用于嵌入式设备、本地地址的Https

Question

我正在尝试将https添加到我正在开发的嵌入式设备中。这些设备通常分配本地ip地址，因此无法获得自己的ssl证书。

所以从本质上讲，我的问题是如何获得没有全局ip地址的设备的证书？？

假设：

浏览器不会信任证书，除非它们已由可信CA验证。

但是，您只能获得全局唯一域的验证证书。

那些该死的客户坚持当地的ip地址。

相似问题这里

假设A：

1. 获得主要公司网站证书
2. 收到那份证书。+所有设备的私钥
3. 用户连接到设备
4. 设备发送证书。给用户
5. 用户看到证书。是否可信(忽略它不是用于此服务器的？？)
6. 用户在cert中使用公钥加密http。
7. 设备使用私钥

结果：

1. 浏览器抱怨名称不匹配
2. 客户可以访问对方的私钥。
3. 不太安全

假设B：

1. 为每个设备获得主要公司网站的证书。
2. 复印一份证书。+每个设备的私钥
3. 用户连接到设备
4. 设备发送证书。给用户
5. 用户看到证书。是否可信(忽略它不是用于此服务器的？？)
6. 用户在cert中使用公钥加密http。
7. 设备使用私钥

结果：

1. 浏览器抱怨名称不匹配
2. 安全

假设C：

1. 为每个设备创建自签名证书。
2. 复印一份证书。+设备私钥
3. 用户连接到设备
4. 设备发送证书。给用户
5. 火狐有一个金丝雀
6. 用户在cert中使用公钥加密http。
7. 设备使用私钥

结果：

1. 浏览器抱怨自签名证书
2. 自签证书可能是中间人攻击。

Answer 1

如果客户坚持本地IP连接，您甚至不需要通过与“已知”的公钥基础设施联系来利用世界范围的证书颁发机构。

只需使用自己的本地CA设置您自己的本地PKI，并将您的CA证书分发给所有客户端。然后使用该CA向设备颁发证书，它们将被客户端信任。

Answer 2

获取通配符证书并将其用作设备的子域是一个选项吗？

只要您的设备在本地DNS上，IP地址就不重要了。