Vés al contingut

Inscripció a Transport Segur

De la Viquipèdia, l'enciclopèdia lliure

L'Enrollment over Secure Transport, o EST és un protocol criptogràfic que descriu un protocol de gestió de certificats X.509 orientat als clients d'infraestructura de clau pública (PKI) que necessiten adquirir certificats de client i certificats d'autoritat de certificació (CA) associats. EST es descriu a RFC 7030. EST s'ha proposat com a substitut de SCEP, sent més fàcil d'implementar en dispositius que ja tenen una pila HTTPS. EST utilitza HTTPS com a transport i aprofita TLS per a molts dels seus atributs de seguretat. EST ha descrit URL estandarditzats i utilitza la coneguda definició d'identificadors uniformes de recursos (URI) codificada a RFC 5785.[1][2]

Operacions

[modifica]

EST té el següent conjunt d'operacions:

Punt final de l'API Funcionament Descripció
/.conegut/est/cacerts Distribució de certificats CA El client EST pot sol·licitar una còpia dels certificats CA actuals amb l'operació HTTP GET (RFC 7030 Secció 4.1).
/.well-known/est/simpleenroll Inscripció de clients Els clients EST sol·liciten un certificat al servidor EST amb una operació HTTPS POST (RFC 7030 Secció 4.2).
/.well-known/est/simplereenroll Reinscripció de clients Els clients EST renoven/reclau certificats amb una operació HTTPS POST (RFC 7030 Secció 4.2.2).
/.conegut/est/fullcmc CMC complet Un client EST pot sol·licitar un certificat d'un servidor EST amb una operació HTTPS POST (RFC 7030 Secció 4.3).
/.well-known/est/serverkeygen Generació de claus del costat del servidor Un client EST pot sol·licitar una clau privada i un certificat associat d'un servidor EST mitjançant una operació HTTPS POST (RFC 7030 Secció 4.4)
/.well-known/est/csrattrs Atributs de RSE La política de la CA pot permetre la inclusió d'atributs proporcionats pel client als certificats que emet, i alguns d'aquests atributs poden descriure informació que no està disponible per a la CA. A més, una CA pot desitjar certificar un determinat tipus de clau pública i un client pot no tenir coneixement a priori d'aquest fet. Per tant, els clients HAN de sol·licitar una llista d'atributs esperats que són requerits, o desitjats, per la CA en una sol·licitud d'inscripció o si ho dicta la política local. (RFC 7030 Secció 4.5)

Exemple d'ús

[modifica]

Les funcions bàsiques d'EST es van dissenyar per ser fàcils d'utilitzar i, tot i que no és una API REST, es pot utilitzar de manera similar a REST mitjançant eines senzilles com OpenSSL i cURL. Una ordre senzilla per fer la inscripció inicial amb una sol·licitud de signatura de certificat PKCS#10 pregenerada (emmagatzemada com a dispositiu.b64), utilitzant un dels mecanismes d'autenticació (nom d'usuari: contrasenya) especificats a EST és: [3]

curl -v --cacert ManagementCA.cacert.pem --user username:password --data @device.b64 -o device-p7.b64 -H "Content-Type: application/pkcs10" -H "Content-Transfer-Encoding: base64" https://hostname.tld/.well-known/est/simpleenroll

The issued certificate, returned as a Base64 encoded PKCS#7 message, is stored as device-p7.b64.[4]

Referències

[modifica]
  1. «What Is EST? Enrollment Over Secure Transport» (en anglès americà). [Consulta: 27 desembre 2023].
  2. Pritikin, Max; Yee, Peter E.; Harkins, Dan «Enrollment over Secure Transport». Pritikin, et al., 10-2013.
  3. PatAltimore. «Tutorial - Configure Enrollment over Secure Transport Server (EST) for Azure IoT Edge» (en anglès americà), 16-03-2023. [Consulta: 27 desembre 2023].
  4. «Enrollment over Secure Transport (EST) | PKI Platform» (en anglès americà). [Consulta: 27 desembre 2023].