La inscripción sobre Secure Transporte , o EST es un cifrado de protocolo que describe un X.509 protocolo de gestión de certificados de orientación infraestructura de clave pública clientes (PKI) que necesitan los certificados de cliente adquirir y asociado autoridad de certificación (CA) certificados. EST se describe en RFC 7030 . EST se ha propuesto como un reemplazo de SCEP , ya que es más fácil de implementar en dispositivos que ya tienen una pila HTTPS. EST usa HTTPS como transporte y aprovecha TLS para muchos de sus atributos de seguridad. EST ha descrito las URL estandarizadas y utiliza laconocida definición de identificadores uniformes de recursos (URI) codificada en RFC 5785 .
Operaciones
EST tiene el siguiente conjunto de operaciones:
Punto final de API | Operación | Descripción |
---|---|---|
/.well-known/est/cacerts | Distribución de certificados de CA | El cliente EST puede solicitar una copia de los certificados CA actuales con la operación HTTP GET (RFC 7030 Sección 4.1 ). |
/.well-known/est/simpleenroll | Inscripción de clientes | Los clientes EST solicitan un certificado del servidor EST con una operación HTTPS POST (RFC 7030 Sección 4.2 ). |
/.well-known/est/simplereenroll | Reinscripción de clientes | Los clientes EST renuevan / cambian la clave de los certificados con una operación HTTPS POST (RFC 7030 Sección 4.2.2 ). |
/.well-known/est/fullcmc | CMC completo | Un cliente EST puede solicitar un certificado de un servidor EST con una operación HTTPS POST (RFC 7030 Sección 4.3 ). |
/.well-known/est/serverkeygen | Generación de claves del lado del servidor | Un cliente EST puede solicitar una clave privada y un certificado asociado de un servidor EST utilizando una operación HTTPS POST (RFC 7030 Sección 4.4 ) |
/.well-known/est/csrattrs | Atributos de RSE | La política de la CA puede permitir la inclusión de atributos proporcionados por el cliente en los certificados que emite, y algunos de estos atributos pueden describir información que no está disponible para la CA. Además, una CA puede desear certificar un cierto tipo de clave pública y un cliente puede no tener conocimiento a priori de ese hecho. Por lo tanto, los clientes DEBEN solicitar una lista de los atributos esperados que son requeridos o deseados por la CA en una solicitud de inscripción o si así lo dicta la política local. (RFC 7030 Sección 4.5 ) |
Ejemplo de uso
Las funciones básicas de EST se diseñaron para que sean fáciles de usar y, aunque no es una API REST , se puede usar de manera similar a REST utilizando herramientas simples como OpenSSL y CURL . Un comando simple para realizar la inscripción inicial con una solicitud de firma de certificado PKCS # 10 pregenerada (almacenada como device.b64), utilizando uno de los mecanismos de autenticación (nombre de usuario: contraseña) especificados en EST es:
curl -v --cacert ManagementCA.cacert.pem --user username:password --data @device.b64 -o device-p7.b64 -H "Content-Type: application/pkcs10" -H "Content-Transfer-Encoding: base64" https://hostname.tld/.well-known/est/simpleenroll
El certificado emitido, devuelto como un mensaje PKCS # 7 codificado en Base64 , se almacena como device-p7.b64.
Referencias
Ver también
Implementaciones
- La biblioteca libest es una implementación de cliente y servidor de EST.
- Bouncy Castle API ofrece la biblioteca EST API para Java y C #.
- EJBCA , un software de CA , implementa un subconjunto [1] de las funciones EST.
- ^ "EJBCA - La autoridad de certificación de Java EE" . Archivado desde el original el 7 de junio de 2019 . Consultado el 7 de junio de 2019 .