Взаимные сертификаты
Взаимный сертификат - иерархический сертификат, создаваемый сертификатором с иерархическим именем для пользователя, сервера или сертификатора с иерархическим именем в случае, когда между сертификатором и сертифицируемым отсутствуют иерархические отношения (т.е. сертификатор и сертифицируемый принадлежат разным деревьям имен). Взаимные сертификаты часто используются, когда две независимых организации должны связываться между собой с применением Notes. Хранятся взаимные сертификаты не в ID-файлах, а в адресных книгах (документ Cross Certificate), общих или личных, смотря по тому, для кого создавался и кем будет использоваться взаимный сертификат. Интерпретировать документ Cross Certificate следует подобно Рис. 8.4.
Например, сервер компании Alpha Inc. имеет имя SERVER1/Support/Development/Alpha Inc./US. К этому серверу должен иметь доступ сервер RETAIL2/Retail/Sales/Omega/US
отделения розничной продажи компании Omega.
Безопасная копия ID-файла сервера RETAIL2/Retail/Sales/Omega/US посылается сертификатору /Support/Development/Alpha Inc./US. Сертификатор создает взаимный сертификат для присланного ему ID-файла. В результате взаимный сертификат "за подписью" /Support/Development/Alpha Inc./US, содержащий имя сервера RETAIL2/Retail/Sales/Omega/US и его публичный ключ, будет добавлен в адресную книгу на сервере SERVER1/Support/Development/Alpha Inc./US.
Процесс "зеркально" повторяется. Безопасная копия ID-файла сервера SERVER1/Support/Development/Alpha Inc./US посылается сертификатору /Retail/Sales/Omega/US. Сертификатор создает взаимный сертификат для присланного ему ID-файла. В результате взаимный сертификат "за подписью" /Retail/Sales/Omega/US, содержащий имя SERVER1/Support/Development/Alpha Inc./US и его публичный ключ, будет добавлен в адресную книгу на RETAIL2/Retail/Sales/Omega/US.
Могут использоваться и взаимные сертификаты между организационными единицами или организациями - это взаимный сертификат для ID-файла сертификатора. Тогда любой пользователь, сертифицированный этим сертификатором и желающий получить доступ к "чужому" серверу, должен лишь скопировать в буфер документ Cross Certificate из общей адресной книги и вставить его из буфера в свою личную адресную книгу.
