Https для встроенных устройств, локальные адреса

8

Я пытаюсь добавить https к встроенным устройствам, над которыми я работаю. Этим устройствам обычно назначаются локальные IP-адреса, и поэтому они не могут получить свои собственные сертификаты ssl.

По сути, мой вопрос в том, как получить сертификат для устройства без глобального IP-адреса?

Предположения:

Браузеры не будут доверять сертификатам, если они не были проверены доверенным центром сертификации.

Однако вы можете получить только проверенный сертификат для глобального уникального домена.

Эти проклятые клиенты настаивают на локальных IP-адресах.

Подобный вопрос здесь

Гипотеза А:

Получить сертификат для основного сайта компании
Скопируйте этот сертификат. + закрытый ключ ко всем устройствам
Пользователь подключается к устройству
Устройство отправляет сертификат. пользователю
Пользователь видит сертификат. доверяют (игнорирует, что это не для этого сервера ??)
Пользователь шифрует http, используя открытый ключ в сертификате
Устройство использует закрытый ключ

Результаты:

Браузер жалуется на несоответствие имени
Клиенты имеют доступ к закрытому ключу друг друга
Не очень безопасно

Гипотеза Б:

Получить сертификат для основного сайта компании ДЛЯ КАЖДОГО УСТРОЙСТВА
Скопируйте сертификат. + закрытый ключ к каждому устройству
Пользователь подключается к устройству
Устройство отправляет сертификат. пользователю
Пользователь видит сертификат. доверяют (игнорирует, что это не для этого сервера ??)
Пользователь шифрует http, используя открытый ключ в сертификате
Устройство использует закрытый ключ

Результаты:

Браузер жалуется на несоответствие имени
Безопасный

Гипотеза С:

Создайте самоподписанный сертификат для каждого устройства
Скопируйте сертификат. + закрытый ключ к устройству
Пользователь подключается к устройству
Устройство отправляет сертификат. пользователю
У Firefox есть канарейка
Пользователь шифрует http, используя открытый ключ в сертификате
Устройство использует закрытый ключ

Результаты:

Браузер жалуется на самоподписанный сертификат
Самоподписанный сертификат может быть атакой «человек посередине»

— Shiftee
источник

Непонятно, какую именно проблему вы пытаетесь решить. Можете ли вы обновить свой вопрос, чтобы включить формулировку проблемы перед всеми вашими вариантами?

— Жаворонки

3

Если клиент настаивает на локальном IP-подключении, вам даже не нужно использовать всемирную инфраструктуру открытых ключей , связываясь с «известными» центрами сертификации .

Просто настройте свою собственную локальную PKI с собственным локальным центром сертификации и раздайте сертификат своего центра сертификации всем клиентам. Затем используйте этот центр сертификации для выдачи сертификатов устройствам, и клиенты будут доверять им.

— Luke404
источник

вы получаете это бесплатно с Windows Active Directory: сертификаты, созданные с помощью центра сертификации AD, создаются с использованием сертификата CA домена, поэтому все пользователи, использующие Internet Explorer в этом домене, уже имеют встроенную цепочку действительных сертификатов.

— длинное горло

1

Хорошо, я думаю, что я собираюсь поставлять с самоподписанными сертификатами, но включу функцию, позволяющую клиентам с их собственными центрами сертификации загружать свои собственные. Я вышлю им серийный номер сертификата и рекомендую проверить его, когда они получат предупреждение браузера (мало кто будет использовать каждое устройство). Не идеально, но это начало

— Shiftee

0

Является ли получение сертификата подстановки и использование его в качестве субдомена для ваших устройств вариант?

Пока ваши устройства находятся на DNS локально, IP-адреса не должны иметь значения.

— Chida
источник

Ну, на самом деле устройства не имеют ничего общего с основным доменом. В большинстве случаев устройство будет находиться на частной локальной сети клиентов. Я хочу сертификат, чтобы пользователь мог знать, что он общается с устройством, у которого есть закрытый ключ, связанный с моей компанией. Извините, если я полностью упустил вашу мысль

— Shiftee