SSL /TLS Automatisering for IoT med ACME

Med en tilpasset, ACME-aktivert utstedende CA, kan IoT og IIoT-leverandører enkelt administrere og automatisere SSL /TLS sertifikats livssyklus på enheter som er i stand til ACME.

Relatert innhold

Vil du fortsette å lære?

Abonner på SSL.coms nyhetsbrev, hold deg informert og sikker.

I disse dager er det vanlig å se nyheter om usikker Internet of Things (IoT) -praksis som f.eks private nøkler innebygd i nedlastbar enhets firmware og lett tilgjengelig for angripere. Potensielle IoT- og IIoT-kunder (Industrial Internet of Things) er med rette bekymret for sikkerhet, men det trenger ikke være slik!

Med en tilpasset, ACME-aktivert utsteder CA (også kjent som en underordnet CA or SubCA) fra SSL.com, kan IoT- og IIoT-leverandører enkelt administrere og automatisere validering, installasjon, fornyelse og tilbakekalling av SSL /TLS sertifikater på enheter som kan ACME. Med ACME vil private nøkler bli generert og lagret på selve enheten, noe som eliminerer behov for usikker nøkkelhåndteringspraksis.

Hva er ACME, og hvordan kan det fungere med IoT?

ACME-logoAutomatisert sertifikathåndteringsmiljø (ACME) er en standard protokoll for automatisert domenevalidering og installasjon av X.509-sertifikater, dokumentert i IETF RFC 8555. Som en veldokumentert standard med mange open-source klient implementeringer, ACME tilbyr IoT-leverandører en smertefri måte å automatisk skaffe til veie enheter som modemer og rutere med offentlig eller privat betrodd slutt entitetssertifikater og holde disse sertifikatene oppdatert over tid.

SSL.com tilbyr nå bedriftskundene muligheten til å ha enhetene sine grensesnitt direkte med en dedikert, administrert ACME-aktivert utsteder CA, som tilbyr følgende fordeler:

  • Automatisk domenevalidering og fornyelse av sertifikat.
  • Kontinuerlig SSL /TLS dekning reduserer administrativ hodepine.
  • Øker sikkerheten gjennom kortere levetid for sertifikater fra sluttvirksomheten.
  • Administrer tilbakekall av sertifikater
  • Etablert, veldokumentert IETF standardprotokoll.
  • Offentlig eller privat tillit tilgjengelig.

Slik fungerer ACME

Når en ACME-aktivert IoT-enhet er koblet til internett og trenger å be om utstedelse eller fornyelse av sertifikat, genererer den innebygde ACME-klientprogramvaren et kryptografisk nøkkelpar og sertifikatsigneringsforespørsel (CSR) på enheten. De CSR sendes til en teknisk behersket utstedende CA, som returnerer et signert sertifikat. ACME-klienten håndterer deretter sertifikatinstallasjon.

ACME-diagram

CA / nettleserforum Baseline Krav definere en Teknisk begrenset CA-sertifikat as

Et underordnet CA-sertifikat som bruker en kombinasjon av innstillinger for utvidet nøkkelbruk og innstillinger for navnebegrensning for å begrense omfanget underordnet CA-sertifikat kan utstede abonnent eller ytterligere underordnede CA-sertifikater.

For eksempel kan en vertsutstedende CA være teknisk begrenset til å utstede SSL /TLS sertifikater for et begrenset sett av domenenavn som eies av IoT-leverandøren for bruk på dets trådløse rutere. Ruteren vil deretter be om et signert sertifikat som knytter et domenenavn som config.company.com til ruterens IP-adresse på det lokale nettverket. Sertifikatet tillater brukere å opprette HTTPS-tilkoblinger til ruteren med den URL-en i stedet for å måtte angi en IP-adresse (f.eks 192.168.1.1). Viktigst for sikkerhet er en unik privat nøkkel generert og lagret på hver enhet og kan erstattes når som helst.

Med sømløs ACME-integrasjon er det ikke lenger behov for å ta snarveier på IoT-sikkerhet for sluttbruker og administrativ bekvemmelighet. Kontakt Sales@SSL.com i dag og finn ut hvordan vi kan komme i gang med en tilpasset ACME-aktivert utstedende CA for IoT-enhetene dine.

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.