esp32 https服务器的SSL证书

Question

我对不安全的SSL证书有问题。我的观点包括两部分：

1. 带有https服务器的ESP32物联网设备
2. VUE2 + Vuetify PWA web应用程序部署到防火墙托管。

想象一下，一个客户买了我的物联网设备，并把它连接到电源上。设备将以AP模式启动，创建一个WiFi AP网络。客户端登录到web应用程序，并希望添加他的新设备。因此，物联网设备需要客户的wifi凭证。web应用程序向客户机询问他的ssid和密码，当客户机单击“配置设备”时，web应用程序向esp32服务器发送https POST请求，问题是.由于esp32服务器中使用的SSL证书未经权威机构验证，所以web应用程序无法发出POST请求.

如何为许多物联网设备获得有效的服务器SSL证书？我不知道如何处理这种情况.

谢谢大家！

Answer 1

可以为设备获得有效的SSL证书，但我不推荐它。如果你想这样做的话，你可以这样做：

1. 确保当您的设备处于AP模式时，它始终在完全相同的IP地址上可用。例如，确保ESP32正在侦听192.168.1.1。
2. 注册一个像example.com这样的域。为iot.example.com向您的DNS服务器添加一个A记录，其值为192.168.1.1。
3. 从任何受信任的权威机构获得iot.example.com的有效SSL证书。将该证书和相关密钥放在设备上。

现在，当您的用户连接到您的软AP时，他们可以浏览到https://iot.example.com并实际看到一个有效的证书。

但是，，我真的建议不要做这个。您将面临三个主要问题：

1. SSL证书的密钥将出现在设备的闪存上。如果有人提取它，他们可以伪装成iot.example.com。您可以通过使用闪存加密来减轻这一点，但它仍然不是很好。
2. SSL证书的最大有效期约为两年。因此，您的供应流程将在几年后中断。
3. 如果颁发证书的CA听说私钥在附近浮动，并且可能被破坏，它们可能会撤销您的证书。

相反，您应该做的是使用WPA2来保护您的软AP，以及您可以提供给用户的密码。这将确保连接是加密的，您可以通过HTTP而不是HTTPS为您的供应表单提供服务。

一个更好的方法是使用ESP-IDF统一供应API，而不是自己实现它。它负责实现细节，并支持Wi和蓝牙作为传输。

不管您决定做什么，我都强烈建议您阅读关于统一供应的专门用途文件-以色列国防军和关于Wi配置的文档，因为它们会让您了解幕后的情况以及安全实现所需的一切。特别是，您将看到Wi供应库实际上使用了我前面建议的静态WPA2密码。