Регистрация через Secure Transport

Регистрация через безопасный транспорт , или EST , — это криптографический протокол , описывающий X.509 протокол управления сертификатами , предназначенный для клиентов инфраструктуры открытых ключей (PKI), которым необходимо получить клиентские сертификаты и связанные сертификаты центра сертификации (CA). EST описан в РФК 7030 . EST был предложен в качестве замены SCEP , поскольку его легче реализовать на устройствах, уже имеющих стек HTTPS. EST использует HTTPS в качестве транспорта и использует TLS для многих своих атрибутов безопасности. EST описывает стандартизированные URL-адреса и использует широко известное определение унифицированных идентификаторов ресурсов (URI), кодифицированное в РФК 5785 .

Операции

EST имеет следующий набор операций:

Конечная точка API	Операция	Описание
/.well-known/est/cacerts	Распространение сертификатов CA	Клиент EST может запросить копию текущих сертификатов CA с помощью операции HTTP GET (RFC 7030, раздел 4.1 ).
/.well-known/est/simpleenroll	Регистрация клиентов	Клиенты EST запрашивают сертификат у сервера EST с помощью операции HTTPS POST (RFC 7030, раздел 4.2 ).
/.well-known/est/simplereenroll	Повторный набор клиентов	Клиенты EST обновляют/переключают сертификаты с помощью операции HTTPS POST (RFC 7030, раздел 4.2.2 ).
/.well-known/est/fullcmc	Полный CMC	Клиент EST может запросить сертификат у сервера EST с помощью операции HTTPS POST (RFC 7030, раздел 4.3 ).
/.well-known/est/serverkeygen	Генерация ключей на стороне сервера	Клиент EST может запросить закрытый ключ и связанный сертификат с сервера EST, используя операцию HTTPS POST (RFC 7030, раздел 4.4 ).
/.well-known/est/csrattrs	Атрибуты КСО	Политика ЦС может разрешать включение атрибутов, предоставленных клиентом, в выдаваемые им сертификаты, и некоторые из этих атрибутов могут описывать информацию, недоступную ЦС. Кроме того, центр сертификации может захотеть сертифицировать определенный тип открытого ключа, а клиент может заранее не знать об этом факте. Поэтому клиентам СЛЕДУЕТ запрашивать список ожидаемых атрибутов, которые требуются или желательны для ЦС в запросе на регистрацию или если это продиктовано локальной политикой. (RFC 7030, раздел 4.5 )

Пример использования

Основные функции EST были разработаны так, чтобы их было легко использовать, и, хотя это и не REST API , их можно использовать аналогично REST с помощью простых инструментов, таких как OpenSSL и cURL . Простая команда для первоначальной регистрации с помощью предварительно созданного запроса на подпись сертификата PKCS#10 (хранящегося как device.b64) с использованием одного из механизмов аутентификации (имя пользователя:пароль), указанных в EST:

curl -v --cacert ManagementCA.cacert.pem --user username:password --data @device.b64 -o device-p7.b64 -H "Content-Type: application/pkcs10" -H "Content-Transfer-Encoding: base64" https://hostname.tld/.well-known/est/simpleenroll

Выданный сертификат, возвращенный в виде сообщения PKCS#7 в кодировке Base64 , сохраняется как устройство-p7.b64.

См. также

Ссылки

RFC 7030 , официальная спецификация

Реализации

Библиотека libest представляет собой клиентскую и серверную реализацию EST.
Bouncy Castle API предлагает библиотеку EST API для Java.
DigiCert IoT Trust Manager — это серверная реализация EST.
EJBCA , программное обеспечение CA , реализует подмножество ^{[ 1 ]} функций EST.
Evertrust Horizon реализует РФК 7030 .
Entrust CA PKI поддерживает функции EST
Менеджер сертификатов Sectigo реализует РФК 7030 .
Инструмент StrongSwan pki --est представляет собой клиентскую реализацию EST.

Эта статья, посвященная криптографии, незавершена . Вы можете помочь Википедии, расширив ее .

^ «EJBCA — Центр сертификации Java EE» . Архивировано из оригинала 7 июня 2019 г. Проверено 7 июня 2019 г.

[1] «EJBCA — Центр сертификации Java EE» . Архивировано из оригинала 7 июня 2019 г. Проверено 7 июня 2019 г.

[ 1 ]