网络加密设备是否支持KMIP / PKCS#11进行密钥管理，还是全部使用CLI完成？

Question

这个问题是关于数据通信中的加密问题，其广义定义包括：

• 第一层的行扰
• 第二层的MACsec
• 第三层的IPsec
• 第4层TLS
• 等。

所有这些加密方法都需要在设备上安装机密，例如：

• 用于对称加密的预共享密钥
• 与设备本身的证书相对应的私钥。
• 等。

也可能有一些材料必须防止被操纵，但它本身并不是秘密的，例如受信任的根证书颁发机构的证书，设备本身的证书等等。

我的问题是：(S)安装和管理的标准方法是什么(例如翻滚、撤销等等)？这些秘密和敏感的材料在设备上？

一个小时左右的谷歌似乎表明，主要的网络供应商似乎普遍使用以下方法：

(a)使用CLI (或管理接口，例如NETCONF)配置密钥。它们甚至出现在show中，尽管背后有一层非常薄的混淆。

(b)证书以本地文件的形式安装，使用SFTP等方式复制，或使用简单的CLI前端复制。

这真的是最先进的吗？

是否有网络设备供应商支持KMIP / PKCS #11等用于密钥交换和密钥管理功能的密钥管理系统(KMS)？

Answer 1

我相信每一个支持FIPS模式的设备都将允许在本地生成加密密钥和证书签名请求(JunOS KB示例)。这使您可以避免从设备中提取密码材料。如果没有这些特性，就不可能兼容FIPS。

这并不一定意味着他们将支持特定的密钥管理技术。

Answer 2

SCEP (https://en.wikipedia.org/wiki/Simple_证书_注册_协议)是另一种协议，用于从大量设备获取CSR并将证书返回到大量设备--只要它们能够生成自己的密钥对，将其中的一半打包到CSR中，使用一些HTTPish请求提交它们。

我曾经在思科设备上运行SCEP，为几家银行的基于IKEv2的站点运行VPN。IOS和IOS都内置了SCEP客户端，甚至SCEP服务器也可以很容易地打开。

SCEP客户端设备上唯一涉及的“工作”是：

• 配置客户端部件(crypto pki trustpoint ...)，并定义希望在本地存储密钥和证书的位置。
• 验证CA (即:获取CA的证书resp )。公钥) (crypto pki authenticate ...)
• 查一下CA证书的指纹，
• 注册客户端(Sumit和fetch证书) (crypto pki enroll ...)

然后还有客户端选项/功能来自动更新注册，CA服务器端选项(如果基于IOS或IOS )可以自动或手动授予请求，导出CRL等等。

思科的SCEP框架(如果我可以这么说的话)很有可能达不到最高的技术标准，例如，据我所知，没有包括OSCP服务，而且您需要在CA之外的某个地方导出和托管CRL --但它比手动处理文件、复制键和CSR要好一英里。

一旦证书在路由器上，就可以用它做一些事情(前提是它有正确的密钥使用标志)--但是由于它是我们正在谈论的路由器，它显然主要是与VPN (SSL，IPSec)相关的东西。