Регистрация через безопасный транспорт - Enrollment over Secure Transport

В Регистрация через безопасный транспорт, или же стандартное восточное время это криптографический протокол это описывает X.509 таргетинг на протокол управления сертификатами инфраструктура открытого ключа (PKI) клиенты, которым необходимо получить сертификаты клиентов и связанные центр сертификации (CA) сертификаты. EST описан в RFC  7030. EST был предложен в качестве замены SCEP, проще в реализации и использовании, а также поддерживает больше алгоритмов, таких как ECDSA. EST использует HTTPS в качестве транспорта и использует TLS для многих атрибутов безопасности. EST описал стандартизированные URL-адреса и использует хорошо известное определение универсальных идентификаторов ресурсов (URI), приведенное в RFC  5785.

Операции

EST имеет набор операций:

  • / cacerts
  • / simpleenroll
  • / simplereenroll
  • / fullcmc
  • / serverkeygen
  • / csrattrs

Пример использования

Основные функции EST были разработаны так, чтобы их было легко использовать, и хотя они не REST API, его можно использовать в стиле REST с помощью простых инструментов, таких как OpenSSL и CURL. Простая команда для первоначальной регистрации с предварительно созданным PKCS # 10 Запрос на подпись сертификата (хранится как device.b64) с использованием одного из механизмов аутентификации (имя пользователя: пароль), указанного в EST:

curl -v --cacert ManagementCA.cacert.pem --user имя пользователя: пароль --data @ device.b64 -o device-p7.b64 -H "Content-Type: application / pkcs10" -ЧАС "Content-Transfer-Encoding: base64" https: //hostname.tld/.well-known/est/simpleenroll

Выданный сертификат, возвращенный в виде сообщения PKCS # 7 в кодировке Base64, сохраняется как device-p7.b64.

Рекомендации

внешняя ссылка

  • IETF RFC 7030, официальная спецификация

Реализации

  • Библиотека libest это клиентская и серверная реализация EST.
  • API надувного замка предлагает библиотеку EST API для Java и C #.
  • EJBCA, а CA программное обеспечение, реализует подмножество[1] функций EST.


  1. ^ «EJBCA - Центр сертификации Java EE». Архивировано из оригинал на 2019-06-07. Получено 2019-06-07.