1. घर
  2. सवाल और जवाब
  3. एसएसएल वेब सक्षम एम्बेडेड डिवाइस

एसएसएल वेब सक्षम एम्बेडेड डिवाइस

2012-03-06 13 views
10

विकास के तहत एक एम्बेडेड डिवाइस के लिए हमें स्पष्ट टेक्स्ट में उपयोगकर्ता प्रमाण-पत्र भेजे बिना अपने वेब में लॉग इन करने की आवश्यकता है।एसएसएल वेब सक्षम एम्बेडेड डिवाइस

लॉग इन फॉर्म का रूप अनुकूलन होना चाहिए, इसलिए प्रमाणीकरण पचाना संभव नहीं है। जैसा कि हम इसे देखते हैं, एकमात्र शेष विकल्प एसएसएल के साथ एचटीटीपीएस का उपयोग करना है।

डिवाइस को आमतौर पर स्थानीय नेटवर्क से अपने आईपी पते से एक्सेस किया जाता है, लेकिन इसे इंटरनेट से भी सुलभ बनाया जा सकता है।

मेरा प्रश्न है: क्या स्थानीय रूप से एक्सेस किए गए डिवाइस को कोई DNS नाम असाइन नहीं किया गया है, तो "चेतावनी प्रमाणित नहीं किया जा सकता" ब्राउज़र चेतावनी को रोकने के लिए संभव है? जैसा कि मैंने इसे देखा है, एक SSL प्रमाणपत्र को DNS नाम से बाध्य होना चाहिए और प्रमाण पत्र को पूरी तरह से स्वीकार करने के लिए ब्राउज़र के लिए प्रमाणपत्र प्राधिकरण में प्रमाणित होना चाहिए।

मैं इस तथ्य से पूरी तरह से अवगत हूं कि प्रमाणित प्रमाणीकरण के बिना ब्राउज़र वेब सर्वर को प्रमाणीकृत नहीं कर सकता है, जो "मैन-इन-द-बीच" हमले का कारण बन सकता है।

जब डिवाइस पूरी तरह कॉन्फ़िगर किया गया है तो इसे केवल बहुत ही कम एक्सेस किया जाता है, लेकिन इसे आसानी से सुलभ किया जाना चाहिए।

स्रोत

2012-03-06 Munk

+0

यदि आपके पास प्रमाण पत्र के फिंगरप्रिंट पहले से हैं (जो केवल कुछ हद तक डिवाइस के लिए प्रबंधनीय है), तो आप स्व-हस्ताक्षरित प्रमाणपत्र के साथ प्रस्तुत करते समय उन्हें देख सकते हैं। यदि वे मेल खाते हैं, तो यह आपकी डिवाइस ठीक है। – Piskvor

+0

@ Piskvor को सीए प्रमाणपत्र है और कस्टम डिवाइस प्रमाण पत्र जारी करना प्रबंधन बिंदु से आसान होगा - क्लाइंट को केवल एक सीए प्रमाण पत्र स्थापित/भरोसा करना होगा। –

+1

@ यूजीन मेवेस्की 'एल्डोएस कॉर्प: मैं नेटवर्क हार्डवेयर निर्माता के सीए प्रमाण पत्र को स्थापित करने में बेहद संकोच करता हूं - कि सिर्फ लहरें एक विशाल लाल झंडा और चिल्लाती हैं "एमआईटीएम" (जैसा कि आप जानते हैं, कोई भी विश्वसनीय सीए किसी भी वेबसाइट के लिए प्रमाण पत्र जारी कर सकता है, और वे ब्राउज़र द्वारा भरोसा किया जाएगा)। – Piskvor

उत्तर

7

HTTPS होस्ट नाम के बजाय किसी आईपी पते पर प्रमाण पत्र जारी करने की अनुमति देता है। दरअसल, एचटीटीपीएस विनिर्देश (आरएफसी 2818) कहता है "कुछ मामलों में, यूआरआई को मेजबाननाम के बजाय आईपी पता के रूप में निर्दिष्ट किया जाता है। इस मामले में, आईपीएड्रेस विषय एल्टानाम प्रमाण पत्र में उपस्थित होना चाहिए और यूआरआई में बिल्कुल आईपी से मेल खाना चाहिए । "

तो, यदि आप अपने डिवाइस के आईपी पते से बंधे सीए से एक एसएसएल/टीएलएस प्रमाण पत्र प्राप्त कर सकते हैं, तो इसके साथ कनेक्ट करने वाले क्लाइंट को इसे 1 (1) डिवाइस के उपयोग के लिए उपयोग किए जाने वाले यूआरआई के रूप में मान्य होना चाहिए आईपी ​​पता है जो प्रमाण पत्र के भीतर निहित है, और (2) प्रमाणपत्र क्लाइंट डिवाइस द्वारा विश्वसनीय सीए श्रृंखला द्वारा जारी किया जाता है।

यदि आपको केवल उस डिवाइस का उपयोग करने के लिए इस डिवाइस तक पहुंचने की आवश्यकता है, जिसे आप नियंत्रित करते हैं, तो आप स्वयं हस्ताक्षरित, आईपी पते से जुड़े प्रमाणपत्र, आपके द्वारा जेनरेट किए गए प्रमाण पत्र का उपयोग कर सकते हैं, लेकिन आपको प्रत्येक क्लाइंट को कॉन्फ़िगर करने की आवश्यकता होगी जो इसे एक्सेस करेगा स्पष्ट रूप से उस प्रमाणपत्र पर भरोसा करें क्योंकि यह एक विश्वसनीय सीए द्वारा जारी नहीं किया जाएगा।

स्रोत

2012-03-06 13:26:04 jeffsix

+0

ठीक है। हम एक बहुत सारे डिवाइस को शिप करने जा रहे हैं, मुख्य रूप से स्थानीय आईपी पते के साथ स्थानीय नेटवर्क पर पहुंच योग्य होने के लिए। इसलिए जब मैं इसे देखता हूं, ब्राउजर में मैन्युअल रूप से प्रमाणपत्र को मैन्युअल रूप से सेट करने के अलावा ब्राउजर चेतावनी को रोकना संभव नहीं है, क्योंकि ब्राउजर के पास स्व-हस्ताक्षरित प्रमाण पत्र प्रमाणीकृत करने का कोई तरीका नहीं है। – Munk

+0

एसएसएल सक्षम होने पर वेब इंटरफेस के साथ राउटर और अन्य नेटवर्क उपकरण भी एक स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग कर रहे हैं? – Munk

+6

(1) मैं सहमत हूं। (2) सामान्य अभ्यास वेब इंटरफ़ेस के लिए एक स्व-हस्ताक्षरित प्रमाणपत्र के साथ शिप करना है (जो ब्राउज़र कनेक्टिंग से चेतावनी उत्पन्न करेगा) और डिवाइस व्यवस्थापक द्वारा एक अलग प्रमाणपत्र अपलोड करने की अनुमति देता है। इसलिए, डिवाइस के लिए जिम्मेदार व्यक्ति या तो चेतावनी स्वीकार कर सकता है या अपना स्वयं का विश्वसनीय प्रमाणपत्र अपलोड कर सकता है। – jeffsix

संबंधित मुद्दे

 संबंधित मुद्दे