Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Blog
    2. PKI

PKIaaS roll i enhetscertifikat

Postat avAditi Goel 11 minuter
PKIaaS-roll
Innehållsförteckning

Vad är enhetscertifikat i SPDM?

I SPDM-ramverket (Security Protocol and Data Model) som definieras av DMTF är enhetscertifikat X.509 certifikat som etablerar identiteten på en hårdvarukomponent, såsom en Root of Trust eller en säker enhetsmodul. De installeras direkt på hårdvaruenheter som nätverkskort, baseboard management controllers (BMC), TPM (Trusted Platform Modules) eller säkra firmwarekomponenter.  

Den primära funktionen för dessa enhetscertifikat är att möjliggöra enhetsautentisering under SPDM-handskakningar. När en enhet vill upprätta en säker anslutning med en annan begär den motpartens certifikatDetta gör det möjligt för den begärande enheten att verifiera den andra enhetens identitet genom att validera certifikatets digitala signatur och kontrollera dess utfärdare mot en betrodd certifikatutfärdare. 

Utöver enkel autentisering är dessa certifikat också viktiga för etablera förtroendekedjorEtt typiskt certifikat som presenteras av en enhet är inte fristående, utan en del av en förtroendekedja som sträcker sig tillbaka till en känd och betrodd rot Certifikatmyndighet (CA)Denna hierarki säkerställer att om rot-CA är betrodd, så kan även enhetens certifikat vara betrodd, förutsatt att hela kedjan är intakt och giltig. 

Dessutom använder SPDM dessa certifikat för att stödja asymmetrisk kryptografi för säker sessionsupprättning. När identiteterna har verifierats använder enheterna offentlig-privata nyckelpar för att komma överens om krypteringsnycklar, vilket möjliggör konfidentiell och manipulationssäker kommunikation. Algoritmer som ECDSA or RSA används för att signera och verifiera meddelanden som en del av denna process, vilket säkerställer integriteten och äktheten hos de uppgifter som utbyts. 

I praktiken utfärdas SPDM-kompatibla enhetscertifikat till specifika komponenter som utgör säkerhetsryggraden i en plattform. Dessa inkluderar Root of Trust for Measurement (RTM), som initierar säkra startprocesser, och andra komponenter som firmware, TPM:er eller nätverkskort som deltar i attestering och säker kommunikation. Dessa certifikat binder kryptografiska nycklar till fysisk hårdvara, vilket möjliggör betrodda operationer i hela systemet. 

Kryptografiska krav i SPDM

Det här avsnittet förklarar de detaljerade kryptografiska och certifikatkraven i SPDM enligt DSP0274 v1.3.0. Varje krav, såsom certifikatformat, nyckelalgoritmer, signaturscheman och valideringsregler etc. 

  1. Krav på X.509-certifikatformat

    SPDM kräver att alla enhetscertifikat måste vara i X.509 version 3-format, kodade i DER (Distinguished Encoding Rules). Detta säkerställer att certifikaten är strukturerade i ett globalt erkänt och parsbart format. X.509 v3 tillåter inkludering av kritiska tillägg som Subject Key Identifier (SKI) och Authority Key Identifier (AKI), vilka är avgörande för att bygga och validera förtroendekedjor i SPDM-kommunikation.

  2. Certifikatkedjans struktur

    Certifikatkedjan som används i SPDM måste följa en strikt ordning, som börjar med lövcertifikatet (enhetscertifikat), följt av ett eller flera mellanliggande certifikat och slutar med ett rotcertifikatutfärdarcertifikat (CA). Svarsenheten skickar denna kedja under kommandot GET_CERTIFICATE SPDM. Begäraren validerar kedjan genom att kontrollera digitala signaturer steg för steg, från lövcertifikatet upp till rotcertifikatutfärdaren, som den redan måste lita på. Denna struktur säkerställer att varje enhets identitet kan spåras tillbaka till ett betrott ursprung.

  3. Nyckelanvändning och tillägg

    Lövcertifikatet (dvs. enhetscertifikatet) måste innehålla tillägget Key Usage med biten digitalSignature uppsatt. Detta ger certifikatinnehavaren uttryckligen behörighet att utföra digitala signaturer – en kritisk funktion under SPDM-autentisering med utmaningssvar. Dessutom måste både enhets- och mellanliggande certifikat innehålla tilläggen Subject Key Identifier (SKI) och Authority Key Identifier (AKI). Dessa tillägg hjälper till att länka varje certifikat till dess utfärdare och är viktiga för automatiserad kedjevalidering.

  4. Tillåtna algoritmer för offentlig nyckel

    SPDM stöder kryptografi med offentlig nyckel med båda Elliptisk kurvkryptografi (ECC) och RSA, men med strikta begränsningar för att säkerställa stark säkerhet. För ECC tillåter SPDM kurvor som secp256r1, secp384r1 och secp521r1. Dessa kurvor väljs för sin balans mellan säkerhet och prestanda, särskilt i inbäddad eller strömsnål hårdvara. För RSA kräver SPDM att nyckellängden är minst 2048 bitar, och att RSA-nycklarna används med RSASSA-PSS-utfyllnad, vilket ger starkare motståndskraft mot signaturförfalskning än äldre PKCS#1 v1.5-utfyllnad.

  5. Godkända signaturalgoritmer

    När ett certifikat signerar ett annat certifikat (t.ex. mellanliggande signeringsblad, mellanliggande rotsigneringscertifikat), eller när en enhet signerar en utmaning under autentisering, måste signeringsalgoritmen vara bland de som godkänts av SPDM. Detta inkluderar ECDSA (Elliptic Curve Digital Signature Algorithm) för ECC-baserade certifikat och RSASSA-PSS för RSA-baserade certifikat. Dessa signeringsscheman är valda för sin utbredda standardisering, kryptografiska styrka och kompatibilitet med moderna kryptografiska bibliotek.

  6. Hashfunktioner som används

    SPDM förlitar sig på säkra hashalgoritmer för att stödja både signaturgenerering och verifiering, samt för att skapa transkripthash som används under sessionsetablering. De accepterade hashalgoritmerna i SPDM är SHA-256, SHA-384 och SHA-512. Den specifika algoritmen som ska användas förhandlas mellan begärande part och svarande part under funktionsutbyte. Svagare hashfunktioner som SHA-1 är uttryckligen otillåtna på grund av kända sårbarheter. Valet av hashfunktion avgör också vilken signaturalgoritmvariant som används (t.ex. ECDSA med SHA-384).

  7. Storleks- och kodningsbegränsningar

    För att undvika stora nyttolaster under SPDM-meddelandeutbyten måste certifikatkedjor följa storleksbegränsningar som förhandlats fram under sessionsuppsättningen. Till exempel kan en begärande part begränsa certifikatkedjans maximala storlek eller det maximala antalet mellanliggande certifikat som den kan acceptera. Alla certifikat måste också kodas i DER-format (binärt), till skillnad från PEM (base64), för att följa SPDM:s transport- och parsningsregler.

  8. Krav för privat nyckel

    Även om SPDM inte direkt tillämpar hur privata nycklar genereras eller lagras, förväntar det sig implicit att varje enhet säkert måste generera och lagra sin privata nyckel på ett sätt som förhindrar extrahering eller manipulering. Detta är avgörande eftersom CHALLENGE_AUTH-kommandot i SPDM kräver att enheten signerar en slumpmässig nonce med sin privata nyckel. Om en angripare skulle kunna få tillgång till den nyckeln skulle de kunna utge sig för att vara enheten. Därför rekommenderas användning av TPM:er, säkra element eller HSM-baserad PKIaaS-utgivning för nyckelgenerering och lagring.

  9. Förhandling om kryptografisk kapacitet

    Innan SPDM-kommunikationen börjar utbyter begärande part och svarande part sina kryptografiska funktioner via meddelanden som NEGOTIATE_ALGORITHMS. Detta inkluderar deras föredragna algoritmer för offentlig nyckel, hashfunktioner och hashtyper för mätsammanfattningar. Endast ömsesidigt stödda kombinationer används under resten av sessionen. Denna dynamiska förhandling gör SPDM flexibel, men säkerställer att endast stark och standardiserad krypto används.

PKIaaS roll i SPDM-enhetscertifikat

PKIaaS utfärdar enhetscertifikat enligt X.509-standarderna på ett sätt som överensstämmer med SPDM-kraven. Detta inkluderar att använda rätt kryptografiska algoritmer (som ECC och RSA), den korrekta nyckelstorlekaroch ordentligt certifikatformat och tillägg (som ämnesnyckelidentifierare, grundläggande begränsningar och åtkomst till auktoritetsinformation). Genom att göra det säkerställs att varje enhets certifikat är erkänd, betrodd och verifierad under SPDM-autentiseringsflöden. 

PKIaaS inte bara genererar och signerar dessa certifikat, men tar även hand om deras förlängning, återkallandeoch verkställighet av policy över tid. Detta är avgörande eftersom många SPDM-aktiverade enheter har långa livscykler, såsom servrar och inbyggda system, och deras certifikat måste förbli giltiga, säkra och kompatibla utan mänsklig inblandning. PKIaaS tillhandahåller säkra gränssnitt och stöder protokoll för certifikatutfärdande, såsom SCEP (Simple Certificate Enrollment Protocol), EST (Enrollment over Secure Transport), ACME (Automatisk certifikathanteringsmiljö) eller anpassade REST API:er, dessa tillåter enheter eller provisioneringsverktyg att begära och installera programmatiskt enhetscertifikat. 

Genom PKIaaS kan varje enhet, t.ex. en TPM (Trusted Platform Module), BMC, Eller en NIC (nätverkskort) mottar en unik, verifierbar digital identitetDenna identitet används under SPDM-interaktioner för att bevisa att enheten är äkta, inte komprometterad och har tillåtelse att delta i systemet. Den möjliggör en nollförtroende-modell, där varje enhet måste bevisa sin tillförlitlighet innan någon säker kommunikation eller åtgärd kan äga rum. 

Kortfattat, PKIaaS säkerställer att SPDM-baserad säkerhet fungerar tillförlitligt och i stor skala, genom att leverera den digitala förtroendegrund som behövs för enhet-till-enhet-autentisering och krypterad kommunikation i moderna datorplattformar.

PKIaaS-arbetsflöde för att stödja SPDM

Låt oss bryta ner arbetsflödet för PKIaas från att begära till att erhålla certifikatet: 

  1. CA-inställningar

    PKIaaS är värd för en rotcertifikatutfärdare (CA) och en eller flera mellanliggande certifikatutfärdare, ofta backade upp av HSM (hårdvarusäkerhetsmoduler)Dessa ansvarar för att utfärda certifikat på ett säkert sätt.

  2. Nyckelgenerering och CSR

    Varje enhet genererar sitt eget privat-publika nyckelpar och skapar en Begäran om certifikatsignering (CSR) som innehåller dess offentliga nyckel och unika identifierare som serienummer eller enhets-ID.

  3. Utfärdande av certifikat

    CSR:n skickas till PKIaaS med hjälp av ett säkert protokoll som EST, SCEP eller ACME. PKIaaS validerar begäran och utfärdar ett signerat X.509-certifikat med exakt det format, de tillägg och algoritmer som krävs av SPDM för autentisering. Detta certifikat uppfyller SPDM-kraven (t.ex. användning av ECC, inklusive nödvändiga X.509-tillägg).

  4. Certifikatinstallation

    Enheten lagrar det signerade certifikatet i sin säkra lagring (t.ex. flashminne eller TPM). Den kommer senare att använda detta certifikat i SPDM-handskakningar.

  5. Autentisering under SPDM-kommunikation

    Under SPDM-autentisering presenterar enheten detta certifikat för att bevisa sin identitet. Motparten verifierar certifikatkedjan med hjälp av rot-CA:n som tillhandahålls av PKIaaS och bekräftar äktheten genom att kontrollera en kryptografisk signatur.

  6. Livscykelhantering

    PKIaaS övervakar giltighetsperioden för utfärdade certifikat, förnyar dem automatiskt när de närmar sig utgångsdatum och återkallar alla som har komprometterats. Det upprätthåller också granskningsloggar för efterlevnad och övervakning.

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Fördelar med att använda PKIaaS för SPDM

Det här avsnittet belyser hur PKIaaS förbättrar implementeringen av SPDM genom att förenkla certifikathantering och upprätthålla kryptografisk efterlevnad. Den beskriver viktiga fördelar som skalbarhet, automatisering och säker enhetsautentisering i stora hårdvarumiljöer. 

  • Automatiserad certifikatlivscykelhantering

    PKIaaS automatiserar utfärdande, förnyelse och återkallelse av SPDM-kompatibla certifikat. Detta minskar manuella åtgärder, eliminerar risken för utgångna eller felkonfigurerade certifikat och säkerställer att säker kommunikation kan upprätthållas under en enhets hela livscykel.

  • Skalbarhet för stora enhetsflottor

    SPDM används ofta i miljöer med tusentals enheter (servrar, nätverkskort, BMC:er etc.). PKIaaS tillhandahåller infrastrukturen för att skala certifikatoperationer säkert och effektivt över alla enheter, även under tillverkning eller storskalig driftsättning.

  • Konsekvent efterlevnad av SPDM-standarder

    PKIaaS tillämpar kryptografiska profiler, nyckelanvändningar och certifikattillägg (som SKI, AKI) i enlighet med SPDM-specifikationer (avsnitt 6.1 och 6.2). Detta säkerställer att alla utfärdade certifikat är giltiga för användning under SPDM-autentiserings- och valideringsflöden.

  • Integration med säkra hårdvarumoduler

    PKIaaS kan integreras med HSM:er, TPM:er och RoT:er för att utfärda certifikat utan att exponera privata nycklar. Detta överensstämmer med SPDM:s design för manipulationssäker identitet och säker startvalidering.

  • Stöd för framtida kryptomigrering (t.ex. PQC)

    Allt eftersom SPDM utvecklas för att anta postkvantkryptering (PQC)PKIaaS-plattformar kan stödja hybrid- eller PQC-algoritmer, vilket erbjuder kryptoflexibilitet utan att behöva omstrukturera säkerhetsramverket.

  • Policytillämpning och revision

    Med inbyggda åtkomstkontroller, granskningsloggar och mekanismer för policytillämpning möjliggör PKIaaS spårbarhet och efterlevnad, vilket är viktigt för reglerade branscher som distribuerar SPDM i kritisk infrastruktur.

Hur kan krypteringskonsulting hjälpa till?

Krypteringskonsulting (EC) tillhandahåller den strategiska, tekniska och operativa expertis som krävs för att planera, bygga och hantera en säker, skalbar och kompatibel PKIaaS plattform. Med djupgående domänerfarenhet inom kryptografisk infrastruktur hjälper Encryption Consulting företag i varje steg av deras PKIaaS-resa, från arkitekturdesign till implementering, automatisering och livscykelstyrning. 

  1. CA-hantering: Implementera och underhåll en mycket tillgänglig och kompatibel CA-infrastruktur för att stödja olika säkerhetsbehov. Hantera certifikatutfärdande, förnyelse och återkallelse för alla certifikattyper. Upprätthålla strikta säkerhetskontroller och branschefterlevnad, inklusive GDPR, eIDAS och FIPS 140-3, samtidigt som det ger redundans och hög tillgänglighet. 
  2. Policyhantering: Definiera och tillämpa certifikatpolicyer, giltighetsperioder och regler för nyckelanvändning i hela organisationen. Säkerställ överensstämmelse med säkerhetsramverk genom att automatisera tillämpningen av policyer. Implementera anpassningsbara certifikatprofiler med strikta åtkomstkontroller. 
  3. Automatisk registrering: Möjliggör sömlösa certifikatförfrågningar och installationer genom automatiserade registreringsprotokoll. Stöd för SCEP, EST och ACME för effektiviserad certifikatutfärdande och förnyelse. Säkerställ säker, policydriven registrering med företagsidentitets- och åtkomsthantering. 

Slutsats

Sammanfattningsvis erbjuder integrationen av PKIaaS med SPDM en grund för säker, skalbar och standardkompatibel enhetsautentisering över moderna hårdvaruplattformar. Genom att automatisera hanteringen av certifikatlivscykeln och tillämpa kryptografiska policyer i linje med SPDM-specifikationer förenklar PKIaaS inte bara distribution i stor skala utan stärker också det övergripande förtroenderamverket som är avgörande för plattformsintegritet och säker startmekanism.

Upptäck vår

Relaterade bloggar

Cloud-PKI-utan-att-förlora-kontrollen

Ta kontroll över moln-PKI utan att kompromissa med säkerheten

Juni 19, 2026
Certifikat Lifecycle Management

Begränsningar i AWS Certificate Manager: Där ACM inte når upp till Enterprise PKI

Juni 18, 2026
PKI

Referensguide för snabbkorrigeringar för Windows Server PKI och ADCS

Juni 3, 2026

Utforska

Fler ämnen