Heutzutage ist es üblich, Nachrichten über unsichere Internet-of-Things-Praktiken (IoT) wie z Private Schlüssel, die in die Firmware des herunterladbaren Geräts eingebettet sind und für Angreifer leicht verfügbar. Potenzielle IoT- und IIoT-Kunden (Industrial Internet of Things) sind zu Recht besorgt um die Sicherheit, aber das muss nicht so sein!
Mit einem benutzerdefinierten, ACME-fähigen CA ausstellen (auch bekannt als untergeordnete CA or SubCA) von SSL.com können IoT- und IIoT-Anbieter die Validierung, Installation, Erneuerung und den Widerruf von SSL / problemlos verwalten und automatisieren.TLS Zertifikate auf ACME-fähigen Geräten. Mit ACME werden private Schlüssel sicher generiert und auf dem Gerät selbst gespeichert, sodass keine unsicheren Verfahren zur Schlüsselbehandlung erforderlich sind.
Was ist ACME und wie kann es mit dem IoT funktionieren?
Automatisierte Zertifikatverwaltungsumgebung (ACME) ist ein Standardprotokoll für die automatisierte Domänenvalidierung und Installation von X.509-Zertifikaten, dokumentiert in IETF-RFC 8555. Als gut dokumentierter Standard mit vielen Open Source Client-ImplementierungenACME bietet IoT-Anbietern eine einfache Möglichkeit, Geräte wie Modems und Router automatisch mit öffentlich oder privat vertrauenswürdigen Endentitätszertifikaten zu versorgen und diese Zertifikate im Laufe der Zeit auf dem neuesten Stand zu halten.
SSL.com bietet unseren Unternehmenskunden jetzt die Möglichkeit, ihre Geräte direkt mit einem dedizierten, verwalteten ACME-fähigen Gerät zu verbinden CA ausstellenmit folgenden Vorteilen:
- Automatische Domain-Validierung und Zertifikatserneuerung.
- Kontinuierliches SSL /TLS Abdeckung reduziert administrative Kopfschmerzen.
- Erhöht die Sicherheit durch kürzere Lebensdauer von End-Entity-Zertifikaten.
- Zertifikatssperrung verwalten
- Etabliertes, gut dokumentiertes IETF-Standardprotokoll.
- Öffentliches oder privates Vertrauen vorhanden.
Wie funktioniert ACME?
Wenn ein ACME-fähiges IoT-Gerät mit dem Internet verbunden ist und die Ausstellung oder Erneuerung von Zertifikaten anfordern muss, generiert die eingebettete ACME-Client-Software ein kryptografisches Schlüsselpaar und Zertifikatsignierungsanforderung (CSR) auf dem Gerät. Das CSR wird an eine technisch eingeschränkte ausstellende Zertifizierungsstelle gesendet, die ein signiertes Zertifikat zurückgibt. Der ACME-Client übernimmt dann die Zertifikatinstallation.
Das CA / Browser Forum Basisanforderungen definieren eine Technisch eingeschränktes CA-Zertifikat as
Ein untergeordnetes CA-Zertifikat, das eine Kombination aus Einstellungen für die erweiterte Schlüsselverwendung und Einstellungen für die Namensbeschränkung verwendet, um den Umfang zu begrenzen, in dem das untergeordnete CA-Zertifikat Abonnenten- oder zusätzliche untergeordnete CA-Zertifikate ausstellen kann.
Beispielsweise könnte eine gehostete ausstellende Zertifizierungsstelle technisch darauf beschränkt sein, SSL / der Endentität auszugeben.TLS Zertifikate für eine eingeschränkte Gruppe von Domänennamen des IoT-Anbieters zur Verwendung auf seinen WLAN-Routern. Der Router würde dann ein signiertes Zertifikat anfordern, das einen Domänennamen wie config.company.com an die IP-Adresse des Routers in seinem lokalen Netzwerk. Mit dem Zertifikat können Benutzer HTTPS-Verbindungen zum Router mit dieser URL herstellen, anstatt eine IP-Adresse eingeben zu müssen (z 192.168.1.1). Am wichtigsten für die Sicherheit ist, dass ein eindeutiger privater Schlüssel sicher generiert und auf jedem Gerät gespeichert wird und jederzeit ersetzt werden kann.
