L'Enrollment over Secure Transport, o EST és un protocol criptogràfic que descriu un protocol de gestió de certificats X.509 orientat als clients d'infraestructura de clau pública (PKI) que necessiten adquirir certificats de client i certificats d'autoritat de certificació (CA) associats. EST es descriu a RFC 7030. EST s'ha proposat com a substitut de SCEP, sent més fàcil d'implementar en dispositius que ja tenen una pila HTTPS. EST utilitza HTTPS com a transport i aprofita TLS per a molts dels seus atributs de seguretat. EST ha descrit URL estandarditzats i utilitza la coneguda definició d'identificadors uniformes de recursos (URI) codificada a RFC 5785.[1][2]
Operacions
EST té el següent conjunt d'operacions:
| Punt final de l'API
|
Funcionament
|
Descripció
|
| /.conegut/est/cacerts
|
Distribució de certificats CA
|
El client EST pot sol·licitar una còpia dels certificats CA actuals amb l'operació HTTP GET (RFC 7030 Secció 4.1).
|
| /.well-known/est/simpleenroll
|
Inscripció de clients
|
Els clients EST sol·liciten un certificat al servidor EST amb una operació HTTPS POST (RFC 7030 Secció 4.2).
|
| /.well-known/est/simplereenroll
|
Reinscripció de clients
|
Els clients EST renoven/reclau certificats amb una operació HTTPS POST (RFC 7030 Secció 4.2.2).
|
| /.conegut/est/fullcmc
|
CMC complet
|
Un client EST pot sol·licitar un certificat d'un servidor EST amb una operació HTTPS POST (RFC 7030 Secció 4.3).
|
| /.well-known/est/serverkeygen
|
Generació de claus del costat del servidor
|
Un client EST pot sol·licitar una clau privada i un certificat associat d'un servidor EST mitjançant una operació HTTPS POST (RFC 7030 Secció 4.4)
|
| /.well-known/est/csrattrs
|
Atributs de RSE
|
La política de la CA pot permetre la inclusió d'atributs proporcionats pel client als certificats que emet, i alguns d'aquests atributs poden descriure informació que no està disponible per a la CA. A més, una CA pot desitjar certificar un determinat tipus de clau pública i un client pot no tenir coneixement a priori d'aquest fet. Per tant, els clients HAN de sol·licitar una llista d'atributs esperats que són requerits, o desitjats, per la CA en una sol·licitud d'inscripció o si ho dicta la política local. (RFC 7030 Secció 4.5)
|
Exemple d'ús
Les funcions bàsiques d'EST es van dissenyar per ser fàcils d'utilitzar i, tot i que no és una API REST, es pot utilitzar de manera similar a REST mitjançant eines senzilles com OpenSSL i cURL. Una ordre senzilla per fer la inscripció inicial amb una sol·licitud de signatura de certificat PKCS#10 pregenerada (emmagatzemada com a dispositiu.b64), utilitzant un dels mecanismes d'autenticació (nom d'usuari: contrasenya) especificats a EST és:[3]
curl -v --cacert ManagementCA.cacert.pem --user username:password --data @device.b64 -o device-p7.b64 -H "Content-Type: application/pkcs10" -H "Content-Transfer-Encoding: base64" https://hostname.tld/.well-known/est/simpleenroll
The issued certificate, returned as a Base64 encoded PKCS#7 message, is stored as device-p7.b64.[4]
Referències
