如今,通常会看到有关不安全的物联网(IoT)做法的新闻报导,例如 嵌入在可下载设备固件中的私钥 并且易于攻击者使用。 潜在的IoT和IIoT(工业物联网)客户正确地关心安全性,但是不必一定要这样做!
通过启用ACME的自定义功能 发行CA (也称为 下属CA or 子CA)和IoT和IIoT供应商提供的服务)可以轻松管理和自动化SSL /的验证,安装,续订和吊销TLS 具有ACME功能的设备上的证书。 使用ACME,可以安全地生成私钥并将其存储在设备本身,从而消除了对不安全的密钥处理做法的需求。
什么是ACME,它如何与IoT配合使用?
自动化证书管理环境(ACME) 是用于自动域验证和X.509证书安装的标准协议,在 IETF RFC 8555。 作为一个文档完善的标准,其中包含许多开源 客户实施,ACME为物联网供应商提供了一种轻松的方式,以自动为公用事业或私人信任的终端实体证书配置调制解调器和路由器等设备,并随着时间的推移更新这些证书。
SSL.com现在为我们的企业客户提供了使他们的设备与专用的,托管的,启用ACME的设备直接接口的能力 发行CA,具有以下优点:
- 自动域验证和证书续订。
- 连续SSL /TLS 覆盖减少了管理上的麻烦。
- 通过缩短最终实体证书的使用寿命来提高安全性。
- 管理证书吊销
- 建立完善的IETF标准协议。
- 提供公共或私人信任。
ACME如何运作
当启用ACME的IoT设备连接到Internet并需要请求证书颁发或续订时,嵌入式ACME客户端软件会生成一个加密密钥对,并 证书签名请求(CSR) 在设备上。 的 CSR 被发送到受技术限制的发行CA,该CA返回已签名的证书。 然后,ACME客户端处理证书安装。
CA /浏览器论坛的 基准要求 定义 受技术限制的CA证书 as
结合使用扩展密钥用法设置和名称约束设置的从属CA证书,以限制从属CA证书可以颁发订阅服务器或其他从属CA证书的范围。
例如,托管发行CA可能会在技术上受到限制,无法发行终端实体SSL /TLS 物联网供应商拥有的一组受限域名的证书,供其无线路由器使用。 然后,路由器将请求一个已签名的证书,该证书将域名与 config.company.com
到路由器在其本地网络上的IP地址。 该证书允许用户使用该URL与路由器建立HTTPS连接,而不必输入IP地址(例如, 192.168.1.1
)。 对于安全性最重要的是,唯一的私钥会安全地生成并存储在每个设备上,并且可以随时替换。