我目前正在为我的雇主开发定制的媒体中心/盒子产品。它基本上是一个运行 Raspian 的 Raspberry Pi 3b+,配置为通过apt
. apt
该设备使用设备上预装的证书,通过私有、安全的存储库访问专有应用程序的二进制文件。
目前,设备上的证书设置为永不过期,但今后,我们希望将证书配置为每 4 个月过期一次。我们还计划为我们运送的每台设备部署一个唯一证书,以便可以撤销证书(即,如果客户报告设备被盗)。
有没有办法通过apt
或 OpenStack/Barbican KMS 来:
- 定期更新设备上 apt-repo 访问的证书。
- 如果我们需要设备能够下载敏感数据,例如客户信息的内存缓存副本,请在设备上设置密钥加密密钥 (KEK)。
- 如果当前使用的密钥已过期(即用户超过 4 个月未将设备连接到互联网),请提供一种机制,以便在设备上部署新密钥。试图绕过这个,因为设备现在(在这种状态下)有一个过期的证书,我无法确定如何让它被信任来拉一个新的。
- 允许跟踪、撤销和停用密钥。
谢谢你。