Saya mencoba menambahkan https ke perangkat tertanam yang sedang saya kerjakan. Perangkat ini umumnya diberikan alamat ip lokal dan karenanya tidak bisa mendapatkan sertifikat ssl sendiri.
Jadi intinya pertanyaan saya adalah bagaimana cara mendapatkan sertifikat untuk perangkat tanpa alamat ip global ??
Asumsi:
Browser tidak akan mempercayai sertifikat kecuali sertifikat itu telah diverifikasi oleh CA yang tepercaya.
Namun Anda hanya bisa mendapatkan sertifikat terverifikasi untuk domain unik global.
Pelanggan sialan itu bersikeras alamat ip lokal.
Pertanyaan serupa di sini
Hipotesis A:
- Dapatkan sertifikat untuk situs web perusahaan utama
- Salin sertifikat itu. + kunci pribadi ke semua perangkat
- Pengguna terhubung ke perangkat
- Perangkat mengirim cert. ke pengguna
- Pengguna melihat cert. tepercaya (mengabaikan bahwa ini bukan untuk server ini ??)
- Pengguna mengenkripsi http menggunakan kunci publik di cert
- Perangkat menggunakan kunci pribadi
Hasil:
- Browser mengeluh tentang ketidakcocokan nama
- Pelanggan memiliki akses ke kunci pribadi masing-masing
- Tidak terlalu aman
Hipotesis B:
- Dapatkan sertifikat untuk situs web perusahaan utama UNTUK SETIAP PERANGKAT
- Salin sertifikat. + kunci pribadi untuk setiap perangkat
- Pengguna terhubung ke perangkat
- Perangkat mengirim cert. ke pengguna
- Pengguna melihat cert. tepercaya (mengabaikan bahwa ini bukan untuk server ini ??)
- Pengguna mengenkripsi http menggunakan kunci publik di cert
- Perangkat menggunakan kunci pribadi
Hasil:
- Browser mengeluh tentang ketidakcocokan nama
- Aman
Hipotesis C:
- Buat sertifikat yang ditandatangani sendiri untuk setiap perangkat
- Salin sertifikat. + kunci pribadi ke perangkat
- Pengguna terhubung ke perangkat
- Perangkat mengirim cert. ke pengguna
- Firefox memiliki kenari
- Pengguna mengenkripsi http menggunakan kunci publik di cert
- Perangkat menggunakan kunci pribadi
Hasil:
- Browser mengeluh tentang sertifikat yang ditandatangani sendiri
- Sertifikat yang ditandatangani sendiri dapat berupa serangan dari orang ke orang
ssl
https
certificate
embedded
cryptography
Shiftee
sumber
sumber
Jawaban:
Jika pelanggan bersikeras pada konektivitas IP lokal, Anda bahkan tidak perlu memanfaatkan Infrastruktur Kunci Publik di seluruh dunia dengan menjangkau Otoritas Sertifikat yang "dikenal" .
Cukup atur PKI lokal Anda sendiri dengan CA lokalnya sendiri dan distribusikan sertifikat CA Anda ke semua klien. Kemudian gunakan CA itu untuk mengeluarkan sertifikat ke perangkat dan mereka akan dipercaya oleh klien.
sumber
Apakah mendapatkan sertifikat wildcard dan menggunakannya sebagai subdomain untuk perangkat Anda merupakan opsi?
Selama perangkat Anda menggunakan DNS lokal, alamat IP seharusnya tidak menjadi masalah.
sumber