如果保护物联网(IoT)既简单又直接,那么我们每周都不会阅读备受关注的故事 带有公开私钥的路由器 和 违反了家庭监控摄像头. 有了这样的消息,难怪许多消费者仍然对联网设备表示怀疑。 物联网设备的数量有望超过 38十亿 到2020年(自2015年以来几乎增长了三倍),制造商和供应商必须认真对待安全性。
SSL.com可以帮助您完成任务! 作为一个受公众信任的证书颁发机构(CA)和CA /浏览器论坛的成员,SSL.com拥有丰富的专业知识和行之有效的技术,可以帮助制造商通过一流的产品保护其IoT和IIoT(工业物联网)设备公钥基础结构(PKI),自动化,管理和监控。
如果您需要发布和管理成千上万个(甚至数十万个)公共或私人信任的对象 X.509 互联网连接设备的证书,SSL.com拥有您所需的一切。
示例:保护无线路由器
举一个简单的例子,我们将描述一个具有典型嵌入式设备(家庭无线路由器)的场景。 您可能知道所有有关如何登录其中之一的信息; 你输入类似 http://10.254.255.1
进入浏览器(如果您还记得的话),也许可以单击安全警告,然后希望当您输入登录凭据时没有人在监听。 值得庆幸的是,物联网制造商现在可以通过SSL.com提供的工具和技术为他们的客户提供更加方便,更重要的是安全的体验。
在我们的示例场景中,制造商希望让其客户通过以下方式安全地连接到路由器的管理界面 HTTPS,而不是HTTP。 该公司还希望让客户使用一个易于记忆的域名(router.example.com
),而不是设备的默认本地IP地址(192.168.1.1
)。 SSL /TLS 保护路由器的内部Web服务器的证书必须是 公众信任,否则用户将在其浏览器中遇到安全错误消息。 另一个麻烦是,每个公共信任的SSL /TLS 证书在签发后具有硬编码的寿命(目前受 浏览器政策 到大约一年)。 由于此限制,制造商必须包括一种在必要时用于远程替换设备安全证书的方法。 最后,制造商希望在给客户带来最少或没有不便的情况下完成所有这些事情。
与SSL.com一起,制造商可以采取以下步骤为每个路由器的内部网络服务器配置公共信任的域验证(DV)SSL /TLS 证书:
- 制造商创建DNS A 记录关联所需的域名(
router.example.com
)和通配符(*.router.example.com
)到所选的本地IP地址(192.168.1.1
). - 制造商展示了对其基本域名(
example.com
)通过适用于SSL.com 域验证(DV) 方法(在这种情况下,可以使用电子邮件联系人或CNAME查找)。 - 使用SSL.com发行的技术限制发行 下属CA (或SubCA)(立即联系我们 有关如何获取自己受技术限制的下级CA的详细信息,该公司可以发布公众信任的SSL /TLS 验证的路由器域名的证书。 对于我们的示例,我们将坚持
router.example.com
,但根据使用情况,它也可以是通配符,例如*.router.example.com
。 通配符将允许颁发覆盖诸如以下子域的证书www.router.example.com
ormail.router.example.com
. - 在制造过程中,每个设备都配备有唯一的加密密钥对和公共信任的DV SSL /TLS 证书保护
router.example.com
. - 当客户首次将设备连接到Internet时,可能出现两种情况:
- 随附的SSL /TLS 证书 没有 自生产以来已过期。 在这种情况下,用户可以直接在以下位置直接连接到路由器的控制面板
https://router.example.com/
使用网络浏览器,并且不会遇到任何浏览器信任错误。 - 随附的SSL /TLS 证书 具有 自生产以来已过期。 即将过期的证书必须替换为新发行的证书。 根据设备的功能和制造商的偏好,设备现在可以:
- 在内部生成一个新的密钥对和证书签名请求,然后将其提交给受约束的SubCA进行签名。 然后,SubCA将返回一个已签名的SSL /TLS 证书。
- 发出新密钥对的请求,然后 CSR 它将在外部密钥管理系统中生成,并由SubCA签名,然后交付给设备。
- 随附的SSL /TLS 证书 没有 自生产以来已过期。 在这种情况下,用户可以直接在以下位置直接连接到路由器的控制面板
- 当设备需要新证书时,可以使用用户的登录凭据,随附的客户端证书和/或密钥证明过程来使用受约束的SubCA对设备进行身份验证。
- 在设备的生命周期内,其SSL /TLS 证书将在到期前定期更换。 这样,用户将在设备的生命周期内享受通过HTTPS的连续访问。
物联网自动化选项
SSL.com为物联网设备制造商提供了多种强大的自动化和管理工具,可用于其自定义SSL.com。 发行CA:
- SSL Web服务(SWS)API: 使用SSL.com自动化证书颁发和生命周期的各个方面 RESTful API.
- ACME协议: ACME 是用于域验证和证书管理的既定标准协议,具有许多开源客户端实现。
无论哪种自动化技术(或技术组合)最适合给定的情况,制造商和供应商都可以使用最新的工具来管理和监视其设备上的证书颁发,生命周期和吊销。 每台新的Iot和IIoT设备都面临着自己独特的挑战,SSL.com随时准备,愿意并且能够与制造商合作,创建优化的解决方案,为他们的设备提供公共或私人信任的X.509证书。 如果它连接到互联网,我们可以帮助您保护它!