嵌入式網絡服務器和證書

Question

我有一個嵌入式網絡服務器的應用程序。這個網絡服務器現在可以通過OpenSSL包進行SSL操作:)

現在是證書問題。這個應用程序是出售的，我說，因爲它不僅僅是坐在我擁有的服務器上 - 它被安裝在數千臺電腦上。我希望我的客戶安全，因此我希望他們儘可能無痛地使用SSL。現在我們創建自己的CA，然後創建自簽名的證書。這意味着我們所有的客戶（和他們的用戶）都需要安裝他們的自定義安裝特定的CA，或者使用來自證書的不受信任的根警告，這兩者都不具吸引力。

如何解決這個問題？

我們要麼需要：

1. 讓它死簡單安裝我們的CA（哪些瀏覽器故意使挺難的 - 大量的scarey警告對話框）
2. 某種方式得到所有客戶證書的合法由瀏覽器識別的CA簽名。
3. 強制用戶去購買自己的證書並安裝它

我看不出我們怎麼會做＃1，所以我們正在尋找＃2。 ＃3幾乎不可能。

我們發現我們可以購買SSL證書並將其與我們的產品一起發貨 - 是的，每個人都使用相同的證書，並且證書和私鑰可能會泄漏到公共領域。 ..嗯...可能不希望我們的名字上的責任的緣故...

我想問題是，我們正在對CA的目的首先工作。任何想法如何使這個用戶容易和安全？ （假設中間人攻擊不是一個問題 - 有人曾經記錄過） -

Answer 1

對此沒有簡單的簡單解決方案。如果這很容易解決，SSL證書系統的安全性會很差。

正如您所說，您的選擇限制瞭如何避免瀏覽器警告。取決於應用程序，每種方法都可能很好。

1.客戶端瀏覽器

安裝根CA這是一個合理的解決方案，如果應用程序是內部使用，或者如果客戶端將安裝的東西使用的應用程序。這可能也是成本最低的解決方案，因爲不需要額外的費用。但是，如果申請將被廣大民衆所使用，那麼這不是一個合理的解決方案。

2.購買商業根CA簽名證書

如果你的應用是開放的互聯網，這很可能是必需的。但是，如果您銷售應用程序而不是簡單地提供服務，那麼您可能會因爲您提到的責任原因而不適合。

3.獲得客戶購買自己的商業根CA簽名證書

如果您的應用程序被出售給一家由客戶端使用，這可能是合理的。您可以使用自簽名證書作爲基礎選項提供應用程序，並根據需要提供給您的客戶使用其證書。許多公司已經爲其網站提供了SSL證書。