12
我有一個嵌入式系統,我預計未來15年內可以使用它,並且它具有基於https的管理控制檯。據我所知:支持SSL的嵌入式系統的證書
- 如果我有一個自簽名證書,網頁瀏覽器會抱怨。
- 如果我有一個CA簽名證書,它將在產品的整個生命週期內相當快到期,Web瀏覽器將會投訴。
是否有任何方法可以獲得長壽命證書,以便瀏覽器不會發出抱怨,或者每次證書在產品使用期滿時都需要發佈新固件?或者爲用戶提供一種加載新證書的方式?
A
回答
3
這可能是自簽名證書是正確方法的罕見情況之一。有多少人需要管理這個盒子?我認爲很少,部分框的部分是將證書安裝到管理員瀏覽器的信任庫中。
+0
對於我的特定設備,只有幾個專業人員纔會管理郵箱或通過https登錄進行監控。我們已經提供了自簽名的證書,但我不確定其他人做了什麼。 – indiv 2010-06-07 19:07:27
2
Geotrust頒發長達6年的證書。
無論如何,如果您的發行人(或線路上的某個人)遭到入侵併被添加到證書吊銷列表中,我可能會建立固件更新機制。
您的設備是否需要連接到互聯網?建立一個重新發布過程,以便它能夠每隔幾年通過網絡獲得一個新的,可信的證書不應該太難。
如果您的安全模型允許您使用自簽名證書,是否考慮過爲什麼要加密通信?在許多情況下,非信任證書(並教導用戶忽略警告)與完全不加密完全相同(或更糟糕)。另外,我真的希望你不打算向你構建的每個設備推出完全相同的證書。如果是這樣,並且你有一個下載過程,通過固件更新讓公衆可以獲得該證書,那麼你就回到了通信容易被欺騙的方方面面。
相關問題
- 1. 嵌入SSL證書
- 2. 量角器/ Selenium嵌入式證書丟失對chrome的支持
- 3. 是否支持嵌入式系統的redis緩存
- 4. 嵌入式系統
- 5. 簡單的SSL支持嵌入式C#web服務器
- 6. 以編程方式添加證書頒發機構,同時保持Android系統SSL證書
- 7. Android系統證書
- 8. 如何支持SSL客戶端證書身份驗證?
- 9. SSL證書中指定的加密強度是否受支持?
- 10. 如何在Android上的loopj中支持Comodo SSL證書?
- 11. 嵌入式Linux的哪個窗口系統支持硬件覆蓋?
- 12. 如何爲嵌入式證書指定JVM SSL參數?
- 13. 嵌入式系統 - 輪詢
- 14. 嵌入式文件系統?
- 15. 嵌入式系統gettext?
- 16. Pyserial - 嵌入式系統
- 17. 嵌入式系統播客
- 18. 嵌入式系統時鐘
- 19. ZigBee和嵌入式系統
- 20. WCF和嵌入式系統
- 21. 嵌入式設備系統
- 22. JWT-驗證:不支持SSL
- 23. 驗證SSL證書/密鑰的格式
- 24. Java SSL證書導入
- 25. 將SSL證書導入AWS
- 26. 在沒有操作系統的嵌入式系統中的malloc
- 27. CherryPy SSL鏈式證書
- 28. Azure的SSL證書
- 29. Apache的SSL證書
- 30. Nginx的SSL證書
我現在的情況完全一樣;即開發一個大規模生產的嵌入式系統,該系統只有一小組終端用戶才能進行遠程管理。我目前正在研究是否可以部署CA簽名的證書(以及如何部署)(考慮到CA需要事先知道設備的域名,這非常困難),或者使用自簽名。最終你使用了什麼解決方案?您是否遵循Paul McMillan關於更新機制的建議,併爲每個設備使用uniqe自簽名證書? – Trevor 2012-06-20 16:51:04
@Trevor:我附帶了一份自簽名證書,併爲用戶上傳他們自己的私鑰+證書提供了一種方法。實際上,我懷疑任何客戶都曾經上傳自己的證書,但至少讓我感覺更好。 – indiv 2012-06-20 17:07:39
感謝您儘快回覆。你介意我是否也問過你選擇什麼樣的機制和格式來上傳密鑰和證書?它是否通過PC/USB更新工具實現,並且密鑰和證書本身基本上是作爲一塊剛剛燒入閃存的二進制文件(例如PEM格式)傳輸的? – Trevor 2012-06-20 17:34:32