<div dir="ltr">Hi Everyone,<div><br></div><div>We've been having a lot of internal discussions about how we want to manage certificates/credentials on a BMC out of band. I wanted to get an idea about what we broadly need as a community, and if it matches some of our needs.</div><div><br></div><div>For authentication I see three core requirements:</div><div>  1) We need everything supported through mTLS. This is already supported through in bmcweb.      2) We also need all certificates to be rotated. This might be supported through Redfish OEM extensions.</div><div>  3) Finally we need to support revocations lists. AFIAK, there is no support for this today.</div><div><br></div><div>For authorization we would like to support dynamic role configuration. A reference implementation for this kind of functionality is Role Based Access Control (RBAC) in <a href="https://www.envoyproxy.io/docs/envoy/latest/api-v2/config/rbac/v2/rbac.proto">envoy</a>.</div><div><br></div><div>Finally, I'm expecting we will need an out of band mechanism to talk with hardware root of trust (e.g. OpenTitan <a href="https://opentitan.org/">https://opentitan.org/</a>).</div><div><br></div><div>I'd be interested to hear how this matches up with other organizations' needs. I imagine supporting this upstream in Redfish would involve some changes to the spec, and some changes to bmcweb. So I want to gauge interest in this beefed up security posture.</div><div><br></div><div>Thanks,</div><div>Richard</div></div>