这个问题是关于数据通信中的加密,广义定义包括:
所有这些加密方法都需要在设备上安装机密,例如:
也可能存在一些必须防止被篡改但本身不是机密的材料,例如受信任的根证书颁发机构的证书、设备本身的证书等。
我的问题是:在设备上安装和管理(例如翻转、撤销等)这些秘密和敏感材料的标准方法是什么?
一个小时左右的谷歌搜索似乎表明主要网络供应商似乎普遍使用以下方法:
(a) 使用 CLI(或管理界面,例如 NETCONF)配置密钥。它们甚至出现在 show config 中,尽管背后隐藏了一层非常薄的混淆。
(b) 证书作为本地文件安装,可以使用 SFTP 等复制,也可以使用简单的 CLI 前端。
这真的是最先进的吗?
是否有任何网络设备供应商支持 KMIP / PKCS #11 等与密钥管理系统 (KMS) 互操作以实现密钥交换和密钥管理功能?
SCEP ( https://en.wikipedia.org/wiki/Simple_Certificate_Enrollment_Protocol ) 是另一种从大量设备获取 CSR 并将证书返回到大量设备的协议——前提是它们可以生成自己的密钥对,将其中的一半打包成 CSR,使用一些 HTTPish 请求提交它们。
我曾经在 Cisco 设备上为几家银行的基于 IKEv2 的站点到站点 VPN 运行 SCEP。IOS 和 IOS-XE 内置了 SCEP 客户端,即使是 SCEP 服务器也可以很容易地打开。
SCEP 客户端设备上涉及的唯一“工作”是:
crypto pki trustpoint ...) 并定义您希望将密钥和证书存储在本地的位置。crypto pki authenticate ...)crypto pki enroll ...)然后还有用于自动更新注册的客户端选项/功能,以及用于自动或手动授予请求、导出 CRL 等的 CA 服务器端选项(如果基于 IOS 或 IOS XE)。
思科的 SCEP 框架(如果我可以这样称呼它)很可能无法达到最高的技术标准,例如,据我所知,没有包含 OSCP 服务,您需要导出并托管CRL 在 CA 之外的某个地方 - 但它比手动处理文件和复制粘贴密钥和 CSR 要好一英里。
一旦证书在路由器上,就可以用它做一些事情(只要它有正确的密钥使用标志) - 但由于我们正在谈论的是路由器,它可能主要与 VPN(SSL、IPSec)相关事物。
我相信每个支持 FIPS 模式的设备都将允许在本地生成加密密钥和证书签名请求(JunOS KB 示例。)这使您可以避免从设备中提取加密材料。如果没有这些功能,就不可能符合 FIPS。
这并不一定意味着它们会支持特定的密钥管理技术。