SSL /TLS 使用ACME实现物联网自动化

如今,通常会看到有关不安全的物联网(IoT)做法的新闻报导,例如 嵌入在可下载设备固件中的私钥 并且易于攻击者使用。 潜在的IoT和IIoT(工业物联网)客户正确地关心安全性,但是不必一定要这样做!

通过启用ACME的自定义功能 发行CA (也称为 下属CA or 子CA)和IoT和IIoT供应商提供的服务)可以轻松管理和自动化SSL /的验证,安装,续订和吊销TLS 具有ACME功能的设备上的证书。 使用ACME,可以安全地生成私钥并将其存储在设备本身,从而消除了对不安全的密钥处理做法的需求。

什么是ACME,它如何与IoT配合使用?

ACME徽标自动化证书管理环境(ACME) 是用于自动域验证和X.509证书安装的标准协议,在 IETF RFC 8555。 作为一个文档完善的标准,其中包含许多开源 客户实施,ACME为物联网供应商提供了一种轻松的方式,以自动为公用事业或私人信任的终端实体证书配置调制解调器和路由器等设备,并随着时间的推移更新这些证书。

SSL.com现在为我们的企业客户提供了使他们的设备与专用的,托管的,启用ACME的设备直接接口的能力 发行CA,具有以下优点:

  • 自动域验证和证书续订。
  • 连续SSL /TLS 覆盖减少了管理上的麻烦。
  • 通过缩短最终实体证书的使用寿命来提高安全性。
  • 管理证书吊销
  • 建立完善的IETF标准协议。
  • 提供公共或私人信任。

ACME如何运作

当启用ACME的IoT设备连接到Internet并需要请求证书颁发或续订时,嵌入式ACME客户端软件会生成一个加密密钥对,并 证书签名请求(CSR) 在设备上。 的 CSR 被发送到受技术限制的发行CA,该CA返回已签名的证书。 然后,ACME客户端处理证书安装。

ACME图

CA /浏览器论坛的 基准要求 定义 受技术限制的CA证书 as

结合使用扩展密钥用法设置和名称约束设置的从属CA证书,以限制从属CA证书可以颁发订阅服务器或其他从属CA证书的范围。

例如,托管发行CA可能会在技术上受到限制,无法发行终端实体SSL /TLS 物联网供应商拥有的一组受限域名的证书,供其无线路由器使用。 然后,路由器将请求一个已签名的证书,该证书将域名与 config.company.com 到路由器在其本地网络上的IP地址。 该证书允许用户使用该URL与路由器建立HTTPS连接,而不必输入IP地址(例如, 192.168.1.1)。 对于安全性最重要的是,唯一的私钥会安全地生成并存储在每个设备上,并且可以随时替换。

通过无缝的ACME集成,不再需要为了最终用户和管理上的方便而采用IoT安全性的捷径。 联系我们 Sales@SSL.com 今天,了解我们如何帮助您开始使用针对您的物联网设备的启用ACME的自定义发行CA。

订阅SSL.com的新闻通讯

不要错过SSL.com上的新文章和更新

保持信息灵通和安全

SSL.com 是网络安全领域的全球领导者, PKI 和数字证书。注册以接收最新的行业新闻、提示和产品公告 SSL.com.

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。