Назад | Перейти на главную страницу

HTTPS для встроенных устройств, локальные адреса

Я пытаюсь добавить https на встроенные устройства, над которыми я работаю. Этим устройствам обычно назначаются локальные IP-адреса, поэтому они не могут получить свои собственные сертификаты ssl.

По сути, мой вопрос в том, как получить сертификат для устройства без глобального IP-адреса?

Предположения:

Браузеры не будут доверять сертификатам, если они не проверены доверенным центром сертификации.

Однако вы можете получить только подтвержденный сертификат для глобального уникального домена.

Эти проклятые клиенты настаивают на локальных IP-адресах.

Аналогичный вопрос Вот

Гипотеза А:

  1. Получите сертификат на главный сайт компании
  2. Скопируйте этот сертификат. + приватный ключ ко всем устройствам
  3. Пользователь подключается к устройству
  4. Устройство отправляет сертификат. пользователю
  5. Пользователь видит сертификат. является доверенным (игнорирует, что это не для этого сервера ??)
  6. Пользователь шифрует http с помощью открытого ключа в сертификате
  7. Устройство использует закрытый ключ

Полученные результаты:

  1. Браузер жалуется на несоответствие имени
  2. У клиентов есть доступ к закрытым ключам друг друга
  3. Не очень безопасно

Гипотеза B:

  1. Получите сертификат основного сайта компании НА КАЖДОЕ УСТРОЙСТВО
  2. Скопируйте сертификат. + приватный ключ к каждому устройству
  3. Пользователь подключается к устройству
  4. Устройство отправляет сертификат. пользователю
  5. Пользователь видит сертификат. является доверенным (игнорирует, что это не для этого сервера ??)
  6. Пользователь шифрует http с помощью открытого ключа в сертификате
  7. Устройство использует закрытый ключ

Полученные результаты:

  1. Браузер жалуется на несоответствие имени
  2. Безопасный

Гипотеза C:

  1. Создайте самозаверяющий сертификат для каждого устройства
  2. Скопируйте сертификат. + приватный ключ к устройству
  3. Пользователь подключается к устройству
  4. Устройство отправляет сертификат. пользователю
  5. В Firefox есть канарейка
  6. Пользователь шифрует http с помощью открытого ключа в сертификате
  7. Устройство использует закрытый ключ

Полученные результаты:

  1. Браузер жалуется на самоподписанный сертификат
  2. Самоподписанный сертификат может быть атакой посредника

Если клиент настаивает на локальном IP-подключении, вам даже не нужно использовать всемирный Инфраструктура открытых ключей обращаясь к "известным" Центры сертификации.

Просто настройте свою собственную локальную PKI с собственным локальным ЦС и раздайте сертификат ЦС всем клиентам. Затем используйте этот ЦС для выдачи сертификатов устройствам, и им будут доверять клиенты.

Можно ли получить подстановочный сертификат и использовать его в качестве поддомена для ваших устройств?

Пока ваши устройства подключены к DNS локально, IP-адреса не имеют значения.