В настоящее время я работаю над специализированным медиацентром/коробкой для своего работодателя. По сути, это Raspberry Pi 3b+ с Raspian, настроенным на периодическое автоматическое обновление через apt
. Устройство получает доступ к двоичным файлам проприетарных приложений через частный защищенный репозиторий apt
с использованием предварительно установленного на устройстве сертификата.
Прямо сейчас срок действия сертификата на устройстве не истекает, но в будущем мы хотели бы настроить срок действия сертификата каждые 4 месяца. Мы также планируем развернуть уникальный сертификат для каждого отправляемого нами устройства, чтобы сертификаты можно было отозвать (например, в случае, если клиент сообщит об украденном устройстве).
Есть ли способ через apt
или OpenStack/Barbican KMS:
- Периодически обновляйте сертификаты для доступа к apt-repo на устройстве.
- Настройте ключи шифрования ключей (KEK) на устройстве, если нам нужно, чтобы устройство могло загружать конфиденциальные данные, такие как кэшированная в памяти копия информации о клиенте.
- Предоставьте механизм развертывания нового ключа на устройстве, если срок действия текущего ключа истек (т. е. пользователь не подключал устройство к Интернету более 4 месяцев). Пытаюсь разобраться в этом, так как сейчас (в этом состоянии) устройство имеет сертификат с истекшим сроком действия, и я не могу определить, как ему можно доверять для получения нового.
- Разрешить отслеживать, отзывать и списывать ключи.
Спасибо.