Https para dispositivos incorporados, endereços locais

8

Estou tentando adicionar https aos dispositivos incorporados em que estou trabalhando. Esses dispositivos geralmente recebem endereços IP locais e, portanto, não podem obter seus próprios certificados SSL.

Então, essencialmente, minha pergunta é como se obtém um certificado para um dispositivo sem um endereço IP global?

Suposições:

Os navegadores não confiam em certificados, a menos que tenham sido verificados por uma autoridade de certificação confiável.

No entanto, você só pode obter um certificado verificado para um domínio globalmente exclusivo.

Esses clientes insistem em endereços IP locais.

Questão semelhante aqui

Hipótese A:

  1. Obter um certificado para o site principal da empresa
  2. Copie esse certificado. + chave privada para todos os dispositivos
  3. O usuário se conecta ao dispositivo
  4. O dispositivo envia o certificado. para o usuário
  5. O usuário vê o certificado. é confiável (ignora que não é para este servidor?)
  6. O usuário criptografa http usando a chave pública no certificado
  7. O dispositivo usa a chave privada

Resultados:

  1. O navegador reclama de incompatibilidade de nomes
  2. Os clientes têm acesso a cada chave privada
  3. Não muito seguro

Hipótese B:

  1. Obtenha um certificado para o site principal da empresa PARA CADA DISPOSITIVO
  2. Copie um certificado. + chave privada para cada dispositivo
  3. O usuário se conecta ao dispositivo
  4. O dispositivo envia o certificado. para o usuário
  5. O usuário vê o certificado. é confiável (ignora que não é para este servidor?)
  6. O usuário criptografa http usando a chave pública no certificado
  7. O dispositivo usa a chave privada

Resultados:

  1. O navegador reclama de incompatibilidade de nomes
  2. Seguro

Hipótese C:

  1. Criar um certificado autoassinado para cada dispositivo
  2. Copie um certificado. + chave privada para o dispositivo
  3. O usuário se conecta ao dispositivo
  4. O dispositivo envia o certificado. para o usuário
  5. o Firefox tem um canário
  6. O usuário criptografa http usando a chave pública no certificado
  7. O dispositivo usa a chave privada

Resultados:

  1. O navegador reclama sobre o certificado autoassinado
  2. Certificado autoassinado pode ser um ataque intermediário
por Shiftee 09.08.2012 / 16:16

2 respostas

3

Se o cliente insistir na conectividade IP local, você nem precisa aproveitar uma Infraestrutura de chave pública em todo o mundo. para autoridades "conhecidas" Certificate .

Basta configurar sua própria PKI local com sua própria CA local e distribuir o certificado da CA para todos os clientes. Em seguida, use essa CA para emitir certificados para os dispositivos e eles serão confiáveis para os clientes.

    
por 10.08.2012 / 14:20
0

Está recebendo um certificado curinga e usando-o como um subdomínio para seus dispositivos uma opção?

Desde que seus dispositivos estejam no DNS localmente, os endereços IP não devem ser importantes.

    
por 10.08.2012 / 12:56