嵌入式设备的 Https，本地地址

Question

我正在尝试将 https 添加到我正在使用的嵌入式设备。这些设备通常分配有本地 ip 地址，因此无法获得自己的 ssl 证书。

所以基本上我的问题是如何获得没有全球 IP 地址的设备的证书？

假设：

除非经过受信任的 CA 验证，否则浏览器不会信任证书。

但是，您只能获得全球唯一域的经过验证的证书。

那些该死的客户坚持使用本地 IP 地址。

类似的问题在这里

---

假设A：

1. 获得公司主要网站的证书
2. 复制那个证书。+所有设备的私钥
3. 用户连接到设备
4. 设备发送证书。给用户
5. 用户看到证书。受信任（忽略它不适用于此服务器？？）
6. 用户使用证书中的公钥加密 http
7. 设备使用私钥

结果：

1. 浏览器抱怨名称不匹配
2. 客户可以访问彼此的私钥
3. 不是很安全

---

假设 B：

1. 获得公司主要网站的证书 FOR EACH DEVICE
2. 复制证书。+ 每个设备的私钥
3. 用户连接到设备
4. 设备发送证书。给用户
5. 用户看到证书。受信任（忽略它不适用于此服务器？？）
6. 用户使用证书中的公钥加密 http
7. 设备使用私钥

结果：

1. 浏览器抱怨名称不匹配
2. 安全的

---

假设 C：

1. 为每台设备创建自签名证书
2. 复制证书。+ 设备私钥
3. 用户连接到设备
4. 设备发送证书。给用户
5. Firefox 有一个金丝雀
6. 用户使用证书中的公钥加密 http
7. 设备使用私钥

结果：

1. 浏览器抱怨自签名证书
2. 自签名证书可能是中间人攻击

Answer 1

如果客户坚持使用本地 IP 连接，您甚至不需要通过联系“已知”证书颁发机构来利用全球公钥基础设施。

只需使用自己的本地 CA 设置您自己的本地 PKI，并将 CA 的证书分发给所有客户端即可。然后使用该 CA 向设备颁发证书，它们将受到客户端的信任。