嵌入式设备的 Https,本地地址

嵌入式设备的 Https,本地地址

我正在尝试将 https 添加到我正在处理的嵌入式设备中。这些设备通常分配有本地 IP 地址,因此无法获取自己的 SSL 证书。

所以我的问题本质上是如何为没有全局 IP 地址的设备获取证书?

假设:

除非证书已经经过受信任的 CA 验证,否则浏览器不会信任证书。

但是,您只能获得针对全球唯一域名的验证证书。

那些该死的客户坚持要本地 IP 地址。

类似问题这里


假设A:

  1. 获取公司主网站证书
  2. 将该证书 + 私钥复制到所有设备
  3. 用户连接到设备
  4. 设备向用户发送证书
  5. 用户看到证书是可信的(忽略它不适用于该服务器??)
  6. 用户使用证书中的公钥加密 http
  7. 设备使用私钥

结果:

  1. 浏览器抱怨名称不匹配
  2. 客户可以访问彼此的私钥
  3. 不太安全

假设B:

  1. 为每个设备获取公司主网站的证书
  2. 将证书和私钥复制到每个设备
  3. 用户连接到设备
  4. 设备向用户发送证书
  5. 用户看到证书是可信的(忽略它不适用于该服务器??)
  6. 用户使用证书中的公钥加密 http
  7. 设备使用私钥

结果:

  1. 浏览器抱怨名称不匹配
  2. 安全的

假设C:

  1. 为每个设备创建自签名证书
  2. 将证书和私钥复制到设备
  3. 用户连接到设备
  4. 设备向用户发送证书
  5. Firefox 有一个金丝雀
  6. 用户使用证书中的公钥加密 http
  7. 设备使用私钥

结果:

  1. 浏览器抱怨自签名证书
  2. 自签名证书可能遭受中间人攻击

答案1

如果客户坚持使用本地 IP 连接,你甚至不需要利用全球公钥基础设施通过接触“已知”证书颁发机构

只需设置您自己的本地 PKI 及其本地 CA,并将您的 CA 证书分发给所有客户端。然后使用该 CA 向设备颁发证书,这些设备就会受到客户端的信任。

答案2

是否可以选择获取通配符证书并将其用作设备的子域名?

只要您的设备本地使用 DNS,IP 地址就无关紧要。

相关内容