Encryption 无人值守/自动Linux设备密钥管理（用于访问更新服务器的证书）

我目前正在为我的雇主开发一款定制的媒体中心/机顶盒产品。它基本上是一个运行Raspian的Raspberry Pi 3b+，配置为通过

apt

定期自动更新。该设备使用设备上预装的证书，通过私有、安全的

apt

repo访问专有应用程序的二进制文件

现在，设备上的证书设置为永不过期，但接下来，我们希望将证书配置为每4个月过期一次。我们还计划为我们提供的每个设备部署一个唯一的证书，以便可以撤销证书（即，如果客户报告设备被盗）

• 定期更新设备上apt回购访问的证书
• 如果我们需要设备能够下载敏感数据，例如内存中缓存的客户信息副本，请在设备上设置密钥加密密钥（KEK）
• 如果当前使用的密钥已过期（即用户已超过4个月未将设备连接到internet），则提供在设备上部署新密钥的机制我正在努力解决这个问题，因为设备现在（处于这种状态）有一个过期的证书，我无法确定如何让它被信任来获取一个新的证书
• 允许跟踪、撤销和取消委托密钥

多谢各位

我有没有办法使用Barbican来： *定期更新设备上apt回购访问的证书

Barbican曾经有一个发布证书的接口，但这是 远离的。因此，barbican只是一个生成和存储的服务 秘密

你可以使用certmonger之类的东西。certmonger是客户端 生成证书请求并将其提交给CA的守护进程 跟踪这些证书，并在证书即将到期时请求新的证书 到期

• 如果需要，请在设备上设置密钥加密密钥（KEK） 能够下载敏感数据的设备，如内存中的 客户信息的缓存副本

要使用barbican，您需要能够进行身份验证和检索 类似于keystone令牌的东西。一旦你有了它，你就可以使用 barbican生成密钥加密密钥（将存储在 barbican数据库），并使用该密码将其下载到设备 检索API

你需要/想要桶像这样被托管吗

• 提供一种机制，以便在以下情况下在设备上部署新密钥： 当前使用的密钥已过期（即用户尚未连接 将设备连接到internet的时间超过4个月）

巴比肯对此没有任何机制。这是客户端工具 需要写出来。您需要考虑身份验证

• 允许跟踪、撤销和取消委托密钥

同上。巴比肯对此没有任何机制