Unattended/automated Linux 设备密钥管理(用于访问更新服务器的证书)
Unattended/automated Linux device key management (certs for accessing update servers)
我目前正在为我的雇主开发定制媒体 center/box 产品。它基本上是一个 Raspberry Pi 3b+ 运行 Raspian,配置为通过 apt
定期自动更新。该设备使用设备上预安装的证书,通过私有、安全的 apt
存储库访问专有应用程序的二进制文件。
目前,设备上的证书设置为永不过期,但今后,我们希望将证书配置为每 4 个月过期一次。我们还计划为我们运送的每台设备部署一个唯一的证书,这样证书就可以被撤销(即如果客户报告设备被盗)。
Is there a way, via apt
or OpenStack/Barbican KMS to:
- 定期更新设备上的 apt-repo 访问证书。
- 如果我们需要设备能够下载敏感数据,例如客户信息的内存缓存副本,请在设备上设置密钥加密密钥 (KEK)。
- 提供一种机制,以便在当前使用的密钥已过期(即用户超过 4 个月未将设备连接到互联网)时在设备上部署新密钥。 我正在努力解决这个问题,因为设备现在(在这种状态下)的证书已过期,我无法确定如何让它可信以获取新证书.
- 允许跟踪、撤销和停用密钥。
谢谢。
Is there a way I could use Barbican to:
* Update the certs for apt-repo access on the device periodically.
Barbican 曾经有一个接口来颁发证书,但这是
删除。因此 barbican 只是一种生成和存储的服务
秘密。
你可以使用 certmonger 之类的东西。 certmonger 是客户端
生成证书请求并将它们提交给 CA 的守护进程。然后它
跟踪这些证书并在证书要发送时请求新证书
过期。
- Setup key-encryption-keys (KEK) on the device, if we need the
device to be able to download sensitive data, such as an in-memory
cached copy of customer info.
要使用 barbican,您需要能够进行身份验证和检索
类似基石标记的东西。一旦你有了它,你就可以使用
barbican 生成密钥加密密钥(将存储在
barbican 数据库)并使用密钥将它们下载到设备
检索 API.
你 need/want KEK 是这样托管的吗?
- Provide a mechanism for a new key to be deployed on the device if
the currently-used key has expired (i.e. the user hasn't connected
the device to the internet for more than 4 months).
Barbican 没有这方面的机制。这是客户端工具
需要写。您需要考虑身份验证。
- Allow keys to be tracked, revoked, and de-commissioned.
Same as above. Barbican has no mechanism for this.
我目前正在为我的雇主开发定制媒体 center/box 产品。它基本上是一个 Raspberry Pi 3b+ 运行 Raspian,配置为通过 apt
定期自动更新。该设备使用设备上预安装的证书,通过私有、安全的 apt
存储库访问专有应用程序的二进制文件。
目前,设备上的证书设置为永不过期,但今后,我们希望将证书配置为每 4 个月过期一次。我们还计划为我们运送的每台设备部署一个唯一的证书,这样证书就可以被撤销(即如果客户报告设备被盗)。
Is there a way, via apt
or OpenStack/Barbican KMS to:
- 定期更新设备上的 apt-repo 访问证书。
- 如果我们需要设备能够下载敏感数据,例如客户信息的内存缓存副本,请在设备上设置密钥加密密钥 (KEK)。
- 提供一种机制,以便在当前使用的密钥已过期(即用户超过 4 个月未将设备连接到互联网)时在设备上部署新密钥。 我正在努力解决这个问题,因为设备现在(在这种状态下)的证书已过期,我无法确定如何让它可信以获取新证书.
- 允许跟踪、撤销和停用密钥。
谢谢。
Is there a way I could use Barbican to: * Update the certs for apt-repo access on the device periodically.
Barbican 曾经有一个接口来颁发证书,但这是 删除。因此 barbican 只是一种生成和存储的服务 秘密。
你可以使用 certmonger 之类的东西。 certmonger 是客户端 生成证书请求并将它们提交给 CA 的守护进程。然后它 跟踪这些证书并在证书要发送时请求新证书 过期。
- Setup key-encryption-keys (KEK) on the device, if we need the device to be able to download sensitive data, such as an in-memory cached copy of customer info.
要使用 barbican,您需要能够进行身份验证和检索 类似基石标记的东西。一旦你有了它,你就可以使用 barbican 生成密钥加密密钥(将存储在 barbican 数据库)并使用密钥将它们下载到设备 检索 API.
你 need/want KEK 是这样托管的吗?
- Provide a mechanism for a new key to be deployed on the device if the currently-used key has expired (i.e. the user hasn't connected the device to the internet for more than 4 months).
Barbican 没有这方面的机制。这是客户端工具 需要写。您需要考虑身份验证。
- Allow keys to be tracked, revoked, and de-commissioned.
Same as above. Barbican has no mechanism for this.