Jump to content

Регистрация через Secure Transport

Регистрация через безопасный транспорт , или EST , — это криптографический протокол , описывающий X.509 протокол управления сертификатами , предназначенный для клиентов инфраструктуры открытых ключей (PKI), которым необходимо получить клиентские сертификаты и связанные сертификаты центра сертификации (CA). EST описан в РФК   7030 . EST был предложен в качестве замены SCEP , поскольку его легче реализовать на устройствах, уже имеющих стек HTTPS. EST использует HTTPS в качестве транспорта и использует TLS для многих своих атрибутов безопасности. EST описывает стандартизированные URL-адреса и использует широко известное определение унифицированных идентификаторов ресурсов (URI), кодифицированное в РФК   5785 .

Операции

[ редактировать ]

EST имеет следующий набор операций:

Конечная точка API Операция Описание
/.well-known/est/cacerts Распространение сертификатов CA Клиент EST может запросить копию текущих сертификатов CA с помощью операции HTTP GET (RFC 7030, раздел 4.1 ).
/.well-known/est/simpleenroll Регистрация клиентов Клиенты EST запрашивают сертификат у сервера EST с помощью операции HTTPS POST (RFC 7030, раздел 4.2 ).
/.well-known/est/simplereenroll Повторный набор клиентов Клиенты EST обновляют/переключают сертификаты с помощью операции HTTPS POST (RFC 7030, раздел 4.2.2 ).
/.well-known/est/fullcmc Полный CMC Клиент EST может запросить сертификат у сервера EST с помощью операции HTTPS POST (RFC 7030, раздел 4.3 ).
/.well-known/est/serverkeygen Генерация ключей на стороне сервера Клиент EST может запросить закрытый ключ и связанный сертификат с сервера EST, используя операцию HTTPS POST (RFC 7030, раздел 4.4 ).
/.well-known/est/csrattrs Атрибуты КСО Политика ЦС может разрешать включение атрибутов, предоставленных клиентом, в выдаваемые им сертификаты, и некоторые из этих атрибутов могут описывать информацию, недоступную ЦС. Кроме того, центр сертификации может захотеть сертифицировать определенный тип открытого ключа, а клиент может заранее не знать об этом факте. Поэтому клиентам СЛЕДУЕТ запрашивать список ожидаемых атрибутов, которые требуются или желательны для ЦС в запросе на регистрацию или если это продиктовано локальной политикой. (RFC 7030, раздел 4.5 )

Пример использования

[ редактировать ]

Основные функции EST были разработаны так, чтобы их было легко использовать, и, хотя это и не REST API , их можно использовать аналогично REST с помощью простых инструментов, таких как OpenSSL и cURL . Простая команда для первоначальной регистрации с помощью предварительно созданного запроса на подпись сертификата PKCS#10 (хранящегося как device.b64) с использованием одного из механизмов аутентификации (имя пользователя:пароль), указанных в EST:

curl -v --cacert ManagementCA.cacert.pem --user username:password --data @device.b64 -o device-p7.b64 -H "Content-Type: application/pkcs10" -H "Content-Transfer-Encoding: base64" https://hostname.tld/.well-known/est/simpleenroll

Выданный сертификат, возвращенный в виде сообщения PKCS#7 в кодировке Base64 , сохраняется как устройство-p7.b64.

См. также

[ редактировать ]
  • RFC   7030 , официальная спецификация

Реализации

[ редактировать ]


  1. ^ «EJBCA — Центр сертификации Java EE» . Архивировано из оригинала 7 июня 2019 г. Проверено 7 июня 2019 г.
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 7fba0be31e3436651af4660c21ee8ef0__1714669740
URL1:https://arc.ask3.ru/arc/aa/7f/f0/7fba0be31e3436651af4660c21ee8ef0.html
Заголовок, (Title) документа по адресу, URL1:
Enrollment over Secure Transport - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)