Unattended/automated Linux 设备密钥管理(用于访问更新服务器的证书)

Unattended/automated Linux device key management (certs for accessing update servers)

我目前正在为我的雇主开发定制媒体 center/box 产品。它基本上是一个 Raspberry Pi 3b+ 运行 Raspian,配置为通过 apt 定期自动更新。该设备使用设备上预安装的证书,通过私有、安全的 apt 存储库访问专有应用程序的二进制文件。

目前,设备上的证书设置为永不过期,但今后,我们希望将证书配置为每 4 个月过期一次。我们还计划为我们运送的每台设备部署一个唯一的证书,这样证书就可以被撤销(即如果客户报告设备被盗)。

Is there a way, via apt or OpenStack/Barbican KMS to:

谢谢。

Is there a way I could use Barbican to: * Update the certs for apt-repo access on the device periodically.

Barbican 曾经有一个接口来颁发证书,但这是 删除。因此 barbican 只是一种生成和存储的服务 秘密。

你可以使用 certmonger 之类的东西。 certmonger 是客户端 生成证书请求并将它们提交给 CA 的守护进程。然后它 跟踪这些证书并在证书要发送时请求新证书 过期。

  • Setup key-encryption-keys (KEK) on the device, if we need the device to be able to download sensitive data, such as an in-memory cached copy of customer info.

要使用 barbican,您需要能够进行身份验证和检索 类似基石标记的东西。一旦你有了它,你就可以使用 barbican 生成密钥加密密钥(将存储在 barbican 数据库)并使用密钥将它们下载到设备 检索 API.

你 need/want KEK 是这样托管的吗?

  • Provide a mechanism for a new key to be deployed on the device if the currently-used key has expired (i.e. the user hasn't connected the device to the internet for more than 4 months).

Barbican 没有这方面的机制。这是客户端工具 需要写。您需要考虑身份验证。

  • Allow keys to be tracked, revoked, and de-commissioned.

Same as above. Barbican has no mechanism for this.