我们需要保护我们生产的设备的身份验证过程。由于这些设备安装在客户(通常是非专业人员)网络中,我们无法从 CA 获取常规 TLS 证书。有没有办法在这样的环境中获取受信任的证书?
答案1
由于设备通常没有公共域名,因此您无法从公共 CA 获取该设备的证书。而且,即使该设备有公共域名,通常也由客户而不是您控制,因此您也无法为其获取公共证书。
常见的方法是为每个设备创建一个唯一的自签名证书,并要求用户添加证书例外。此外,还应为客户提供上传自己证书的方法,以便客户能够更好地将设备集成到自己的基础设施中。
答案2
这取决于您是否需要承担全部安全责任或者是否允许客户这样做。
如果您需要承担责任,您可以选择私有中间 CA 和根 CA。有两种选择 - 创建自己的 CA 或使用 DigiCert 等供应商。我建议使用后者,尽管前期和维护成本较高。