Inscripció a Transport Segur
L'Enrollment over Secure Transport, o EST és un protocol criptogràfic que descriu un protocol de gestió de certificats X.509 orientat als clients d'infraestructura de clau pública (PKI) que necessiten adquirir certificats de client i certificats d'autoritat de certificació (CA) associats. EST es descriu a RFC 7030. EST s'ha proposat com a substitut de SCEP, sent més fàcil d'implementar en dispositius que ja tenen una pila HTTPS. EST utilitza HTTPS com a transport i aprofita TLS per a molts dels seus atributs de seguretat. EST ha descrit URL estandarditzats i utilitza la coneguda definició d'identificadors uniformes de recursos (URI) codificada a RFC 5785.[1][2]
Operacions modifica
EST té el següent conjunt d'operacions:
| Punt final de l'API | Funcionament | Descripció |
|---|---|---|
| /.conegut/est/cacerts | Distribució de certificats CA | El client EST pot sol·licitar una còpia dels certificats CA actuals amb l'operació HTTP GET (RFC 7030 Secció 4.1). |
| /.well-known/est/simpleenroll | Inscripció de clients | Els clients EST sol·liciten un certificat al servidor EST amb una operació HTTPS POST (RFC 7030 Secció 4.2). |
| /.well-known/est/simplereenroll | Reinscripció de clients | Els clients EST renoven/reclau certificats amb una operació HTTPS POST (RFC 7030 Secció 4.2.2). |
| /.conegut/est/fullcmc | CMC complet | Un client EST pot sol·licitar un certificat d'un servidor EST amb una operació HTTPS POST (RFC 7030 Secció 4.3). |
| /.well-known/est/serverkeygen | Generació de claus del costat del servidor | Un client EST pot sol·licitar una clau privada i un certificat associat d'un servidor EST mitjançant una operació HTTPS POST (RFC 7030 Secció 4.4) |
| /.well-known/est/csrattrs | Atributs de RSE | La política de la CA pot permetre la inclusió d'atributs proporcionats pel client als certificats que emet, i alguns d'aquests atributs poden descriure informació que no està disponible per a la CA. A més, una CA pot desitjar certificar un determinat tipus de clau pública i un client pot no tenir coneixement a priori d'aquest fet. Per tant, els clients HAN de sol·licitar una llista d'atributs esperats que són requerits, o desitjats, per la CA en una sol·licitud d'inscripció o si ho dicta la política local. (RFC 7030 Secció 4.5) |
Exemple d'ús modifica
Les funcions bàsiques d'EST es van dissenyar per ser fàcils d'utilitzar i, tot i que no és una API REST, es pot utilitzar de manera similar a REST mitjançant eines senzilles com OpenSSL i cURL. Una ordre senzilla per fer la inscripció inicial amb una sol·licitud de signatura de certificat PKCS#10 pregenerada (emmagatzemada com a dispositiu.b64), utilitzant un dels mecanismes d'autenticació (nom d'usuari: contrasenya) especificats a EST és: [3]
curl -v --cacert ManagementCA.cacert.pem --user username:password --data @device.b64 -o device-p7.b64 -H "Content-Type: application/pkcs10" -H "Content-Transfer-Encoding: base64" https://hostname.tld/.well-known/est/simpleenroll
The issued certificate, returned as a Base64 encoded PKCS#7 message, is stored as device-p7.b64.[4]
Referències modifica
- ↑ «What Is EST? Enrollment Over Secure Transport» (en anglès americà). [Consulta: 27 desembre 2023].
- ↑ Pritikin, Max; Yee, Peter E.; Harkins, Dan «Enrollment over Secure Transport». Pritikin, et al., 2013-10.
- ↑ PatAltimore. «Tutorial - Configure Enrollment over Secure Transport Server (EST) for Azure IoT Edge» (en anglès americà), 16-03-2023. [Consulta: 27 desembre 2023].
- ↑ «Enrollment over Secure Transport (EST) | PKI Platform» (en anglès americà). [Consulta: 27 desembre 2023].