2

我目前正在为我的雇主开发定制的媒体中心/盒子产品。它基本上是一个运行 Raspian 的 Raspberry Pi 3b+,配置为通过apt. apt该设备使用设备上预装的证书,通过私有、安全的存储库访问专有应用程序的二进制文件。

目前,设备上的证书设置为永不过期,但今后,我们希望将证书配置为每 4 个月过期一次。我们还计划为我们运送的每台设备部署一个唯一证书,以便可以撤销证书(即,如果客户报告设备被盗)。

有没有办法通过apt或 OpenStack/Barbican KMS 来:

  • 定期更新设备上 apt-repo 访问的证书。
  • 如果我们需要设备能够下载敏感数据,例如客户信息的内存缓存副本,请在设备上设置密钥加密密钥 (KEK)。
  • 如果当前使用的密钥已过期(即用户超过 4 个月未将设备连接到互联网),请提供一种机制,以便在设备上部署新密钥。试图绕过这个,因为设备现在(在这种状态下)有一个过期的证书,我无法确定如何让它被信任来拉一个新的。
  • 允许跟踪、撤销和停用密钥。

谢谢你。

4

1 回答 1

0

有没有办法可以使用 Barbican 来: * 定期更新设备上 apt-repo 访问的证书。

Barbican 曾经有一个颁发证书的界面,但已被删除。因此 barbican 只是一种生成和存储秘密的服务。

你可以使用像 certmonger 这样的东西。certmonger 是一个客户端守护进程,它生成证书请求并将它们提交给 CA。然后,它会跟踪这些证书并在证书即将到期时请求新证书。

  • 如果我们需要设备能够下载敏感数据,例如客户信息的内存缓存副本,请在设备上设置密钥加密密钥 (KEK)。

要使用 barbican,您需要能够验证和检索诸如 keystone 令牌之类的东西。一旦你有了它,你可以使用 barbican 生成密钥加密密钥(将存储在 barbican 数据库中)并使用秘密检索 API 将它们下载到设备。

您是否需要/希望 KEK 像这样托管?

  • 如果当前使用的密钥已过期(即用户超过 4 个月未将设备连接到互联网),请提供一种机制,以便在设备上部署新密钥。

巴比肯对此没有任何机制。这是需要编写的客户端工具。您需要考虑身份验证。

  • 允许跟踪、撤销和停用密钥。

和上面一样。巴比肯对此没有任何机制。

于 2019-06-01T03:14:59.800 回答