embedded式设备的HTTPS,本地地址

我正在尝试将https添加到我正在使用的embedded式设备上。 这些设备通常分配本地IP地址,因此无法获得自己的SSL证书

所以基本上我的问题是如何得到一个没有全局IP地址的设备证书?

假设:

浏览器不会信任证书,除非它们已经通过了可信CA的validation。

但是,您只能获得全球唯一域的经过validation的证书。

那些客户坚持使用本地IP地址。

类似的问题在这里


假设A:

  1. 获得主要公司网站的证书
  2. 复制该证书。 +所有设备的私钥
  3. 用户连接到设备
  4. 设备发送证书。 给用户
  5. 用户看到证书。 是可信的(忽略它不是这个服务器??)
  6. 用户使用cert中的公钥encryptionhttp
  7. 设备使用私钥

结果:

  1. 浏览器抱怨名称不匹配
  2. 客户可以访问彼此的私钥
  3. 不是很安全

假设B:

  1. 为每个设备获取主公司网站的证书
  2. 复制证书。 +每个设备的私钥
  3. 用户连接到设备
  4. 设备发送证书。 给用户
  5. 用户看到证书。 是可信的(忽略它不是这个服务器??)
  6. 用户使用cert中的公钥encryptionhttp
  7. 设备使用私钥

结果:

  1. 浏览器抱怨名称不匹配
  2. 安全

假设C:

  1. 为每个设备创build自签名的证书
  2. 复制证书。 +设备的私钥
  3. 用户连接到设备
  4. 设备发送证书。 给用户
  5. Firefox有一个金丝雀
  6. 用户使用cert中的公钥encryptionhttp
  7. 设备使用私钥

结果:

  1. 浏览器抱怨自签名证书
  2. 自签证书可能是中间人攻击

如果客户坚持使用本地IP连接,那么您甚至不需要通过接触“已知的” 证书颁发机构来利用全球公钥基础设施 。

只需使用自己的本地CA设置您自己的本地PKI,并将您的CA证书分发给所有客户端。 然后使用该CA向设备颁发证书,这些证书将被客户信任。

获取通配符证书并将其用作设备的子域是一个选项吗?

只要您的设备在本地DNS,IP地址应该不重要。