Https cho các thiết bị nhúng, địa chỉ cục bộ


8

Tôi đang cố gắng thêm https vào các thiết bị nhúng mà tôi đang làm việc. Các thiết bị này thường được gán địa chỉ IP cục bộ và do đó không thể có chứng chỉ ssl của riêng chúng.

Vì vậy, về cơ bản câu hỏi của tôi là làm thế nào để có được một chứng chỉ cho một thiết bị mà không có địa chỉ IP toàn cầu ??

Giả định:

Các trình duyệt sẽ không tin cậy các chứng chỉ trừ khi chúng được xác minh bởi một CA đáng tin cậy.

Tuy nhiên, bạn chỉ có thể nhận được chứng chỉ đã được xác minh cho một tên miền duy nhất trên toàn cầu.

Những khách hàng chết tiệt nhấn mạnh vào địa chỉ IP địa phương.

Câu hỏi tương tự ở đây


Giả thuyết A:

  1. Nhận chứng chỉ cho trang web của công ty chính
  2. Sao chép chứng chỉ đó. + khóa riêng cho tất cả các thiết bị
  3. Người dùng kết nối với thiết bị
  4. Thiết bị gửi chứng chỉ. đến người dùng
  5. Người dùng thấy chứng chỉ. được tin cậy (bỏ qua rằng nó không dành cho máy chủ này ??)
  6. Người dùng mã hóa http bằng khóa công khai trong cert
  7. Thiết bị sử dụng khóa riêng

Các kết quả:

  1. Trình duyệt phàn nàn về tên không khớp
  2. Khách hàng có quyền truy cập khóa riêng của nhau
  3. Không an toàn lắm

Giả thuyết B:

  1. Nhận chứng chỉ cho trang web của công ty chính CHO MACHI THIẾT BỊ
  2. Sao chép một chứng chỉ. + khóa riêng cho từng thiết bị
  3. Người dùng kết nối với thiết bị
  4. Thiết bị gửi chứng chỉ. đến người dùng
  5. Người dùng thấy chứng chỉ. được tin cậy (bỏ qua rằng nó không dành cho máy chủ này ??)
  6. Người dùng mã hóa http bằng khóa công khai trong cert
  7. Thiết bị sử dụng khóa riêng

Các kết quả:

  1. Trình duyệt phàn nàn về tên không khớp
  2. Đảm bảo

Giả thuyết C:

  1. Tạo chứng chỉ tự ký cho mỗi thiết bị
  2. Sao chép một chứng chỉ. + khóa riêng cho thiết bị
  3. Người dùng kết nối với thiết bị
  4. Thiết bị gửi chứng chỉ. đến người dùng
  5. Firefox có một hoàng yến
  6. Người dùng mã hóa http bằng khóa công khai trong cert
  7. Thiết bị sử dụng khóa riêng

Các kết quả:

  1. Trình duyệt phàn nàn về chứng chỉ tự ký
  2. Chứng nhận tự ký có thể là cuộc tấn công giữa chừng

Không rõ chính xác vấn đề bạn đang cố gắng giải quyết là gì. Bạn có thể cập nhật câu hỏi của bạn để đưa ra một tuyên bố vấn đề trước tất cả các lựa chọn của bạn không?
larsks

Câu trả lời:


3

Nếu khách hàng khăng khăng kết nối IP cục bộ, bạn thậm chí không cần phải tận dụng Cơ sở hạ tầng khóa công khai trên toàn thế giới bằng cách liên hệ với Cơ quan cấp chứng chỉ "đã biết" .

Chỉ cần thiết lập PKI cục bộ của riêng bạn với CA cục bộ của riêng nó và phân phối chứng chỉ CA của bạn cho tất cả các khách hàng. Sau đó sử dụng CA đó để cấp chứng chỉ cho các thiết bị và chúng sẽ được khách hàng tin tưởng.


bạn nhận được điều này miễn phí với Windows Active Directory: chứng chỉ được tạo bằng quyền chứng chỉ AD được tạo bằng chứng chỉ CA miền, vì vậy tất cả người dùng sử dụng Internet Explorer trong miền đó đã có sẵn chuỗi chứng chỉ hợp lệ.
longneck

1
Được rồi, tôi nghĩ rằng tôi sẽ giao hàng với các chứng chỉ tự ký nhưng bao gồm một tính năng cho phép khách hàng có CA riêng của họ tự tải lên. Tôi sẽ gửi cho họ số sê-ri chứng chỉ và khuyến khích họ xác minh nó khi họ nhận được cảnh báo trình duyệt (rất ít người sẽ sử dụng mỗi thiết bị). Không hoàn hảo nhưng đó là một sự khởi đầu
Shiftee

0

Có nhận được chứng chỉ ký tự đại diện và sử dụng nó làm tên miền phụ cho thiết bị của bạn không?

Miễn là thiết bị của bạn nằm trên DNS cục bộ, địa chỉ IP không thành vấn đề.


Các thiết bị sẽ không thực sự có liên quan đến tên miền chính. Trong hầu hết các trường hợp, thiết bị sẽ được đặt trên mạng riêng của khách hàng. Tôi muốn chứng chỉ để người dùng có thể biết họ đang liên lạc với một thiết bị có khóa riêng liên quan đến công ty của tôi. Xin lỗi nếu tôi đã hoàn toàn bỏ lỡ quan điểm của bạn
Shiftee
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.