Https para dispositivos incorporados, endereços locais

8

Estou tentando adicionar https aos dispositivos incorporados em que estou trabalhando. Esses dispositivos geralmente recebem endereços IP locais e, portanto, não podem obter seus próprios certificados SSL.

Então, basicamente, minha pergunta é como obter um certificado para um dispositivo sem um endereço IP global?

Premissas:

Os navegadores não confiarão nos certificados, a menos que tenham sido verificados por uma CA confiável.

No entanto, você só pode obter um certificado verificado para um domínio globalmente exclusivo.

Esses malditos clientes insistem em endereços IP locais.

Pergunta semelhante aqui

Hipótese A:

Obter um certificado para o site principal da empresa
Copie esse certificado. + chave privada para todos os dispositivos
O usuário se conecta ao dispositivo
O dispositivo envia cert. ao usuário
O usuário vê cert. é confiável (ignora que não é para este servidor ??)
Usuário criptografa http usando chave pública em cert
O dispositivo usa chave privada

Resultados:

Navegador reclama de incompatibilidade de nome
Os clientes têm acesso à chave privada um do outro
Não é muito seguro

Hipótese B:

Obtenha um certificado para o site principal da empresa PARA CADA DISPOSITIVO
Copie um certificado. + chave privada para cada dispositivo
O usuário se conecta ao dispositivo
O dispositivo envia cert. ao usuário
O usuário vê cert. é confiável (ignora que não é para este servidor ??)
Usuário criptografa http usando chave pública em cert
O dispositivo usa chave privada

Resultados:

Navegador reclama de incompatibilidade de nome
Seguro

Hipótese C:

Criar certificado autoassinado para cada dispositivo
Copie um certificado. + chave privada para o dispositivo
O usuário se conecta ao dispositivo
O dispositivo envia cert. ao usuário
Firefox tem um canário
Usuário criptografa http usando chave pública em cert
O dispositivo usa chave privada

Resultados:

Navegador reclama de certificado autoassinado
Certificado autoassinado pode ser ataque man-in-middle

— Shiftee
fonte

Não está claro exatamente qual é o problema que você está tentando resolver. Você pode atualizar sua pergunta para incluir uma declaração do problema antes de todas as suas opções?

— Larsks

3

Se o cliente insistir na conectividade IP local, você nem precisará aproveitar uma Infraestrutura de Chave Pública mundial , entrando em contato com as Autoridades de Certificação "conhecidas" .

Basta configurar sua própria PKI local com sua própria CA local e distribuir o certificado da CA a todos os clientes. Em seguida, use essa CA para emitir certificados para os dispositivos e eles serão confiáveis pelos clientes.

— Luke404
fonte

você obtém isso de graça no Windows Active Directory: os certificados criados usando a autoridade de certificação AD são criados usando um certificado CA de domínio, para que todos os usuários que usam o Internet Explorer nesse domínio já tenham uma cadeia de certificados válida incorporada.

— longneck

1

Ok, acho que vou enviar certificados autoassinados, mas inclui um recurso para permitir que os clientes com suas próprias CAs enviem seus próprios. Vou enviar o número de série do certificado e incentivá-lo a verificar quando receberem o aviso do navegador (poucas pessoas usarão cada dispositivo). Não perfeito, mas é um começo

— Shiftee

0

A opção de obter um certificado curinga e usá-lo como subdomínio para seus dispositivos é uma opção?

Enquanto seus dispositivos estiverem no DNS localmente, os endereços IP não deverão importar.

— Chida
fonte

Bem, os dispositivos realmente não têm nada a ver com o domínio principal. Na maioria dos casos, o dispositivo estará localizado na LAN privada do cliente. Desejo o certificado para que o usuário saiba que está se comunicando com um dispositivo que possui uma chave privada associada à minha empresa. Desculpe se eu perdi completamente o seu ponto

— Shiftee