Регистрация через Secure Transport
Эта статья нуждается в дополнительных цитатах для проверки . ( июнь 2019 г. ) |
Набор интернет-протоколов |
---|
Прикладной уровень |
Транспортный уровень |
Интернет-слой |
Слой связи |
Регистрация через безопасный транспорт , или EST , — это криптографический протокол , описывающий X.509 протокол управления сертификатами , предназначенный для клиентов инфраструктуры открытых ключей (PKI), которым необходимо получить клиентские сертификаты и связанные сертификаты центра сертификации (CA). EST описан в РФК 7030 . EST был предложен в качестве замены SCEP , поскольку его легче реализовать на устройствах, уже имеющих стек HTTPS. EST использует HTTPS в качестве транспорта и использует TLS для многих своих атрибутов безопасности. EST описывает стандартизированные URL-адреса и использует широко известное определение унифицированных идентификаторов ресурсов (URI), кодифицированное в РФК 5785 .
Операции
[ редактировать ]EST имеет следующий набор операций:
Конечная точка API | Операция | Описание |
---|---|---|
/.well-known/est/cacerts | Распространение сертификатов CA | Клиент EST может запросить копию текущих сертификатов CA с помощью операции HTTP GET (RFC 7030, раздел 4.1 ). |
/.well-known/est/simpleenroll | Регистрация клиентов | Клиенты EST запрашивают сертификат у сервера EST с помощью операции HTTPS POST (RFC 7030, раздел 4.2 ). |
/.well-known/est/simplereenroll | Повторный набор клиентов | Клиенты EST обновляют/переключают сертификаты с помощью операции HTTPS POST (RFC 7030, раздел 4.2.2 ). |
/.well-known/est/fullcmc | Полный CMC | Клиент EST может запросить сертификат у сервера EST с помощью операции HTTPS POST (RFC 7030, раздел 4.3 ). |
/.well-known/est/serverkeygen | Генерация ключей на стороне сервера | Клиент EST может запросить закрытый ключ и связанный сертификат с сервера EST, используя операцию HTTPS POST (RFC 7030, раздел 4.4 ). |
/.well-known/est/csrattrs | Атрибуты КСО | Политика ЦС может разрешать включение атрибутов, предоставленных клиентом, в выдаваемые им сертификаты, и некоторые из этих атрибутов могут описывать информацию, недоступную ЦС. Кроме того, центр сертификации может захотеть сертифицировать определенный тип открытого ключа, а клиент может заранее не знать об этом факте. Поэтому клиентам СЛЕДУЕТ запрашивать список ожидаемых атрибутов, которые требуются или желательны для ЦС в запросе на регистрацию или если это продиктовано локальной политикой. (RFC 7030, раздел 4.5 ) |
Пример использования
[ редактировать ]Основные функции EST были разработаны так, чтобы их было легко использовать, и, хотя это и не REST API , их можно использовать аналогично REST с помощью простых инструментов, таких как OpenSSL и cURL . Простая команда для первоначальной регистрации с помощью предварительно созданного запроса на подпись сертификата PKCS#10 (хранящегося как device.b64) с использованием одного из механизмов аутентификации (имя пользователя:пароль), указанных в EST:
curl -v --cacert ManagementCA.cacert.pem --user username:password --data @device.b64 -o device-p7.b64 -H "Content-Type: application/pkcs10" -H "Content-Transfer-Encoding: base64" https://hostname.tld/.well-known/est/simpleenroll
Выданный сертификат, возвращенный в виде сообщения PKCS#7 в кодировке Base64 , сохраняется как устройство-p7.b64.
См. также
[ редактировать ]- Протокол управления сертификатами (CMP)
- Управление сертификатами через CMS (CMC)
- Простой протокол регистрации сертификатов (SCEP)
- Автоматизированная среда управления сертификатами (ACME)
Ссылки
[ редактировать ]Реализации
[ редактировать ]![]() | В этом разделе приведены самостоятельные примеры популярной культуры . ( Ноябрь 2017 г. ) |
- Библиотека libest представляет собой клиентскую и серверную реализацию EST.
- Bouncy Castle API предлагает библиотеку EST API для Java.
- DigiCert IoT Trust Manager — это серверная реализация EST.
- EJBCA , программное обеспечение CA , реализует подмножество [ 1 ] функций EST.
- Evertrust Horizon реализует РФК 7030 .
- Entrust CA PKI поддерживает функции EST
- Менеджер сертификатов Sectigo реализует РФК 7030 .
- Инструмент StrongSwan pki --est представляет собой клиентскую реализацию EST.
- ^ «EJBCA — Центр сертификации Java EE» . Архивировано из оригинала 7 июня 2019 г. Проверено 7 июня 2019 г.