Https per dispositivi integrati, indirizzi locali

8

Sto cercando di aggiungere https ai dispositivi integrati su cui sto lavorando. A questi dispositivi vengono generalmente assegnati indirizzi IP locali e quindi non possono ottenere i propri certificati SSL.

Quindi essenzialmente la mia domanda è come si ottiene un certificato per un dispositivo senza un indirizzo IP globale ??

ipotesi:

I browser non si fideranno dei certificati a meno che non siano stati verificati da un'autorità di certificazione attendibile.

Tuttavia, puoi ottenere solo un certificato verificato per un dominio univoco globale.

Quei maledetti clienti insistono sugli indirizzi IP locali.

Domanda simile qui

Ipotesi A:

  1. Ottieni un certificato per il sito Web dell'azienda principale
  2. Copia quel certificato. + chiave privata per tutti i dispositivi
  3. L'utente si connette al dispositivo
  4. Il dispositivo invia un certificato. all'utente
  5. L'utente vede cert. è attendibile (ignora che non è per questo server ??)
  6. L'utente crittografa http utilizzando la chiave pubblica in cert
  7. Il dispositivo utilizza la chiave privata

risultati:

  1. Il browser si lamenta della mancata corrispondenza del nome
  2. I clienti hanno accesso agli altri chiave privata
  3. Non molto sicuro

Ipotesi B:

  1. Ottieni un certificato per il sito Web principale dell'azienda PER OGNI DISPOSITIVO
  2. Copia un certificato. + chiave privata per ciascun dispositivo
  3. L'utente si connette al dispositivo
  4. Il dispositivo invia un certificato. all'utente
  5. L'utente vede cert. è attendibile (ignora che non è per questo server ??)
  6. L'utente crittografa http utilizzando la chiave pubblica in cert
  7. Il dispositivo utilizza la chiave privata

risultati:

  1. Il browser si lamenta della mancata corrispondenza del nome
  2. Sicuro

Ipotesi C:

  1. Crea un certificato autofirmato per ciascun dispositivo
  2. Copia un certificato. + chiave privata al dispositivo
  3. L'utente si connette al dispositivo
  4. Il dispositivo invia un certificato. all'utente
  5. Firefox ha un canarino
  6. L'utente crittografa http utilizzando la chiave pubblica in cert
  7. Il dispositivo utilizza la chiave privata

risultati:

  1. Il browser si lamenta del certificato autofirmato
  2. Il certificato autofirmato potrebbe essere un attacco man-in-middle
ssl  https  certificate  embedded  cryptography 
Shiftee
fonte
Non è chiaro esattamente quale sia il problema che stai cercando di risolvere. Puoi eventualmente aggiornare la tua domanda per includere una dichiarazione di problema prima di tutte le opzioni?
Larks

Risposte:

3

Se il cliente insiste sulla connettività IP locale, non è nemmeno necessario sfruttare un'infrastruttura a chiave pubblica mondiale contattando le autorità di certificazione "note" .

Basta configurare la propria PKI locale con la propria CA locale e distribuire il certificato della propria CA a tutti i client. Quindi utilizzare tale CA per emettere certificati per i dispositivi e questi saranno ritenuti affidabili dai client.

Luke404
fonte
puoi ottenerlo gratuitamente con Windows Active Directory: i certificati creati utilizzando l'autorità di certificazione AD vengono creati utilizzando un certificato CA di dominio, quindi tutti gli utenti che utilizzano Internet Explorer in quel dominio dispongono già di una catena di certificati valida integrata.
collo lungo,
1
Va bene, penso che spedirò con certificati autofirmati ma includerò una funzione che consente ai clienti con le proprie autorità di certificazione di caricare i propri. Invierò loro il numero seriale del certificato e li incoraggerò a verificarlo quando riceveranno l'avviso del browser (pochissime persone useranno ciascun dispositivo). Non perfetto ma è un inizio
Shiftee
0

È possibile ottenere un certificato con caratteri jolly e utilizzarlo come sottodominio per i dispositivi?

Finché i tuoi dispositivi sono localmente su DNS, gli indirizzi IP non dovrebbero avere importanza.

Chida
fonte
Bene, i dispositivi non avranno davvero nulla a che fare con il dominio principale. Nella maggior parte dei casi il dispositivo si troverà nella lan privata del cliente. Voglio il certificato in modo che l'utente possa sapere che stanno comunicando con un dispositivo che ha una chiave privata associata alla mia azienda. Scusate se ho completamente perso il vostro punto
Shiftee
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.