我正在尝试将 https 添加到我正在使用的嵌入式设备。这些设备通常分配有本地 ip 地址,因此无法获得自己的 ssl 证书。
所以基本上我的问题是如何获得没有全球 IP 地址的设备的证书?
假设:
除非经过受信任的 CA 验证,否则浏览器不会信任证书。
但是,您只能获得全球唯一域的经过验证的证书。
那些该死的客户坚持使用本地 IP 地址。
类似的问题在这里
假设A:
- 获得公司主要网站的证书
- 复制那个证书。+所有设备的私钥
- 用户连接到设备
- 设备发送证书。给用户
- 用户看到证书。受信任(忽略它不适用于此服务器??)
- 用户使用证书中的公钥加密 http
- 设备使用私钥
结果:
- 浏览器抱怨名称不匹配
- 客户可以访问彼此的私钥
- 不是很安全
假设 B:
- 获得公司主要网站的证书 FOR EACH DEVICE
- 复制证书。+ 每个设备的私钥
- 用户连接到设备
- 设备发送证书。给用户
- 用户看到证书。受信任(忽略它不适用于此服务器??)
- 用户使用证书中的公钥加密 http
- 设备使用私钥
结果:
- 浏览器抱怨名称不匹配
- 安全的
假设 C:
- 为每台设备创建自签名证书
- 复制证书。+ 设备私钥
- 用户连接到设备
- 设备发送证书。给用户
- Firefox 有一个金丝雀
- 用户使用证书中的公钥加密 http
- 设备使用私钥
结果:
- 浏览器抱怨自签名证书
- 自签名证书可能是中间人攻击