Barbican 与 Certmonger 集成

这些是与香港峰会上 Keystone 和 Barbican 团队成员进行的讨论的草稿记录。HP、Redhat 和 Rackspace 以及其他公司的代表参与了讨论。以下是一个不完全列表。我没有记录下所有人的名字，如果您被遗漏，请自行添加。

• Jarret Raim
• Paul Kehrer
• Robert Graham Clark
• Adam Young
• <其他>

Certmonger

• 目标：在所有地方启用 SSL
  • Certmonger 有助于实现这一点
• 通过理解证书过期时间来处理吊销
• 不使用 Dogtag 上的 ReST API
• 通过 XMLRPC 与 FreeIPA 和旧的 Dogtag 调用进行通信

建立信任

• Certmonger 代理如何第一次与后端通信？
  • 本次讨论是关于建立信任的，可以稍后讨论
• 如何验证生成的 CSR 是否应该被信任？
• 当创建新机器时，需要一个 OTP 来注册该机器
• Monger 可以说出信任根吗？可以使用 NSDatabase 进行切换
• 使用 Keystone Kerberos / PKI 认证与 Barbican 后端的连接
• 授权客户端从子树生成证书

行动项目

• Barbican 是否应该能够在 Windows 上运行以与 AD 通信？
  • Barbican 应该查看 Dogtag ReST API 文档，以告知我们的 API
• Certmonger 使用 Barbican 作为后端
• Barbican 将根据需要实现/合并标准 (PKCS10)
• Barbican 将为信任提供后端插件 (Dogtag, key czar, PCKS11, KMIP)
• 考虑支持 SCAP