Anmälan över Säker Transport
| Internetprotokollsvit |
|---|
| Applikationslager |
| Transportlager |
| Internetlager |
| Länklager |
Enrollment over Secure Transport , eller EST , är ett kryptografiskt protokoll som beskriver ett X.509 -certifikathanteringsprotokoll som riktar sig till klienter med publik nyckelinfrastruktur (PKI) som behöver skaffa klientcertifikat och tillhörande certifikatutfärdare (CA). EST beskrivs i RFC 7030 . EST har lagts fram som en ersättning för SCEP , och är lättare att implementera på enheter som redan har en HTTPS-stack. EST använder HTTPS som transport och utnyttjar TLS för många av sina säkerhetsattribut. EST har beskrivit standardiserade webbadresser och använder den välkända definitionen av Uniform Resource Identifiers (URI) kodifierad i RFC 5785 .
Operationer
EST har följande uppsättning operationer:
| API-slutpunkt | Drift | Beskrivning |
|---|---|---|
| /.välkända/est/cacerts | Distribution av CA-certifikat | EST-klienten kan begära en kopia av de aktuella CA-certifikaten med HTTP GET-operation (RFC 7030 avsnitt 4.1 ). |
| /.välkänd/est/simpleenroll | Registrering av kunder | EST-klienter begär ett certifikat från EST-servern med en HTTPS POST-operation (RFC 7030 avsnitt 4.2) . |
| /.välkänd/est/simplereenroll | Återregistrering av kunder | EST-klienter förnyar/nyckelar om certifikat med en HTTPS POST-operation (RFC 7030 avsnitt 4.2.2) . |
| /.välkänd/est/fullcmc | Fullständig CMC | En EST-klient kan begära ett certifikat från en EST-server med en HTTPS POST-operation (RFC 7030 avsnitt 4.3) . |
| /.välkänd/est/serverkeygen | Nyckelgenerering på serversidan | En EST-klient kan begära en privat nyckel och tillhörande certifikat från en EST-server med hjälp av en HTTPS POST-operation (RFC 7030 avsnitt 4.4 ) |
| /.välkänd/est/csrattrs | CSR-attribut | CA-policy kan tillåta inkludering av klienttillhandahållna attribut i certifikat som den utfärdar, och vissa av dessa attribut kan beskriva information som inte är tillgänglig för CA. Dessutom kan en CA önska att certifiera en viss typ av offentlig nyckel och en klient kanske inte har förhandskännedom om det faktum. Därför SKA klienter begära en lista över förväntade attribut som krävs eller önskas av CA i en registreringsbegäran eller om det dikteras av lokal policy. (RFC 7030 avsnitt 4.5 ) |
Användningsexempel
De grundläggande funktionerna i EST utformades för att vara lätta att använda och även om det inte är ett REST API , kan det användas på ett REST-liknande sätt med enkla verktyg som OpenSSL och cURL . Ett enkelt kommando för att göra en första registrering med en förgenererad PKCS#10- certifikatsigneringsbegäran (lagrad som device.b64), med hjälp av en av autentiseringsmekanismerna (användarnamn:lösenord) som anges i EST är:
curl -v --cacert ManagementCA.cacert.pem --användare användarnamn:lösenord --data @device.b64 -o device-p7.b64 -H " Content-Type: application/pkcs10" -H "Content-Transfer-Encoding : base64" https://hostname.tld/.well-known/est/simpleenroll
Det utfärdade certifikatet, som returneras som ett Base64-kodat PKCS#7 -meddelande, lagras som device-p7.b64.
Se även
- Certificate Management Protocol (CMP)
- Certifikathantering över CMS (CMC)
- Simple Certificate Enrollment Protocol (SCEP)
- Automated Certificate Management Environment (ACME)
Genomföranden
- Biblioteket libest är en klient- och serverimplementering av EST.
- Bouncy Castle API erbjuder EST API-bibliotek för Java.
- EJBCA , en CA- mjukvara, implementerar en delmängd av EST-funktionerna.
- Evertrust Horizon implementerar RFC 7030 .
- Anförtro CA PKI:er stöder EST-funktioner
- ^ "EJBCA - Java EE Certificate Authority" . Arkiverad från originalet 2019-06-07 . Hämtad 2019-06-07 .