Как настроить OpenXPKI для использования протокола EST?
Я пытаюсь выяснить, как настроить OpenXPKI для использования протокола EST. На их домашней странице просто говорится: "Предоставлена собственная поддержка EST". но будет полезна некоторая дополнительная информация или рекомендации, если у кого-то есть хорошие указатели или аналогично. Например, я нашел http://testrfc7030.com/ и хотел бы настроить OpenXPKI для предоставления услуг, предоставляемых их тестовым сервером.
1 ответ
Мы все еще новичок в OpenXPKI, но мы могли успешно зарегистрировать сертификаты с помощью EST, используя следующие команды:
# Create a new Certificate Signing Request using a fixed configuration from file ~/ca/openssl.cnf
openssl req --config ~/ca/openssl.cnf -extensions srv_ext -nodes -newkey rsa:4096 -keyout newcert.key -out newcert.csr -outform DER
# base 64 encode CSR
base64 newcert.csr > newcert.b64
# Here goes the EST Request to request Certificate signing
curl https://localhost/.well-known/est/simpleenroll -k -s -o newcert.p7.enc --data @newcert.b64 -H "Content-Type: application/pkcs10" -H" Content-Transfer-Encoding: base64"
# Check Certificate manually (For me there were still some headers before the BEGIN CERTIFICATE part that I had to cut away)
base64 -d newcert.p7.enc | openssl pkcs7 -text -noout -print_certs -inform DER
# Convert to x509
base64 -d newcert.p7.enc | openssl pkcs7 -inform DER -print_certs -out newcert.pem
К сожалению, я думаю, что документация OpenXPKI очень неполная, особенно если речь идет об автоматизации, которая должна быть одним из основных вариантов использования в настоящее время.
В настоящее время мы пытаемся автоматизировать регистрацию клиентских сертификатов для клиентов vpn с помощью ansible.