Https pour les appareils intégrés, adresses locales


8

J'essaie d'ajouter https aux appareils intégrés sur lesquels je travaille. Ces appareils reçoivent généralement des adresses IP locales et ne peuvent donc pas obtenir leurs propres certificats SSL.

Donc, essentiellement, ma question est de savoir comment obtenir un certificat pour un appareil sans adresse IP globale ??

Hypothèses:

Les navigateurs ne feront confiance aux certificats que s'ils ont été vérifiés par une autorité de certification de confiance.

Cependant, vous ne pouvez obtenir un certificat vérifié que pour un domaine unique au monde.

Ces fichus clients insistent sur les adresses IP locales.

Question similaire ici


Hypothèse A:

  1. Obtenez un certificat pour le site Web principal de l'entreprise
  2. Copiez ce certificat. + clé privée pour tous les appareils
  3. L'utilisateur se connecte à l'appareil
  4. L'appareil envoie un certificat. à l'utilisateur
  5. L'utilisateur voit le cert. est fiable (ignore que ce n'est pas pour ce serveur ??)
  6. L'utilisateur chiffre http à l'aide de la clé publique dans le certificat
  7. L'appareil utilise une clé privée

Résultats:

  1. Le navigateur se plaint de la non-correspondance des noms
  2. Les clients ont accès à la clé privée de chacun
  3. Pas très sécurisé

Hypothèse B:

  1. Obtenez un certificat pour le site Web principal de l'entreprise POUR CHAQUE APPAREIL
  2. Copiez un cert. + clé privée pour chaque appareil
  3. L'utilisateur se connecte à l'appareil
  4. L'appareil envoie un certificat. à l'utilisateur
  5. L'utilisateur voit le cert. est fiable (ignore que ce n'est pas pour ce serveur ??)
  6. L'utilisateur chiffre http à l'aide de la clé publique dans le certificat
  7. L'appareil utilise une clé privée

Résultats:

  1. Le navigateur se plaint de la non-correspondance des noms
  2. Sécurise

Hypothèse C:

  1. Créer un certificat auto-signé pour chaque appareil
  2. Copiez un cert. + clé privée vers l'appareil
  3. L'utilisateur se connecte à l'appareil
  4. L'appareil envoie un certificat. à l'utilisateur
  5. Firefox a un canari
  6. L'utilisateur chiffre http à l'aide de la clé publique dans le certificat
  7. L'appareil utilise une clé privée

Résultats:

  1. Le navigateur se plaint du certificat auto-signé
  2. Un certificat auto-signé pourrait être une attaque d'homme au milieu

On ne sait pas exactement quel est le problème que vous essayez de résoudre. Pouvez-vous éventuellement mettre à jour votre question pour inclure une déclaration de problème avant toutes vos options?
larsks

Réponses:


3

Si le client insiste sur la connectivité IP locale, vous n'avez même pas besoin de tirer parti d'une infrastructure à clé publique mondiale en vous adressant aux autorités de certification "connues" .

Configurez simplement votre propre PKI locale avec sa propre autorité de certification locale et distribuez le certificat de votre autorité de certification à tous les clients. Utilisez ensuite cette autorité de certification pour émettre des certificats sur les appareils et ils seront approuvés par les clients.


vous obtenez cela gratuitement avec Windows Active Directory: les certificats créés à l'aide de l'autorité de certification AD sont créés à l'aide d'un certificat d'autorité de certification de domaine, de sorte que tous les utilisateurs utilisant Internet Explorer dans ce domaine ont déjà une chaîne de certificats valide intégrée.
longneck

1
D'accord, je pense que je vais expédier avec des certificats auto-signés mais inclure une fonctionnalité pour permettre aux clients avec leurs propres autorités de certification de télécharger les leurs. Je leur enverrai le numéro de série du certificat et les encouragerai à le vérifier lorsqu'ils recevront l'avertissement du navigateur (très peu de gens utiliseront chaque appareil). Pas parfait mais c'est un début
Shiftee

0

Obtenir un certificat générique et l'utiliser comme sous-domaine pour vos appareils est-il une option?

Tant que vos appareils sont sur DNS localement, les adresses IP ne devraient pas avoir d'importance.


Eh bien, les appareils n'auront vraiment rien à voir avec le domaine principal. Dans la plupart des cas, l'appareil sera situé sur le réseau privé du client. Je veux le certificat pour que l'utilisateur sache qu'il communique avec un appareil doté d'une clé privée associée à mon entreprise. Désolé si j'ai complètement raté votre point
Shiftee
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.