我对不安全的 SSL 证书有疑问。我的项目包括两部分:
假设一位客户购买了我的物联网设备,并将其连接到电源。设备将以 AP 模式启动,创建 WiFi AP 网络。 客户端登录到 Web 应用程序并想要添加他的新设备。因此,为此,物联网设备需要客户端 wifi 凭据。 Web 应用程序向客户端询问他的 ssid 和密码,当客户端单击“配置设备”时,Web 应用程序向 esp32 服务器发送 https POST 请求,这就是问题所在...... 由于 esp32 服务器中使用的 SSL 证书未经授权验证,因此 Web 应用无法发出 POST 请求...
如何为大量物联网设备获取有效的服务器 SSL 证书?我不知道如何处理这种情况......
谢谢大家!!
【问题讨论】:
标签: vue.js ssl web-applications server esp32
可以获得设备的有效 SSL 证书,但我不建议这样做。如果您愿意,可以这样做:
确保当您的设备处于 AP 模式时,它始终可以通过完全相同的 IP 地址访问。例如,确保 ESP32 正在侦听192.168.1.1。
注册一个类似example.com的域。为 iot.example.com 添加一条 A 记录到您的 DNS 服务器,其值为 192.168.1.1。
从任何受信任的机构获取iot.example.com 的有效 SSL 证书。将该证书和相关密钥放在您的设备上。
现在,当您的用户连接到您的软 AP 时,他们可以浏览到 https://iot.example.com 并实际看到一个有效的证书。
但是,我真的不建议这样做。您将面临三个主要问题:
您的 SSL 证书的密钥将在您设备的闪存中。如果有人提取它,他们可以伪装成iot.example.com。您可以通过使用 flash 加密来缓解这种情况,但仍然不是很好。
SSL 证书的最长有效期约为两年。因此,您的配置流程将在几年后中断。
如果颁发您的证书的 CA 听说私钥在四处飘荡并且可能被泄露,他们可能会吊销您的证书。
相反,您应该做的事情是使用 WPA2 保护您的软 AP,以及您可以提供给用户的密码。这将确保连接是加密的,并且您可以通过 HTTP 而不是 HTTPS 提供您的配置表单。
一个更好的方法是使用ESP-IDF unified provisioning API,而不是尝试自己实现。它负责实现细节,并支持 Wi-Fi 和蓝牙作为传输方式。
无论您决定做什么,我都强烈建议您阅读the ESP-IDF documentation on unified provisioning 和the documentation on Wi-Fi provisioning,因为它们会让您了解幕后发生的事情以及安全实施所需的一切。特别是,您会看到 Wi-Fi 配置库确实使用了我上面建议的静态 WPA2 密码。
【讨论】: