1. 简介 (Introduction)
本文档更新 RFC 7030, 并澄清 Certificate Signing Request (CSR, 证书签名请求) Attributes Response 如何由 EST server (EST 服务器) 用来同时指定 CSR attribute OIDs 和 CSR attribute values. 特别是, 服务器需要能够指定它期望客户端在后续 CSR 中包含的 X.509 extension values.
"Enrollment over Secure Transport" [RFC7030] 已用于多种应用. 特别是, [RFC8994] 和 [RFC8995] 描述了一种使用 EST 构建 Autonomic Control Plane (ACP, 自主控制平面) [RFC8368] 的方式.
在引导 ACP 时, 每个节点都需要获得一个非常具体的 subjectAltName. 在 [RFC8994] 的 ACP 规范中, EST 服务器被指定为使用 CSR Attributes (/csrattrs) Request ([RFC7030] 第 2.6 节) 将实际的 subjectAltName 传达给 EST 客户端. 该 subjectAltName 需要进入客户端的 CSR, 并最终进入其 End Entity (EE, 终端实体) 证书.
由于一些实现挑战, 人们发现这种 CSR Attributes 的具体用法并未得到普遍一致的理解, 并且有人认为它与 [RFC7030] 第 2.6 节相冲突.
[RFC7030] 第 2.6 节说明, CSR Attributes "can provide additional descriptive information that the EST server cannot access itself". 本文档扩展这一说明, 描述 EST 服务器如何提供它要求客户端使用的具体值.
经过充分讨论后, 结论是 [RFC7030] 第 4.5 节足够难读且存在解释歧义, 因此需要澄清.
此外, 本文档还扩展 [RFC7030] 第 4.5.2 节, 以澄清现有 ASN.1 语法 [X.680] [X.690] 的使用方式.
这些澄清覆盖所有相关用法, 并与现有使用方式完全向后兼容, 同时满足 [RFC8994] 和 [RFC8995] 的需求.