Inscripció a Transport Segur

L'Enrollment over Secure Transport, o EST és un protocol criptogràfic que descriu un protocol de gestió de certificats X.509 orientat als clients d'infraestructura de clau pública (PKI) que necessiten adquirir certificats de client i certificats d'autoritat de certificació (CA) associats. EST es descriu a RFC 7030. EST s'ha proposat com a substitut de SCEP, sent més fàcil d'implementar en dispositius que ja tenen una pila HTTPS. EST utilitza HTTPS com a transport i aprofita TLS per a molts dels seus atributs de seguretat. EST ha descrit URL estandarditzats i utilitza la coneguda definició d'identificadors uniformes de recursos (URI) codificada a RFC 5785.^[1]^[2]

Operacions

EST té el següent conjunt d'operacions:

Punt final de l'API	Funcionament	Descripció
/.conegut/est/cacerts	Distribució de certificats CA	El client EST pot sol·licitar una còpia dels certificats CA actuals amb l'operació HTTP GET (RFC 7030 Secció 4.1).
/.well-known/est/simpleenroll	Inscripció de clients	Els clients EST sol·liciten un certificat al servidor EST amb una operació HTTPS POST (RFC 7030 Secció 4.2).
/.well-known/est/simplereenroll	Reinscripció de clients	Els clients EST renoven/reclau certificats amb una operació HTTPS POST (RFC 7030 Secció 4.2.2).
/.conegut/est/fullcmc	CMC complet	Un client EST pot sol·licitar un certificat d'un servidor EST amb una operació HTTPS POST (RFC 7030 Secció 4.3).
/.well-known/est/serverkeygen	Generació de claus del costat del servidor	Un client EST pot sol·licitar una clau privada i un certificat associat d'un servidor EST mitjançant una operació HTTPS POST (RFC 7030 Secció 4.4)
/.well-known/est/csrattrs	Atributs de RSE	La política de la CA pot permetre la inclusió d'atributs proporcionats pel client als certificats que emet, i alguns d'aquests atributs poden descriure informació que no està disponible per a la CA. A més, una CA pot desitjar certificar un determinat tipus de clau pública i un client pot no tenir coneixement a priori d'aquest fet. Per tant, els clients HAN de sol·licitar una llista d'atributs esperats que són requerits, o desitjats, per la CA en una sol·licitud d'inscripció o si ho dicta la política local. (RFC 7030 Secció 4.5)

Exemple d'ús

Les funcions bàsiques d'EST es van dissenyar per ser fàcils d'utilitzar i, tot i que no és una API REST, es pot utilitzar de manera similar a REST mitjançant eines senzilles com OpenSSL i cURL. Una ordre senzilla per fer la inscripció inicial amb una sol·licitud de signatura de certificat PKCS#10 pregenerada (emmagatzemada com a dispositiu.b64), utilitzant un dels mecanismes d'autenticació (nom d'usuari: contrasenya) especificats a EST és: ^[3]

curl -v --cacert ManagementCA.cacert.pem --user username:password --data @device.b64 -o device-p7.b64 -H "Content-Type: application/pkcs10" -H "Content-Transfer-Encoding: base64" https://hostname.tld/.well-known/est/simpleenroll