我有一个通过websockets与浏览器通信的硬件设备。问题是我想要一个安全的连接,不幸的是浏览器不连接到自签名证书。问题是每个硬件设备都可以有另一个IP,而证书在域上是有限的。我不能为每个硬件购买证书。那我该怎么办呢?
问题是我想要一个安全的连接,不幸的是浏览器不连接到自签名证书。
证书用于安全标识对等体。正确的识别对于确保没有中间人攻击是必要的。因此,在100台不同的机器中共享相同的证书是没有意义的,而且无论如何,保持相同的私钥安全都会有问题。
备选方案是自签名证书。但是在这种情况下,浏览器不会在没有警告的情况下连接,因为如果它们连接了,中间人攻击就微不足道了。这意味着用户必须明确承认该证书是受信任的,并且您必须教育用户如何在各种浏览器中完成此操作。
如果浏览器和设备都在一个控制之下(比如在整个公司范围内推出),您可以使用自己的PKI结构,其中所有证书都由您自己的CA颁发,并且该CA受到所有浏览器的信任。
问题是每个硬件设备都可以有另一个IP,并且证书在域上是有限的。
不,也可以生成证书来识别IP地址。您通常不会从公共CA获得这些证书,但是私有CA可以颁发此类证书,并且自签名证书也可以工作。当然,只有当IP在很长一段时间内保持不变时,使用IP地址而不是名称才有意义。