Зачисление более безопасный транспорт , или EST является криптографическим протоколом , который описывает X.509 протокол управления сертификатами таргетирования инфраструктуры открытых ключей (PKI) клиентов , которые нуждаются в клиентских сертификаты Приобретать и связанные с ними сертификатами органы сертификатов (CA). EST описан в RFC 7030 . EST был предложен в качестве замены SCEP , поскольку его проще реализовать на устройствах, уже имеющих стек HTTPS. EST использует HTTPS в качестве транспорта и использует TLS для многих своих атрибутов безопасности. EST описал стандартизированные URL-адреса и используетхорошо известное определение универсальных идентификаторов ресурсов (URI), кодифицированное в RFC 5785 .
Операции
EST имеет следующий набор операций:
Конечная точка API | Операция | Описание |
---|---|---|
/.well-known/est/cacerts | Распространение сертификатов CA | Клиент EST может запросить копию текущих сертификатов CA с помощью операции HTTP GET (RFC 7030, раздел 4.1 ). |
/.well-known/est/simpleenroll | Набор клиентов | Клиенты EST запрашивают сертификат у сервера EST с помощью операции HTTPS POST (RFC 7030, раздел 4.2 ). |
/.well-known/est/simplereenroll | Повторное зачисление клиентов | Клиенты EST обновляют / меняют ключи сертификатов с помощью операции HTTPS POST (RFC 7030, раздел 4.2.2 ). |
/.well-known/est/fullcmc | Полный CMC | Клиент EST может запросить сертификат с сервера EST с помощью операции HTTPS POST (RFC 7030, раздел 4.3 ). |
/.well-known/est/serverkeygen | Генерация ключа на стороне сервера | Клиент EST может запросить закрытый ключ и связанный сертификат с сервера EST, используя операцию HTTPS POST (RFC 7030, раздел 4.4 ). |
/.well-known/est/csrattrs | Атрибуты CSR | Политика CA может разрешать включение атрибутов, предоставляемых клиентом, в сертификаты, которые она выдает, и некоторые из этих атрибутов могут описывать информацию, которая недоступна CA. Кроме того, ЦС может пожелать сертифицировать определенный тип открытого ключа, а клиент может не иметь априорной информации об этом факте. Следовательно, клиентам СЛЕДУЕТ запрашивать список ожидаемых атрибутов, которые требуются или желательны CA в запросе на регистрацию или если это продиктовано локальной политикой. (RFC 7030, раздел 4.5 ) |
Пример использования
Основные функции EST были разработаны так, чтобы их было легко использовать, и, хотя это не REST API , его можно использовать в стиле REST, используя простые инструменты, такие как OpenSSL и CURL . Простая команда для выполнения начальной регистрации с предварительно сгенерированным запросом на подпись сертификата PKCS # 10 (хранящимся как device.b64) с использованием одного из механизмов аутентификации (имя пользователя: пароль), указанных в EST:
curl -v --cacert ManagementCA.cacert.pem --user username:password --data @device.b64 -o device-p7.b64 -H "Content-Type: application/pkcs10" -H "Content-Transfer-Encoding: base64" https://hostname.tld/.well-known/est/simpleenroll
Выданный сертификат, возвращенный в виде сообщения PKCS # 7 в кодировке Base64 , сохраняется как device-p7.b64.
Рекомендации
Смотрите также
Реализации
- Библиотека libest - это клиентская и серверная реализация EST.
- Bouncy Castle API предлагает библиотеку EST API для Java и C #.
- EJBCA , программное обеспечение CA , реализует подмножество [1] функций EST.
- ^ «EJBCA - Центр сертификации Java EE» . Архивировано из оригинала на 2019-06-07 . Проверено 7 июня 2019 .