SSL /TLS Automation för IoT med ACME

Idag är det vanligt att se nyheter om osäkra Internet of Things (IoT) -metoder som privata nycklar inbäddade i nedladdningsbar enhetens firmware och lättillgängliga för angripare. Potentiella IoT- och IIoT-kunder (Industrial Internet of Things) är med rätta bekymrade över säkerhet, men det behöver inte vara så!

Med en anpassad, ACME-aktiverad emitterar CA (även känd som en underordnad CA or SubCA) från SSL.com kan IoT- och IIoT-leverantörer enkelt hantera och automatisera validering, installation, förnyelse och återkallande av SSL /TLS certifikat på enheter med ACME-kapacitet. Med ACME kommer privata nycklar att genereras och lagras på själva enheten, vilket eliminerar alla behov av osäker hantering av nycklar.

Vad är ACME och hur kan det fungera med IoT?

ACME-logotypAutomatiserad certifikathanteringsmiljö (ACME) är ett standardprotokoll för automatiserad domänvalidering och installation av X.509-certifikat, dokumenterat i IETF RFC 8555. Som en väl dokumenterad standard med många open-source klientimplementeringar, ACME erbjuder IoT-leverantörer ett smärtfritt sätt att automatiskt tillhandahålla enheter som modem och routrar med offentligt eller privat betrodda slutföretagscertifikat och hålla dessa certifikat uppdaterade över tid.

SSL.com erbjuder nu våra företagskunder möjligheten att ha sina enheter gränssnitt direkt med en dedikerad, hanterad ACME-aktiverad emitterar CA, som erbjuder följande fördelar:

  • Automatisk domänvalidering och certifikatförnyelse.
  • Kontinuerlig SSL /TLS täckning minskar administrativa huvudvärk.
  • Ökar säkerheten genom kortare certifikatlivslängder.
  • Hantera återkallande av certifikat
  • Upprättade, väl dokumenterade IETF-standardprotokoll.
  • Offentligt eller privat förtroende tillgängligt.

Hur ACME fungerar

När en ACME-aktiverad IoT-enhet är ansluten till internet och måste begära certifikatutgivning eller förnyelse genererar den inbäddade ACME-klientprogramvaran ett kryptografiskt nyckelpar och certifikatsigneringsbegäran (CSR) på enheten. De CSR skickas till en tekniskt begränsad utfärdande CA, som returnerar ett signerat certifikat. ACME-klienten hanterar sedan certifikatinstallation.

ACME-diagram

CA / webbläsarforum Baslinjekrav definiera en Tekniskt begränsat CA-certifikat as

Ett underordnat CA-certifikat som använder en kombination av inställningar för utökad nyckelanvändning och namnbegränsningsinställningar för att begränsa räckvidden inom det underordnade CA-certifikatet kan utfärda prenumeranter eller ytterligare underordnade CA-certifikat.

Till exempel kan ett värdutfärdande CA utfärda tekniskt att utfärda slutenhet SSL /TLS certifikat för en begränsad uppsättning domännamn som ägs av IoT-leverantören för användning på dess trådlösa routrar. Routern begär sedan ett signerat certifikat som associerar ett domännamn som config.company.com till routerns IP-adress i sitt lokala nätverk. Certifikatet tillåter användare att göra HTTPS-anslutningar till routern med den URL-adressen snarare än att behöva ange en IP-adress (t.ex. 192.168.1.1). Viktigast för säkerheten är att en unik privat nyckel genereras och lagras på varje enhet och kan ersättas när som helst.

Med sömlös ACME-integration behöver du inte längre genvägar till IoT-säkerhet för slutanvändare och administrativ bekvämlighet. Kontakta oss Sales@SSL.com idag och ta reda på hur vi kan komma igång med en anpassad ACME-aktiverad utfärdande CA för dina IoT-enheter.

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.