임베디드 장치, 로컬 주소 용 HTTP


8

작업중 인 임베디드 장치에 https를 추가하려고합니다. 이러한 장치에는 일반적으로 로컬 IP 주소가 할당되므로 자체 SSL 인증서를 얻을 수 없습니다.

그래서 본질적으로 내 질문은 어떻게 글로벌 IP 주소가없는 장치의 인증서를 얻는가?

가정 :

신뢰할 수있는 CA에서 확인하지 않으면 브라우저는 인증서를 신뢰하지 않습니다.

그러나 전 세계적으로 고유 한 도메인에 대해서만 확인 된 인증서를 얻을 수 있습니다.

그 대담한 고객은 로컬 IP 주소를 주장합니다.

비슷한 질문이 여기에


가설 A :

  1. 주요 회사 웹 사이트에 대한 인증서 받기
  2. 그 증명서를 복사하십시오. + 모든 장치에 대한 개인 키
  3. 사용자가 기기에 연결
  4. 장치가 인증서를 보냅니다. 사용자에게
  5. 사용자에게 인증서가 표시됩니다. 신뢰할 수 있습니다 (이 서버에 대한 것이 아님을 무시하십시오 ??)
  6. 사용자는 인증서의 공개 키를 사용하여 http를 암호화합니다.
  7. 기기는 개인 키를 사용합니다

결과 :

  1. 브라우저가 이름 불일치에 대해 불평합니다
  2. 고객은 서로 개인 키에 액세스 할 수 있습니다
  3. 매우 안전하지 않은

가설 B :

  1. 주요 회사 웹 사이트에 대한 인증서 받기 FOR EACH DEVICE
  2. 인증서를 복사하십시오. 각 장치에 + 개인 키
  3. 사용자가 기기에 연결
  4. 장치가 인증서를 보냅니다. 사용자에게
  5. 사용자에게 인증서가 표시됩니다. 신뢰할 수 있습니다 (이 서버에 대한 것이 아님을 무시하십시오 ??)
  6. 사용자는 인증서의 공개 키를 사용하여 http를 암호화합니다.
  7. 기기는 개인 키를 사용합니다

결과 :

  1. 브라우저가 이름 불일치에 대해 불평합니다
  2. 안전한

가설 C :

  1. 각 장치에 대한 자체 서명 인증서 작성
  2. 인증서를 복사하십시오. + 기기의 개인 키
  3. 사용자가 기기에 연결
  4. 장치가 인증서를 보냅니다. 사용자에게
  5. Firefox에는 카나리아가 있습니다
  6. 사용자는 인증서의 공개 키를 사용하여 http를 암호화합니다.
  7. 기기는 개인 키를 사용합니다

결과 :

  1. 브라우저가 자체 서명 인증서에 대해 불평합니다
  2. 자체 서명 인증서는 중간자 공격 일 수 있습니다.

해결하려는 문제가 무엇인지 명확하지 않습니다. 모든 옵션 앞에 문제 설명을 포함하도록 질문을 업데이트 할 수 있습니까?
Larsks

답변:


3

고객이 로컬 IP 연결을 요구하는 경우 "알려진" 인증 기관 에 연락 하여 전 세계 공개 키 인프라 를 활용할 필요가 없습니다 .

자체 로컬 CA로 자체 로컬 PKI를 설정하고 모든 클라이언트에 CA 인증서를 배포하십시오. 그런 다음 해당 CA를 사용하여 장치에 인증서를 발급하면 클라이언트가이를 신뢰합니다.


AD Active Directory를 사용하여 만든 인증서는 도메인 CA 인증서를 사용하여 만들어 지므로 해당 도메인에서 Internet Explorer를 사용하는 모든 사용자는 이미 유효한 인증서 체인을 가지고 있습니다.
longneck

1
자, 본인은 자체 서명 인증서를 제공 할 예정이지만 자체 CA를 보유한 고객이 자신의 인증서를 업로드 할 수있는 기능을 포함시킬 것입니다. 인증서 일련 번호를 보내 브라우저에 경고 메시지가 표시되면 확인하도록 장려합니다 (각 장치를 사용하는 사람은 거의 없음). 완벽하지는 않지만 시작입니다
Shiftee

0

와일드 카드 인증서를 받고 장치의 하위 도메인으로 사용하는 것이 옵션입니까?

장치가 로컬 DNS에있는 한 IP 주소는 중요하지 않습니다.


장치는 기본 도메인과 아무 관련이 없습니다. 대부분의 경우 장치는 고객 전용 LAN에 있습니다. 인증서가 필요하므로 사용자가 회사와 관련된 개인 키가있는 장치와 통신하고 있음을 알 수 있습니다. 내가 요점을 완전히 놓쳤다면 죄송합니다
Shiftee
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.