HTTP für eingebettete Geräte, lokale Adressen


8

Ich versuche, den eingebetteten Geräten, an denen ich arbeite, https hinzuzufügen. Diesen Geräten werden im Allgemeinen lokale IP-Adressen zugewiesen und sie können daher keine eigenen SSL-Zertifikate erhalten.

Meine Frage ist also im Wesentlichen, wie man ein Zertifikat für ein Gerät ohne globale IP-Adresse erhält.

Annahmen:

Browser vertrauen Zertifikaten nur, wenn sie von einer vertrauenswürdigen Zertifizierungsstelle überprüft wurden.

Sie können jedoch nur ein verifiziertes Zertifikat für eine global eindeutige Domäne erhalten.

Diese verdammten Kunden bestehen auf lokalen IP-Adressen.

Ähnliche Frage hier


Hypothese A:

  1. Holen Sie sich ein Zertifikat für die Website des Hauptunternehmens
  2. Kopieren Sie dieses Zertifikat. + privater Schlüssel für alle Geräte
  3. Benutzer stellt eine Verbindung zum Gerät her
  4. Gerät sendet Zertifikat. an den Benutzer
  5. Benutzer sieht cert. ist vertrauenswürdig (ignoriert, dass es nicht für diesen Server ist?)
  6. Der Benutzer verschlüsselt http mit dem öffentlichen Schlüssel in cert
  7. Gerät verwendet privaten Schlüssel

Ergebnisse:

  1. Browser beschwert sich über Namensinkongruenz
  2. Kunden haben Zugriff auf den privaten Schlüssel des jeweils anderen
  3. Nicht sehr sicher

Hypothese B:

  1. Holen Sie sich ein Zertifikat für die Website des Hauptunternehmens für jedes Gerät
  2. Kopieren Sie ein Zertifikat. + privater Schlüssel für jedes Gerät
  3. Benutzer stellt eine Verbindung zum Gerät her
  4. Gerät sendet Zertifikat. an den Benutzer
  5. Benutzer sieht cert. ist vertrauenswürdig (ignoriert, dass es nicht für diesen Server ist?)
  6. Der Benutzer verschlüsselt http mit dem öffentlichen Schlüssel in cert
  7. Gerät verwendet privaten Schlüssel

Ergebnisse:

  1. Browser beschwert sich über Namensinkongruenz
  2. Sichern

Hypothese C:

  1. Erstellen Sie für jedes Gerät ein selbstsigniertes Zertifikat
  2. Kopieren Sie ein Zertifikat. + privater Schlüssel zum Gerät
  3. Benutzer stellt eine Verbindung zum Gerät her
  4. Gerät sendet Zertifikat. an den Benutzer
  5. Firefox hat einen Kanarienvogel
  6. Der Benutzer verschlüsselt http mit dem öffentlichen Schlüssel in cert
  7. Gerät verwendet privaten Schlüssel

Ergebnisse:

  1. Browser beschwert sich über selbstsigniertes Zertifikat
  2. Selbstsigniertes Zertifikat könnte ein Man-in-Middle-Angriff sein

Es ist nicht genau klar, welches Problem Sie lösen möchten. Können Sie Ihre Frage möglicherweise aktualisieren, um vor allen Optionen eine Problembeschreibung aufzunehmen?
Larsks

Antworten:


3

Wenn der Kunde auf lokaler IP-Konnektivität besteht, müssen Sie nicht einmal eine weltweite Infrastruktur für öffentliche Schlüssel nutzen, indem Sie sich an "bekannte" Zertifizierungsstellen wenden .

Richten Sie einfach Ihre eigene lokale PKI mit einer eigenen lokalen Zertifizierungsstelle ein und verteilen Sie das Zertifikat Ihrer Zertifizierungsstelle an alle Clients. Verwenden Sie dann diese Zertifizierungsstelle, um Zertifikate an die Geräte auszustellen, und die Clients vertrauen ihnen.


Mit Windows Active Directory erhalten Sie dies kostenlos: Mit der AD-Zertifizierungsstelle erstellte Zertifikate werden mit einem Domänenzertifizierungsstellenzertifikat erstellt, sodass allen Benutzern, die Internet Explorer in dieser Domäne verwenden, bereits eine gültige Zertifikatskette integriert ist.
Longneck

1
Okay, ich denke, ich werde mit selbstsignierten Zertifikaten versenden, aber eine Funktion enthalten, mit der Kunden mit eigenen Zertifizierungsstellen ihre eigenen hochladen können. Ich werde ihnen die Seriennummer des Zertifikats senden und sie ermutigen, diese zu überprüfen, wenn sie die Browserwarnung erhalten (nur sehr wenige Benutzer verwenden jedes Gerät). Nicht perfekt, aber es ist ein Anfang
Shiftee

0

Ist es eine Option, ein Platzhalterzertifikat zu erhalten und es als Subdomain für Ihre Geräte zu verwenden?

Solange sich Ihre Geräte lokal auf DNS befinden, sollten IP-Adressen keine Rolle spielen.


Nun, die Geräte haben eigentlich nichts mit der Hauptdomäne zu tun. In den meisten Fällen befindet sich das Gerät im privaten LAN des Kunden. Ich möchte das Zertifikat, damit der Benutzer weiß, dass er mit einem Gerät kommuniziert, dem ein privater Schlüssel für mein Unternehmen zugeordnet ist. Tut mir leid, wenn ich Ihren Punkt völlig verfehlt habe
Shiftee
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.