2. 질의 응답
  3. SSL 웹 사용 내장 장치

SSL 웹 사용 내장 장치

2012-03-06 2 views
10

개발중인 내장 장치의 경우 사용자 자격 증명을 일반 텍스트로 보내지 않고 웹에 로그인해야합니다.SSL 웹 사용 내장 장치

로그 형식의 모양은 사용자 지정할 수 있어야하므로 다이제스트 인증이 불가능합니다. 유일하게 남은 옵션은 HTTPS를 SSL과 함께 사용하는 것입니다.

일반적으로 장치는 IP 주소로 로컬 네트워크에서 액세스되지만 인터넷에서 액세스 할 수도 있습니다.

내 질문에 : 로컬로 액세스 한 장치에 DNS 이름이 할당되어 있지 않으면 "인증 할 수 없음"브라우저 경고를 방지 할 수 있습니까? 보시다시피 SSL 인증서는 DNS 이름에 바인딩되어야하고 브라우저가 인증서를 완전히 수락 할 수 있도록 인증 기관에서 인증을 받아야합니다.

인증 된 인증 없이는 브라우저가 웹 서버를 인증 할 수 없으므로 "man-in-the-middle"공격을받을 수 있다는 사실을 충분히 알고 있습니다.

장치가 완전히 구성되면 매우 드물게 액세스되지만 쉽게 액세스 할 수 있어야합니다.

출처

2012-03-06 Munk

+0

미리 인증서 지문을 소유하고 있다면 (일부 장치에서만 관리 가능) 자체 서명 된 인증서가있는 경우 인증서의 지문을 확인할 수 있습니다. 그들이 일치하면 그것은 당신의 장치입니다. – Piskvor

+0

@Piskvor는 CA 인증서가 있고 사용자 정의 장치 인증서를 발행하는 것이 관리 관점에서 더 쉬울 것입니다. 클라이언트는 하나의 CA 인증서 만 설치하거나 신뢰해야합니다. –

+1

@Eugene Mayevski 'EldoS Corp : 네트워크 하드웨어 제조업체의 CA 인증서를 설치하는 것을 매우 주저합니다. 엄청난 붉은 깃발을 흔들고 "MITM"을 비명을 지르는 것입니다. (아시다시피 모든 신뢰할 수있는 CA는 모든 웹 사이트에 인증서를 발급 할 수 있습니다. 그들은 브라우저에 의해 신뢰 될 것입니다). – Piskvor

답변

7

HTTPS는 인증서가 호스트 이름 대신 IP 주소로 발행되도록 허용합니다. 사실 HTTPS 사양 (RFC 2818)에서는 "일부 경우 URI가 호스트 이름이 아닌 IP 주소로 지정되므로이 경우 iPAddress subjectAltName이 인증서에 있어야하며 URI의 IP와 정확히 일치해야합니다 . "

따라서 장치의 IP 주소에 바인딩 된 CA에서 SSL/TLS 인증서를 얻을 수있는 경우 연결하는 클라이언트는 (1) 장치에 액세스하는 데 사용 된 URI (2) 클라이언트 장치가 신뢰하는 CA 체인에서 발급 한 인증서입니다.

제어하는 ​​클라이언트를 사용하여이 장치에 액세스하기 만하면 생성 한 IP 주소, 인증서에 바인딩 된 자체 서명을 사용할 수 있지만 액세스 할 각 클라이언트를 다음과 같이 구성해야합니다. 신뢰할 수있는 CA가 발급하지 않았으므로 해당 인증서를 명시 적으로 신뢰합니다.

출처

2012-03-06 13:26:04 jeffsix

+0

확인. 우리는 주로 로컬 IP 주소로 로컬 네트워크에서 액세스 할 수 있도록 많은 장치를 출하 할 것입니다. 따라서 브라우저가 자체 서명 된 인증서를 인증 할 수있는 방법이 없기 때문에 브라우저에서 수동으로 인증서를 신뢰할 수있는 것으로 설정하는 것 이외의 브라우저 경고를 방지 할 수 없습니다. – Munk

+0

웹 인터페이스가있는 라우터 및 기타 네트워크 장비는 SSL을 사용할 때 자체 서명 된 인증서를 사용합니까? – Munk

+6

(1) 동의합니다. (2) 일반적인 관행은 웹 인터페이스에 대한 자체 서명 인증서 (브라우저 연결에서 경고를 생성 함)를 함께 제공하고 장치 관리자가 다른 인증서를 업로드 할 수있게하는 것입니다. 따라서 장치 책임자는 경고를 수락하거나 자신의 신뢰할 수있는 인증서를 업로드 할 수 있습니다. – jeffsix

관련 문제

 관련 문제