SSL /TLS الأتمتة لإنترنت الأشياء (IoT)

إذا كان تأمين إنترنت الأشياء (IoT) بسيطًا ومباشرًا ، فلن نقرأ قصصًا رفيعة المستوى كل أسبوع حول أجهزة التوجيه مع مفاتيح خاصة مكشوفة و خرق كاميرات أمن الوطن. مع مثل هذه الأخبار ، فلا عجب أن العديد من المستهلكين ما زالوا متشككين من الأجهزة المتصلة بالإنترنت. من المتوقع أن يزيد عدد أجهزة إنترنت الأشياء 38 مليار في عام 2020 (زيادة تبلغ ثلاثة أضعاف تقريبًا منذ عام 2015) ، وقد حان الوقت للمصنعين والبائعين أن يكونوا جادين بشأن الأمان.

SSL.com هنا لمساعدتك في إنجاز ذلك! بصفتها جهة تصديق موثوق بها بشكل عام (CA) وعضو في CA / Browser Forum ، تتمتع SSL.com بالخبرة العميقة والتكنولوجيا المثبتة اللازمة لمساعدة الشركات المصنعة على تأمين أجهزة IoT و IIoT (إنترنت الأشياء الصناعي) بأفضل فئتها البنية التحتية للمفتاح العام (PKI) والأتمتة والإدارة والمراقبة.

إذا كنت بحاجة إلى إصدار وإدارة الآلاف (أو حتى مئات الآلاف) من الموثوق بهم بشكل عام أو خاص X.509 شهادات للأجهزة المتصلة بالإنترنت ، SSL.com لديه كل ما تحتاجه.

مثال: تأمين جهاز توجيه لاسلكي

كتوضيح بسيط ، سنصف سيناريو يعرض جهازًا مضمنًا نموذجيًا - جهاز توجيه لاسلكي منزلي. ربما تعرف كل شيء عن كيفية تسجيل الدخول إلى أحد هؤلاء ؛ تكتب شيئًا مثل http://10.254.255.1 في متصفحك (إذا كنت تستطيع تذكره) ، ربما انقر من خلال تحذير أمني ، ثم نأمل ألا يتطفل أحد عند إدخال بيانات اعتماد تسجيل الدخول. لحسن الحظ ، يمكن لمصنعي إنترنت الأشياء الآن أن يقدموا لعملائهم تجربة أكثر ملاءمة - والأهم من ذلك - آمنة - من خلال الأدوات والتكنولوجيا التي يقدمها SSL.com.

في السيناريو الخاص بنا ، تريد الشركة المصنعة السماح لعملائها بالاتصال بواجهة مسؤول جهاز التوجيه الخاص بهم بشكل آمن عبر HTTPSوليس HTTP. تريد الشركة أيضًا السماح للعملاء باستخدام اسم نطاق يسهل تذكره (router.example.com) ، بدلاً من عنوان IP المحلي الافتراضي للجهاز (192.168.1.1). SSL /TLS يجب أن تكون شهادة حماية خادم الويب الداخلي لجهاز التوجيه موثوق به علنا، أو سيواجه المستخدمون رسائل خطأ أمنية في المستعرضات الخاصة بهم. هناك تعقيد آخر وهو أن كل SSL /TLS شهادة لها عمر مشفر عند إصدارها (محدودة بالفعل من قبل سياسات المتصفح لمدة عام تقريبًا). بسبب هذا القيد ، يجب على الشركة المصنعة تضمين وسيلة لاستبدال شهادة أمان الجهاز عن بُعد عند الضرورة. أخيرًا ، ترغب الشركة المصنعة في القيام بكل هذه الأشياء بأقل قدر من الإزعاج أو بدون إزعاج لعملائها.

من خلال العمل مع SSL.com ، يمكن للشركة المصنعة اتخاذ الخطوات التالية لتزويد خادم الويب الداخلي لكل جهاز توجيه بخادم SSL / SSL موثوق به بشكل عام وتم التحقق من صحته (DV)TLS شهادة:

1. تقوم الشركة المصنعة بإنشاء DNS A السجلات التي تربط اسم المجال المطلوب (router.example.com) وحرف بدل (*.router.example.com) إلى عنوان IP المحلي المختار (192.168.1.1).
2. توضح الشركة المصنعة التحكم في اسم مجالها الأساسي (example.com) إلى SSL.com من خلال تطبيق التحقق من صحة المجال (DV) الطريقة (في هذه الحالة ، قد يكون من المناسب استخدام جهة اتصال البريد الإلكتروني أو البحث في CNAME).
3. استخدام إصدار مقيد تقنيًا من SSL.com المرجع المصدق التابع (أو SubCA) (تواصل معنا لمزيد من المعلومات حول كيفية الحصول على مرجع مصدق ثانوي مقيد تقنيًا خاصًا بك) ، تستطيع الشركة إصدار SSL / موثوق به بشكل عامTLS شهادات لأسماء نطاقات الموجه التي تم التحقق منها. على سبيل المثال سنلتزم router.example.com، ولكن اعتمادًا على حالة الاستخدام ، يمكن أن يكون هذا أيضًا حرف بدل ، مثل *.router.example.com. سيسمح حرف البدل بإصدار الشهادات التي تغطي النطاقات الفرعية مثل www.router.example.com or mail.router.example.com.
4. أثناء التصنيع ، يتم تزويد كل جهاز بزوج مفاتيح تشفير فريد و DV SSL موثوق به بشكل عام /TLS شهادة حماية router.example.com.
5. عندما يقوم أحد العملاء بتوصيل الجهاز بالإنترنت لأول مرة ، من الممكن وجود سيناريوهين:
   1. تضمين SSL /TLS شهادة لم منتهية الصلاحية منذ التصنيع. في هذه الحالة ، يمكن للمستخدم ببساطة الاتصال مباشرة بلوحة تحكم جهاز التوجيه على https://router.example.com/ باستخدام متصفح ويب ، ولن تواجه أي أخطاء في ثقة المستعرض.
   2. تضمين SSL /TLS شهادة لديها منتهية الصلاحية منذ التصنيع. يجب استبدال الشهادة المنتهية الصلاحية بشهادة صادرة حديثًا. اعتمادًا على إمكانيات الجهاز وتفضيلات الشركة المصنعة ، يمكن للجهاز الآن إما:
      1. قم بإنشاء زوج مفاتيح جديد وطلب توقيع الشهادة داخليًا ، ثم أرسله إلى SubCA المقيدة الخاصة بهم للتوقيع. سيعيد SubCA بعد ذلك SSL /TLS شهادة.
      2. اصدار طلب لزوج مفاتيح جديد و CSR التي سيتم إنشاؤها في نظام إدارة مفتاح خارجي ، موقع من قبل SubCA ، وتسليمه إلى الجهاز.
6. عندما تكون هناك حاجة إلى شهادة جديدة للجهاز ، يمكن استخدام بيانات اعتماد تسجيل دخول المستخدم و / أو شهادة العميل المضمنة و / أو عملية التصديق على المفتاح لمصادقة الجهاز باستخدام SubCA المقيدة.
7. خلال عمر الجهاز ، SSL /TLS سيتم استبدال الشهادة قبل انتهاء الصلاحية ، على فترات منتظمة. وبهذه الطريقة سيستمتع المستخدم بالوصول المستمر عبر HTTPS طوال عمر الجهاز.

خيارات أتمتة إنترنت الأشياء

يقدم SSL.com مصنعي أجهزة إنترنت الأشياء أدوات أتمتة وإدارة قوية متعددة للعمل مع SSL.com المخصص إصدار المرجع المصدق:

• واجهة برمجة تطبيقات خدمات ويب SSL (SWS): أتمتة كل جانب من جوانب إصدار الشهادات ودورة حياتها باستخدام SSL.com RESTful API.
• بروتوكول ACME: ACME هو بروتوكول معياري ثابت للتحقق من صحة المجال وإدارة الشهادات مع العديد من تطبيقات العملاء مفتوحة المصدر.

وبغض النظر عن تقنية الأتمتة (أو مزيج التقنيات) الأكثر ملاءمة لحالة معينة ، سيتمكن المصنعون والبائعون من الوصول إلى أحدث الأدوات لإدارة ومراقبة إصدار الشهادات ودورة الحياة والإلغاء على أجهزتهم. يقدم كل جهاز Iot و IIoT تحديات فريدة خاصة به ، و SSL.com جاهز وراغب وقادر على العمل مع الشركات المصنعة لإنشاء حلول محسّنة لتزويد أجهزتهم بشهادات X.509 موثوقة بشكل عام أو خاص. إذا كان متصلاً بالإنترنت ، فيمكننا مساعدتك في تأمينه!