Queens 系列发布说明¶
6.0.1-12¶
新特性¶
为 PKCS#11 加密插件配置添加了新的选项,以启用使用不同的加密和 hmac 机制。在 PKCS#11 加密插件中添加了对 CKM_AES_CBC 加密的的支持。
弃用说明¶
弃用了 p11_crypto_plugin:algoritm 选项。用户应更新其配置以使用 p11_crypto_plugin:encryption_mechanism 代替。
弃用了 generate_iv 选项名称。它已重命名为 aes_gcm_generate_iv,以反映它仅适用于 CKM_AES_GCM 机制。
错误修复¶
修复了 Story #2004734:管理员用户现在可以通过调整策略文件删除其他用户的密钥。
6.0.0¶
序言¶
此版本通知我们将从 API 中删除证书订单和 CA。
弃用说明¶
证书订单
CA
其他说明¶
我们为什么要弃用证书颁发功能? 为此决定考虑了几个原因。 首先,社区似乎对 Barbican 与证书颁发机构的集成没有太大的兴趣。 我们有一些尚未完成的蓝图,需要使证书颁发功能完全可用,但到目前为止,还没有人承诺完成这项工作。 此外,我们从公共证书颁发机构那里获得的参与度非常有限。 Symantec 和 Digicert 过去都对集成感兴趣,但这种兴趣并没有像我们希望的那样转化为强大的 CA 插件。 其次,自 Barbican 启动以来,证书颁发机构领域出现了一些新的发展。 其中最重要的是 Let’s Encrypt 公共 CA 的启动以及 ACME 协议的定义,用于证书颁发。 我们认为,未来的证书颁发机构服务应该实施 ACME 标准,这与 Barbican 团队开发的 API 有很大不同。 最后,在 Barbican 中弃用证书颁发功能将简化 Barbican 的架构和部署。 这将使我们能够专注于 Barbican 擅长的功能——安全存储机密材料。
Barbican 仍然可以存储证书吗?是的,绝对可以!我们弃用的是与证书颁发机构和相关 API 交互的插件接口。您将无法使用 Barbican 颁发新证书,但始终可以将任何证书安全地存储在 Barbican 中,包括由公共 CA 或内部 CA 颁发的证书。
