組み込みデバイスのHttps、ローカルアドレス
作業中の組み込みデバイスにhttpsを追加しようとしています。これらのデバイスには通常、ローカルIPアドレスが割り当てられているため、独自のSSL証明書を取得することはできません。
基本的に私の質問は、グローバルIPアドレスのないデバイスの証明書をどのように取得するかということです。
仮定:
ブラウザは、信頼できるCAによって検証されない限り、証明書を信頼しません。
ただし、グローバルに一意のドメインの検証済み証明書のみを取得できます。
それらのくそった顧客はローカルIPアドレスを主張します。
同様の質問 ここ
仮説A:
- 主要企業のWebサイトの証明書を取得する
- その証明書をコピーします。 +すべてのデバイスへの秘密鍵
- ユーザーがデバイスに接続します
- デバイスは証明書を送信します。ユーザーへ
- ユーザーには証明書が表示されます。信頼されている(このサーバー用ではないことを無視しますか??)
- ユーザーは証明書の公開鍵を使用してhttpを暗号化します
- デバイスは秘密鍵を使用します
結果:
- ブラウザが名前の不一致について文句を言う
- 顧客はお互いの秘密鍵にアクセスできます
- 安全性が低い
仮説B:
- 各デバイスの主要な会社のWebサイトの証明書を取得します
- 証明書をコピーします。 +各デバイスの秘密鍵
- ユーザーがデバイスに接続します
- デバイスは証明書を送信します。ユーザーへ
- ユーザーには証明書が表示されます。信頼されている(このサーバー用ではないことを無視しますか??)
- ユーザーは証明書の公開鍵を使用してhttpを暗号化します
- デバイスは秘密鍵を使用します
結果:
- ブラウザが名前の不一致について文句を言う
- 安全
仮説C:
- デバイスごとに自己署名証明書を作成します
- 証明書をコピーします。 +デバイスへの秘密鍵
- ユーザーがデバイスに接続します
- デバイスは証明書を送信します。ユーザーへ
- Firefoxにはカナリアがあります
- ユーザーは証明書の公開鍵を使用してhttpを暗号化します
- デバイスは秘密鍵を使用します
結果:
- ブラウザが自己署名証明書について文句を言う
- 自己署名証明書はman-in-middle攻撃である可能性があります
顧客がローカルIP接続を主張する場合は、世界中の 公開鍵インフラストラクチャ 「既知」に連絡することで 認証局 を活用する必要はありません。
独自のローカルCAを使用して独自のローカルPKIを設定し、CAの証明書をすべてのクライアントに配布するだけです。次に、そのCAを使用してデバイスに証明書を発行すると、クライアントから信頼されます。
ワイルドカード証明書を取得して、デバイスのサブドメインとして使用することはできますか?
デバイスがローカルでDNS上にある限り、IPアドレスは重要ではありません。