我正在尝试将 https 添加到我正在处理的嵌入式设备中。这些设备通常分配有本地 IP 地址,因此无法获取自己的 SSL 证书。
所以我的问题本质上是如何为没有全局 IP 地址的设备获取证书?
假设:
除非证书已经经过受信任的 CA 验证,否则浏览器不会信任证书。
但是,您只能获得针对全球唯一域名的验证证书。
那些该死的客户坚持要本地 IP 地址。
类似问题这里
假设A:
- 获取公司主网站证书
- 将该证书 + 私钥复制到所有设备
- 用户连接到设备
- 设备向用户发送证书
- 用户看到证书是可信的(忽略它不适用于该服务器??)
- 用户使用证书中的公钥加密 http
- 设备使用私钥
结果:
- 浏览器抱怨名称不匹配
- 客户可以访问彼此的私钥
- 不太安全
假设B:
- 为每个设备获取公司主网站的证书
- 将证书和私钥复制到每个设备
- 用户连接到设备
- 设备向用户发送证书
- 用户看到证书是可信的(忽略它不适用于该服务器??)
- 用户使用证书中的公钥加密 http
- 设备使用私钥
结果:
- 浏览器抱怨名称不匹配
- 安全的
假设C:
- 为每个设备创建自签名证书
- 将证书和私钥复制到设备
- 用户连接到设备
- 设备向用户发送证书
- Firefox 有一个金丝雀
- 用户使用证书中的公钥加密 http
- 设备使用私钥
结果:
- 浏览器抱怨自签名证书
- 自签名证书可能遭受中间人攻击
答案1
答案2
是否可以选择获取通配符证书并将其用作设备的子域名?
只要您的设备本地使用 DNS,IP 地址就无关紧要。