임베디드 장치, 로컬 주소 용 HTTP 있습니다 (이 서버에 대한 것이 아님을 무시하십시오

작업중 인 임베디드 장치에 https를 추가하려고합니다. 이러한 장치에는 일반적으로 로컬 IP 주소가 할당되므로 자체 SSL 인증서를 얻을 수 없습니다.

그래서 본질적으로 내 질문은 어떻게 글로벌 IP 주소가없는 장치의 인증서를 얻는가?

가정 :

신뢰할 수있는 CA에서 확인하지 않으면 브라우저는 인증서를 신뢰하지 않습니다.

그러나 전 세계적으로 고유 한 도메인에 대해서만 확인 된 인증서를 얻을 수 있습니다.

그 대담한 고객은 로컬 IP 주소를 주장합니다.

비슷한 질문이 여기에

가설 A :

  1. 주요 회사 웹 사이트에 대한 인증서 받기
  2. 그 증명서를 복사하십시오. + 모든 장치에 대한 개인 키
  3. 사용자가 기기에 연결
  4. 장치가 인증서를 보냅니다. 사용자에게
  5. 사용자에게 인증서가 표시됩니다. 신뢰할 수 있습니다 (이 서버에 대한 것이 아님을 무시하십시오 ??)
  6. 사용자는 인증서의 공개 키를 사용하여 http를 암호화합니다.
  7. 기기는 개인 키를 사용합니다

결과 :

  1. 브라우저가 이름 불일치에 대해 불평합니다
  2. 고객은 서로 개인 키에 액세스 할 수 있습니다
  3. 매우 안전하지 않은

가설 B :

  1. 주요 회사 웹 사이트에 대한 인증서 받기 FOR EACH DEVICE
  2. 인증서를 복사하십시오. 각 장치에 + 개인 키
  3. 사용자가 기기에 연결
  4. 장치가 인증서를 보냅니다. 사용자에게
  5. 사용자에게 인증서가 표시됩니다. 신뢰할 수 있습니다 (이 서버에 대한 것이 아님을 무시하십시오 ??)
  6. 사용자는 인증서의 공개 키를 사용하여 http를 암호화합니다.
  7. 기기는 개인 키를 사용합니다

결과 :

  1. 브라우저가 이름 불일치에 대해 불평합니다
  2. 안전한

가설 C :

  1. 각 장치에 대한 자체 서명 인증서 작성
  2. 인증서를 복사하십시오. + 기기의 개인 키
  3. 사용자가 기기에 연결
  4. 장치가 인증서를 보냅니다. 사용자에게
  5. Firefox에는 카나리아가 있습니다
  6. 사용자는 인증서의 공개 키를 사용하여 http를 암호화합니다.
  7. 기기는 개인 키를 사용합니다

결과 :

  1. 브라우저가 자체 서명 인증서에 대해 불평합니다
  2. 자체 서명 인증서는 중간자 공격 일 수 있습니다.

답변

고객이 로컬 IP 연결을 요구하는 경우 “알려진” 인증 기관 에 연락 하여 전 세계 공개 키 인프라 를 활용할 필요가 없습니다 .

자체 로컬 CA로 자체 로컬 PKI를 설정하고 모든 클라이언트에 CA 인증서를 배포하십시오. 그런 다음 해당 CA를 사용하여 장치에 인증서를 발급하면 클라이언트가이를 신뢰합니다.

답변

와일드 카드 인증서를 받고 장치의 하위 도메인으로 사용하는 것이 옵션입니까?

장치가 로컬 DNS에있는 한 IP 주소는 중요하지 않습니다.

답변