Question Https pour les périphériques intégrés, adresses locales


J'essaie d'ajouter https aux périphériques intégrés sur lesquels je travaille. Ces appareils se voient généralement attribuer des adresses IP locales et ne peuvent donc pas obtenir leurs propres certificats SSL.

Ma question est donc la suivante: comment obtenir un certificat pour un périphérique sans adresse IP globale?

Hypothèses:

Les navigateurs ne font pas confiance aux certificats s'ils n'ont pas été vérifiés par une autorité de certification approuvée.

Cependant, vous ne pouvez obtenir un certificat vérifié que pour un domaine unique au monde.

Ces clients insistent sur les adresses IP locales.

Question similaire ici


Hypothèse A:

  1. Obtenir un certificat pour le site Web principal de l'entreprise
  2. Copiez ce cert. + clé privée pour tous les appareils
  3. L'utilisateur se connecte à l'appareil
  4. Appareil envoie cert. à l'utilisateur
  5. L'utilisateur voit cert. est digne de confiance (ignore que ce n'est pas pour ce serveur?)
  6. L'utilisateur chiffre http en utilisant une clé publique dans le cert
  7. L'appareil utilise une clé privée

Résultats:

  1. Le navigateur se plaint de l'inadéquation des noms
  2. Les clients ont accès à la clé privée de chacun
  3. Pas très sécurisé

Hypothèse B:

  1. Obtenez un certificat pour le site web principal de l'entreprise POUR CHAQUE APPAREIL
  2. Copier un cert. + clé privée à chaque appareil
  3. L'utilisateur se connecte à l'appareil
  4. Appareil envoie cert. à l'utilisateur
  5. L'utilisateur voit cert. est digne de confiance (ignore que ce n'est pas pour ce serveur?)
  6. L'utilisateur chiffre http en utilisant une clé publique dans le cert
  7. L'appareil utilise une clé privée

Résultats:

  1. Le navigateur se plaint de l'inadéquation des noms
  2. Garantir

Hypothèse C:

  1. Créer un certificat auto-signé pour chaque appareil
  2. Copier un cert. + clé privée à l'appareil
  3. L'utilisateur se connecte à l'appareil
  4. Appareil envoie cert. à l'utilisateur
  5. Firefox a un canari
  6. L'utilisateur chiffre http en utilisant une clé publique dans le cert
  7. L'appareil utilise une clé privée

Résultats:

  1. Le navigateur se plaint du certificat auto-signé
  2. Un certificat auto-signé pourrait être une attaque de type intermédiaire

8
2017-08-09 14:16


origine


Le problème que vous essayez de résoudre n'est pas clair. Pouvez-vous éventuellement mettre à jour votre question pour inclure une déclaration de problème avant toutes vos options? - larsks


Réponses:


Si le client insiste sur la connectivité IP locale, vous n'avez même pas besoin de tirer parti d'une connexion mondiale. Infrastructure à clé publique en tendant la main à "connu" Autorités de certification.

Configurez simplement votre propre infrastructure à clé publique locale avec sa propre autorité de certification locale et distribuez le certificat de votre autorité de certification à tous les clients. Ensuite, utilisez cette autorité de certification pour émettre des certificats sur les périphériques. Ils seront approuvés par les clients.


3
2017-08-10 12:20



vous obtenez cela gratuitement avec Windows Active Directory: les certificats créés à l'aide de l'autorité de certification AD sont créés à l'aide d'un certificat d'autorité de certification de domaine, de sorte que tous les utilisateurs utilisant Internet Explorer dans ce domaine possèdent déjà une chaîne de certificats valide intégrée. - longneck
D'accord, je pense que je vais envoyer des certificats auto-signés, mais inclure une fonctionnalité permettant aux clients disposant de leurs propres autorités de certification de télécharger leurs propres. Je leur enverrai le numéro de série du certificat et les encouragerai à le vérifier dès qu’ils recevront l’avertissement du navigateur (très peu de personnes utiliseront chaque appareil). Pas parfait mais c'est un début - Shiftee


Obtenir un certificat générique et l'utiliser comme sous-domaine pour vos appareils est-il une option?

Tant que vos appareils sont sur DNS localement, les adresses IP ne devraient pas avoir d'importance.


0
2017-08-10 10:56



Eh bien, les appareils n'auront rien à voir avec le domaine principal. Dans la plupart des cas, l’appareil sera situé sur le réseau privé du client. Je veux le certificat afin que l'utilisateur puisse savoir qu'il communique avec un périphérique qui possède une clé privée associée à ma société. Désolé si j'ai complètement manqué votre point - Shiftee