Encryption 无人值守/自动Linux设备密钥管理(用于访问更新服务器的证书)
我目前正在为我的雇主开发一款定制的媒体中心/机顶盒产品。它基本上是一个运行Raspian的Raspberry Pi 3b+,配置为通过Encryption 无人值守/自动Linux设备密钥管理(用于访问更新服务器的证书),encryption,certificate,openstack,apt,key-management,Encryption,Certificate,Openstack,Apt,Key Management,我目前正在为我的雇主开发一款定制的媒体中心/机顶盒产品。它基本上是一个运行Raspian的Raspberry Pi 3b+,配置为通过apt定期自动更新。该设备使用设备上预装的证书,通过私有、安全的aptrepo访问专有应用程序的二进制文件 现在,设备上的证书设置为永不过期,但接下来,我们希望将证书配置为每4个月过期一次。我们还计划为我们提供的每个设备部署一个唯一的证书,以便可以撤销证书(即,如果客户报告设备被盗) 定期更新设备上apt回购访问的证书 如果我们需要设备能够下载敏感数据,例如内
apt
定期自动更新。该设备使用设备上预装的证书,通过私有、安全的apt
repo访问专有应用程序的二进制文件
现在,设备上的证书设置为永不过期,但接下来,我们希望将证书配置为每4个月过期一次。我们还计划为我们提供的每个设备部署一个唯一的证书,以便可以撤销证书(即,如果客户报告设备被盗)
- 定期更新设备上apt回购访问的证书
- 如果我们需要设备能够下载敏感数据,例如内存中缓存的客户信息副本,请在设备上设置密钥加密密钥(KEK)
- 如果当前使用的密钥已过期(即用户已超过4个月未将设备连接到internet),则提供在设备上部署新密钥的机制我正在努力解决这个问题,因为设备现在(处于这种状态)有一个过期的证书,我无法确定如何让它被信任来获取一个新的证书
- 允许跟踪、撤销和取消委托密钥
- 如果需要,请在设备上设置密钥加密密钥(KEK) 能够下载敏感数据的设备,如内存中的 客户信息的缓存副本
- 提供一种机制,以便在以下情况下在设备上部署新密钥: 当前使用的密钥已过期(即用户尚未连接 将设备连接到internet的时间超过4个月)
- 允许跟踪、撤销和取消委托密钥