組み込みデバイスのHttp、ローカルアドレス

作業中の組み込みデバイスにhttpsを追加しようとしています。これらのデバイスには通常、ローカルIPアドレスが割り当てられているため、独自のSSL証明書を取得できません。

だから本質的に私の質問は、どのようにしてグローバルIPアドレスのないデバイスの証明書を取得するのですか？

仮定：

ブラウザーは、信頼できるCAによって検証されていない限り、証明書を信頼しません。

ただし、グローバルに一意のドメインの検証済み証明書しか取得できません。

それらのくそった顧客はローカルIPアドレスを主張します。

ここで同様の質問

仮説A：

1. 主要企業のWebサイトの証明書を取得する
2. その証明書をコピーします。+すべてのデバイスへの秘密鍵
3. ユーザーがデバイスに接続します
4. デバイスが証明書を送信します。ユーザーへ
5. ユーザーには証明書が表示されます。信頼されています（このサーバー用ではないことを無視しますか？）
6. ユーザーは証明書の公開鍵を使用してhttpを暗号化します
7. デバイスは秘密鍵を使用

結果：

1. ブラウザが名前の不一致について文句を言う
2. 顧客はお互いの秘密鍵にアクセスできます
3. あまり安全ではない

仮説B：

1. 各デバイスのメイン会社のWebサイトの証明書を取得する
2. 証明書をコピーします。+各デバイスへの秘密鍵
3. ユーザーがデバイスに接続します
4. デバイスが証明書を送信します。ユーザーへ
5. ユーザーには証明書が表示されます。信頼されています（このサーバー用ではないことを無視しますか？）
6. ユーザーは証明書の公開鍵を使用してhttpを暗号化します
7. デバイスは秘密鍵を使用

結果：

1. ブラウザが名前の不一致について文句を言う
2. 安全

仮説C：

1. デバイスごとに自己署名証明書を作成する
2. 証明書をコピーします。+デバイスへの秘密鍵
3. ユーザーがデバイスに接続します
4. デバイスが証明書を送信します。ユーザーへ
5. Firefoxにはカナリアがあります
6. ユーザーは証明書の公開鍵を使用してhttpを暗号化します
7. デバイスは秘密鍵を使用

結果：

1. ブラウザが自己署名証明書について文句を言う
2. 自己署名証明書は中間者攻撃である可能性があります

顧客がローカルIP接続を主張する場合、「既知の」認証局に連絡することにより、世界中の公開鍵インフラストラクチャを活用する必要さえありません。

独自のローカルCAを使用して独自のローカルPKIをセットアップし、CAの証明書をすべてのクライアントに配布するだけです。次に、そのCAを使用してデバイスに証明書を発行すると、クライアントから信頼されます。

ワイルドカード証明書を取得し、それをデバイスのサブドメインとして使用することはオプションですか？

デバイスがローカルのDNSにある限り、IPアドレスは重要ではありません。