设备自取密钥
本文说明设备代理如何获取证书私钥,以及不同策略下的期望行为。
概述
设备代理使用短期 JWT 进行认证,然后请求某个证书的密钥包。
按策略的行为
- HYBRID
- 当设备包裹可用时,返回 AEAD 加密包。
- 若数据密钥尚未为该设备包裹,则返回 409 DEVICES::WRAP_PENDING。
- DEVICE_REQUIRED
- 与 HYBRID 类似,但禁止服务器端明文导出。
- MASTER_ONLY
- 如启用
server_decrypt_export,可直接返回明文。 - 若证书尚未签发,返回 409 CERTS::NOT_ISSUED。
- 如启用
响应头与下载
对明文响应,服务可能包含:
Content-Disposition: attachment; filename="cert-<id>.pem"(或 zip 视情况而定)- 当由浏览器访问时,附带
Vary: Origin与 CORS 相关响应头
客户端建议
- 对 409 使用指数退避重试。
- 处理本地化错误信息,但以数值错误码作为逻辑依据。
- 明文材料仅在内存中短暂缓存,切勿持久化存储。