如何配置OpenXPKI以使用EST协议

Question

我正在尝试弄清楚如何配置OpenXPKI以使用EST协议。他们的主页简单地说明了“提供了对EST的本机支持”。但是，如果任何人有一些好的建议或类似的建议，我们将不胜感激。例如，我发现http://testrfc7030.com/和我想配置OpenXPKI来提供由他们的测试服务器提供的服务。

Answer 1

我们仍然是OpenXPKI的新手，但我们可以使用以下命令通过EST成功注册证书：

# Create a new Certificate Signing Request using a fixed configuration from file ~/ca/openssl.cnf
openssl req --config ~/ca/openssl.cnf -extensions srv_ext -nodes -newkey rsa:4096 -keyout newcert.key -out newcert.csr -outform DER
 
# base 64 encode CSR 
base64 newcert.csr > newcert.b64
 
# Here goes the EST Request to request Certificate signing
curl https://localhost/.well-known/est/simpleenroll -k -s -o newcert.p7.enc --data @newcert.b64 -H "Content-Type: application/pkcs10" -H" Content-Transfer-Encoding: base64"
 
# Check Certificate manually (For me there were still some headers before the BEGIN CERTIFICATE part that I had to cut away)
base64 -d newcert.p7.enc | openssl pkcs7 -text -noout -print_certs -inform DER
 
# Convert to x509
base64 -d newcert.p7.enc | openssl pkcs7 -inform DER -print_certs -out newcert.pem

遗憾的是，我认为OpenXPKI文档非常不完整，尤其是涉及自动化的时候，自动化应该是当今的核心用例之一。

我们目前尝试使用ansible自动为vpn客户端注册客户端证书。