Https untuk perangkat yang disematkan, alamat lokal

8

Saya mencoba menambahkan https ke perangkat tertanam yang sedang saya kerjakan. Perangkat ini umumnya diberikan alamat ip lokal dan karenanya tidak bisa mendapatkan sertifikat ssl sendiri.

Jadi intinya pertanyaan saya adalah bagaimana cara mendapatkan sertifikat untuk perangkat tanpa alamat ip global ??

Asumsi:

Browser tidak akan mempercayai sertifikat kecuali sertifikat itu telah diverifikasi oleh CA yang tepercaya.

Namun Anda hanya bisa mendapatkan sertifikat terverifikasi untuk domain unik global.

Pelanggan sialan itu bersikeras alamat ip lokal.

Pertanyaan serupa di sini


Hipotesis A:

  1. Dapatkan sertifikat untuk situs web perusahaan utama
  2. Salin sertifikat itu. + kunci pribadi ke semua perangkat
  3. Pengguna terhubung ke perangkat
  4. Perangkat mengirim cert. ke pengguna
  5. Pengguna melihat cert. tepercaya (mengabaikan bahwa ini bukan untuk server ini ??)
  6. Pengguna mengenkripsi http menggunakan kunci publik di cert
  7. Perangkat menggunakan kunci pribadi

Hasil:

  1. Browser mengeluh tentang ketidakcocokan nama
  2. Pelanggan memiliki akses ke kunci pribadi masing-masing
  3. Tidak terlalu aman

Hipotesis B:

  1. Dapatkan sertifikat untuk situs web perusahaan utama UNTUK SETIAP PERANGKAT
  2. Salin sertifikat. + kunci pribadi untuk setiap perangkat
  3. Pengguna terhubung ke perangkat
  4. Perangkat mengirim cert. ke pengguna
  5. Pengguna melihat cert. tepercaya (mengabaikan bahwa ini bukan untuk server ini ??)
  6. Pengguna mengenkripsi http menggunakan kunci publik di cert
  7. Perangkat menggunakan kunci pribadi

Hasil:

  1. Browser mengeluh tentang ketidakcocokan nama
  2. Aman

Hipotesis C:

  1. Buat sertifikat yang ditandatangani sendiri untuk setiap perangkat
  2. Salin sertifikat. + kunci pribadi ke perangkat
  3. Pengguna terhubung ke perangkat
  4. Perangkat mengirim cert. ke pengguna
  5. Firefox memiliki kenari
  6. Pengguna mengenkripsi http menggunakan kunci publik di cert
  7. Perangkat menggunakan kunci pribadi

Hasil:

  1. Browser mengeluh tentang sertifikat yang ditandatangani sendiri
  2. Sertifikat yang ditandatangani sendiri dapat berupa serangan dari orang ke orang
Shiftee
sumber
Tidak jelas apa masalah yang ingin Anda pecahkan. Bisakah Anda memperbarui pertanyaan untuk menyertakan pernyataan masalah sebelum semua opsi Anda?
larsks

Jawaban:

3

Jika pelanggan bersikeras pada konektivitas IP lokal, Anda bahkan tidak perlu memanfaatkan Infrastruktur Kunci Publik di seluruh dunia dengan menjangkau Otoritas Sertifikat yang "dikenal" .

Cukup atur PKI lokal Anda sendiri dengan CA lokalnya sendiri dan distribusikan sertifikat CA Anda ke semua klien. Kemudian gunakan CA itu untuk mengeluarkan sertifikat ke perangkat dan mereka akan dipercaya oleh klien.

Luke404
sumber
Anda mendapatkannya secara gratis dengan Windows Active Directory: sertifikat yang dibuat menggunakan otoritas sertifikat AD dibuat menggunakan sertifikat CA domain, sehingga semua pengguna yang menggunakan Internet Explorer di domain itu sudah memiliki rantai sertifikat bawaan yang terpasang di dalamnya.
longneck
1
Oke, saya pikir saya akan mengirim dengan sertifikat yang ditandatangani sendiri tetapi menyertakan fitur untuk memungkinkan pelanggan dengan CA mereka sendiri untuk mengunggah milik mereka. Saya akan mengirimi mereka nomor seri sertifikat dan mendorong mereka untuk memverifikasi ketika mereka mendapat peringatan browser (sangat sedikit orang yang akan menggunakan setiap perangkat). Tidak sempurna tapi ini awal
Shiftee
0

Apakah mendapatkan sertifikat wildcard dan menggunakannya sebagai subdomain untuk perangkat Anda merupakan opsi?

Selama perangkat Anda menggunakan DNS lokal, alamat IP seharusnya tidak menjadi masalah.

Chida
sumber
Yah perangkat tidak akan benar-benar ada hubungannya dengan domain utama. Dalam sebagian besar kasus, perangkat akan berlokasi di lan pribadi pelanggan. Saya ingin sertifikat agar pengguna dapat mengetahui bahwa mereka berkomunikasi dengan perangkat yang memiliki kunci pribadi yang terkait dengan perusahaan saya. Maaf jika saya benar-benar melewatkan poin Anda
Shiftee