem in <nowiki>RFC&nbsp;4211</nowiki><ref name="RFC4211" /> definierten [[Certificate Request Message Format]] (CRMF, deutsch ''Zertifikats-Anforderungs-Nachrichtenformat''). Die Formate der restlichen Nachrichten sind im <nowiki>RFC&nbsp;9810</nowiki> beschrieben,<ref name="RFC9810" /> welches CMP definiert.<br />
<br />
== Transport ==<br />
Für den Transport von CMP-Nachrichten gibt es viele Möglichkeiten, insbesondere:<br />
* In [[Hypertext Transfer Protocol|HTTP]]-Nachrichten gekapselt, optional zusätzlich über TLS abgesichert ([[Hypertext Transfer Protocol Secure|HTTPS]]), siehe <nowiki>RFC&nbsp;9811</nowiki>.<ref name="RFC9811" /><br />
* In [[Constrained Application Protocol|CoAP]]-Nachrichten gekapselt, ggf. zusätzlich über [[Datagram Transport Layer Security|DTLS]] abgesichert, siehe <nowiki>RFC&nbsp;9482</nowiki>.<ref name="RFC9482" /><br />
* Über [[Transmission Control Protocol|TCP]] oder jedes andere zuverlässige, verbindungsorientierte Transportprotokoll.<br />
* In [[Datei]]en, z.&nbsp;B. über [[File Transfer Protocol|FTP]] oder [[Secure Copy|SCP]].<br />
* Per [[E-Mail]], wobei der [[Multipurpose Internet Mail Extensions|MIME]]-Kodierungsstandard benutzt wird.<br />
<br />
Der in HTTP gekapselte Transport ist am üblichsten.<ref>{{Webarchiv |url=http://osdir.com/ml/encryption.cryptlib/2005-11/msg00054.html |text=''Re: CMP – RFC???'' |wayback=20070930024511}} osdir.com (englisch).</ref><br />
<br />
Der [[Internet Media Type|Content-Type]] für CMP ist ''application/pkixcmp''. In veralteten Versionen wurde ''application/x-pkixcmp'' verwendet.<br />
<br />
== Implementierungen ==<br />
* [[OpenSSL]] ab Version 3.0 implementiert eine Vielzahl von CMP-Features in C und bietet ein Kommandozeilen-Tool für einen CMP-Client.<ref>[https://www.openssl.org/docs/manmaster/man1/openssl-cmp.html CMP client support in OpenSSL 3.0.] openssl.org (englisch).</ref> Der sogenannte ''generic CMP client''<ref>[https://github.com/siemens/gencmpclient github.com/siemens/gencmpclient]</ref> bietet darauf aufbauend eine relativ einfach nutzbare Programmierschnittstelle ({{enS|high-level API}}), die dem leichtgewichtigen CMP-Profil folgt, welches in <nowiki>RFC&nbsp;9483</nowiki><ref name="RFC9483" /> definiert ist.<br />
* ''BouncyCastle'' unterstützt CMP-Nachrichten für Java und C#.<br />
* Die Bibliothek [[cryptlib]] implementiert CMPv2 in C.<br />
* Diverse [[Zertifizierungsstelle (Digitale Zertifikate)|CA]]-Produkte unterstützen die wichtigsten Teile von CMPv2, etwa die in [[Java (Programmiersprache)|Java]] geschriebene [[Enterprise JavaBeans Certificate Authority|EJBCA]] der Firma ''Keyfactor'', der ''Certifier'' der finnischen Firma ''Insta'', die Entrust Certificate Authority, der Nexus Certificate Manager, der DigiCert Device Trust Manager und die IBM z/OS PKI Services.<br />
<br />
== Geschichte ==<br />
<br />
* CMP Version 1 wurde in <nowiki>RFC&nbsp;2510</nowiki> (CMP, 1999)<ref name="RFC2510" /> spezifiziert.<br />
* CMPv2 wurde in <nowiki>RFC&nbsp;4210</nowiki> (CMP, 2005)<ref name="RFC4210" /> spezifiziert.<br />
* CMPv3 wurde zunächst in <nowiki>RFC&nbsp;9480</nowiki> (CMP, 2023)<ref name="RFC9480" /> als Erweiterung von <nowiki>RFC&nbsp;4210</nowiki> spezifiziert, dann aber im Juli 2025 als eigenständiges Dokument herausgebracht <nowiki>RFC&nbsp;9810</nowiki><ref name="RFC9810" /> Dort wurden auch diverse meist kleinere Erweiterungen eingefügt, insbesondere die Unterstützung von [[Schlüsselkapselungsverfahren|KEM]]-Schlüsselmaterial.<br />
<br />
Die Spezifikation des HTTP-Transfers für CMP in <nowiki>RFC&nbsp;6712</nowiki> (CMP, 2012)<ref name="RFC6712" /> wurde im Juli 2025 aktualisiert zu <nowiki>RFC&nbsp;9811</nowiki>.<ref name="RFC9811" /><br />
<br />
Im November 2023 wurde ein leichtgewichtiges CMP-Profil für industrielle Anwendungen als <nowiki>RFC&nbsp;9483</nowiki><ref name="RFC9483" /> veröffentlicht,<br />
ebenso eine Spezifikation zur Nutzung von Kryptoalgorithmen in CMP als <nowiki>RFC&nbsp;9481</nowiki><ref name="RFC9481" /> und zum Transport von CMP-Nachrichten über CoAP als <nowiki>RFC&nbsp;9482</nowiki>.<ref name="RFC9482" /><br />
<br />
== Normen und Standards ==<br />
* {{RFC-Internet |RFC=9810 |Titel=Internet X.509 Public Key Infrastructure – Certificate Management Protocol (CMP) |Datum=2025}}<br />
* {{RFC-Internet |RFC=9811 |Titel=Internet X.509 Public Key Infrastructure – HTTP Transfer for the Certificate Management Protocol (CMP) |Datum=2025 |Kommentar=Erweiterung von <nowiki>RFC&nbsp;9810</nowiki>}}<br />
* {{RFC-Internet |RFC=4211 |Titel=Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF) |Datum= |Kommentar=Basis für CMP und CMC}}<br />
* {{RFC-Internet |RFC=9481 |Titel=Certificate Management Protocol (CMP) Algorithms |Datum=2023}}<br />
* {{RFC-Internet |RFC=9482 |Titel=Constrained Application Protocol (CoAP) Transfer for the Certificate Management Protocol |Datum=2023}}<br />
* {{RFC-Internet |RFC=9483 |Titel=Lightweight Certificate Management Protocol (CMP) Profile |Datum=2023}}<br />
<br />
== Einzelnachweise ==<br />
<references><br />
<ref name="RFC2510"><br />
{{RFC-Internet |RFC=2510 |Titel=Internet X.509 Public Key Infrastructure Certificate Management Protocols |Datum=1999}}<br />
</ref><br />
<ref name="RFC4210"><br />
{{RFC-Internet |RFC=4210 |Titel=Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP) |Datum=2005}}<br />
</ref><br />
<ref name="RFC4211"><br />
{{RFC-Internet |RFC=4211 |Titel=Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF) |Datum= |Kommentar=Basis für CMP und CMC}}<br />
</ref><br />
<ref name="RFC6712"><br />
{{RFC-Internet |RFC=6712 |Titel=Internet X.509 Public Key Infrastructure -- HTTP Transfer for the Certificate Management Protocol (CMP) |Datum=2012}}<br />
</ref><br />
<ref name="RFC9480"><br />
{{RFC-Internet |RFC=9480 |Titel=Certificate Management Protocol (CMP) Updates |Datum=2023}}<br />
</ref><br />
<ref name="RFC9481"><br />
{{RFC-Internet |RFC=9481 |Titel=Certificate Management Protocol (CMP) Algorithms |Datum=2023}}<br />
</ref><br />
<ref name="RFC9482"><br />
{{RFC-Internet |RFC=9482 |Titel=Constrained Application Protocol (CoAP) Transfer for the Certificate Management Protocol |Datum=2023}}<br />
</ref><br />
<ref name="RFC9483"><br />
{{RFC-Internet |RFC=9483 |Titel=Lightweight Certificate Management Protocol (CMP) Profile |Datum=2023}}<br />
</ref><br />
<ref name="RFC9810"><br />
{{RFC-Internet |RFC=9810 |Titel=Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP) |Datum=2025}}<br />
</ref><br />
<ref name="RFC9811"><br />
{{RFC-Internet |RFC=9811 |Titel=Internet X.509 Public Key Infrastructure – HTTP Transfer for the Certificate Management Protocol (CMP) |Datum=2025 |Kommentar=Erweiterung von <nowiki>RFC&nbsp;9810</nowiki>}}<br />
</ref><br />
</references><br />
<br />
[[Kategorie:Internet-Anwendungsprotokoll]]<br />
[[Kategorie:Digitale Zertifikate]]</div>imported>DvO