Das Certificate Request Message Format (CRMF, englisch für „Zertifikats-Beantragungs-Nachrichtenformat“) ist ein Nachrichtenformat für einen CSR, mit dem ein digitalen Zertifikaten bei einer Zertifizierungsstelle (CA) angefordert wird. Üblicherweise wird die Anforderung über eine Registrierungsstelle (RA) versandt, die die Anforderung überprüft. CA und RA sind Teil einer Public-Key-Infrastruktur (PKI) nach dem Standard X.509.

Die Anforderung enthält üblicherweise einen öffentlichen Schlüssel und zur Registrierung gehörende Informationen wie die Identität des Zertifikats-Antragstellers, die in das Zertifikat übernommen werden soll.

Nachrichtenformat

Nachrichten im CRMF sind „DER“ kodierte ASN.1 Datenstrukturen. Im Gegensatz zum deutlich weiter verbreiteten Format PKCS #10 ist es nicht zwingend erforderlich, dass die Nachricht eine Selbstsignatur enthält. Damit ist CRMF auch für Schlüsseltypen geeignet, die keine Signatur unterstützen. Der sogenannte Proof-of-Possession (Nachweis, dass der Antragsteller den zugehörigen privaten Schlüssel hat) kann dann auch auf andere, indirekte Arten erbracht werden, z. B. durch Verschlüsselung des neu erzeugten Zertifikats mit dem enthaltenen öffentlichen Schlüssel, welche nur vom legitimen Antragsteller entschlüsselt werden kann, der auf den zugehörigen privaten Schlüssel Zugriff hat.

Einsatz

Dieses Format wird vom Certificate Management Protocol (CMP) und vom Certificate Management over CMS (CMC) verwendet.

Normen und Standards

• RFC 2511 – Internet X.509 Certificate Request Message Format. März 1999 (aktualisiert durch RFC 4211, englisch).
• RFC 4211 – Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF). September 2005 (englisch).

Einzelnachweise

1. ↑ RFC 4211 – Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF). September 2005 (englisch).
2. ↑ RFC 2511 – Internet X.509 Certificate Request Message Format. März 1999 (aktualisiert durch RFC 4211, englisch).