Https para dispositivos integrados, direcciones locales

8

Estoy tratando de agregar https a los dispositivos integrados en los que estoy trabajando. A estos dispositivos generalmente se les asignan direcciones IP locales y, por lo tanto, no pueden obtener sus propios certificados SSL.

Entonces, esencialmente mi pregunta es ¿cómo se obtiene un certificado para un dispositivo sin una dirección IP global?

Suposiciones

Los navegadores no confiarán en los certificados a menos que hayan sido verificados por una CA confiable.

Sin embargo, solo puede obtener un certificado verificado para un dominio único globalmente.

Esos malditos clientes insisten en las direcciones IP locales.

Pregunta similar aquí


Hipótesis A:

  1. Obtenga un certificado para el sitio web principal de la empresa
  2. Copia ese certificado. + clave privada para todos los dispositivos
  3. El usuario se conecta al dispositivo
  4. El dispositivo envía cert. al usuario
  5. El usuario ve cert. es confiable (ignora que no es para este servidor ??)
  6. El usuario cifra http utilizando la clave pública en cert
  7. El dispositivo usa clave privada

Resultados:

  1. El navegador se queja por la falta de coincidencia de nombres
  2. Los clientes tienen acceso a la clave privada de los demás
  3. Poco seguro

Hipótesis B:

  1. Obtenga un certificado para el sitio web principal de la empresa PARA CADA DISPOSITIVO
  2. Copia un certificado. + clave privada para cada dispositivo
  3. El usuario se conecta al dispositivo
  4. El dispositivo envía cert. al usuario
  5. El usuario ve cert. es confiable (ignora que no es para este servidor ??)
  6. El usuario cifra http utilizando la clave pública en cert
  7. El dispositivo usa clave privada

Resultados:

  1. El navegador se queja por la falta de coincidencia de nombres
  2. Seguro

Hipótesis C:

  1. Crear certificado autofirmado para cada dispositivo
  2. Copia un certificado. + clave privada para dispositivo
  3. El usuario se conecta al dispositivo
  4. El dispositivo envía cert. al usuario
  5. Firefox tiene un canario
  6. El usuario cifra http utilizando la clave pública en cert
  7. El dispositivo usa clave privada

Resultados:

  1. El navegador se queja de un certificado autofirmado
  2. El certificado autofirmado podría ser un ataque de hombre en el medio
Shiftee
fuente
No está claro exactamente cuál es el problema que está tratando de resolver. ¿Puede actualizar su pregunta para incluir una declaración del problema antes de todas sus opciones?
larsks

Respuestas:

3

Si el cliente insiste en la conectividad IP local, ni siquiera necesita aprovechar una Infraestructura de clave pública mundial contactando a las Autoridades de Certificación "conocidas" .

Simplemente configure su propia PKI local con su propia CA local y distribuya el certificado de su CA a todos los clientes. Luego use esa CA para emitir certificados a los dispositivos y los clientes confiarán en ellos.

Lucas404
fuente
obtienes esto gratis con Windows Active Directory: los certificados creados usando la autoridad de certificación AD se crean usando un certificado CA de dominio, por lo que todos los usuarios que usan Internet Explorer en ese dominio ya tienen una cadena de certificados válida incorporada.
cuello largo
1
De acuerdo, creo que voy a enviar con certificados autofirmados, pero incluyo una función para permitir que los clientes con sus propias CA carguen los suyos. Les enviaré el número de serie del certificado y los alentaré a que lo verifiquen cuando reciban la advertencia del navegador (muy pocas personas usarán cada dispositivo). No es perfecto, pero es un comienzo
Shiftee
0

¿Es una opción obtener un certificado comodín y usarlo como un subdominio para sus dispositivos?

Mientras sus dispositivos estén en DNS localmente, las direcciones IP no deberían importar.

Chida
fuente
Bueno, los dispositivos realmente no tendrán nada que ver con el dominio principal. En la mayoría de los casos, el dispositivo se ubicará en la red privada del cliente. Quiero el certificado para que el usuario pueda saber que se está comunicando con un dispositivo que tiene una clave privada asociada con mi empresa. Lo siento si he perdido completamente tu punto
Shiftee