用于本地网络的 SSL,无需更改路由器或客户端系统
SSL for local networking without changing router or client systems
设置
想象一下放置在本地网络中的服务器。我需要客户端(浏览器)连接到本地服务器。
我想将该服务器(预先配置有服务器代码的实际硬件)运送给任何客户。
然后应将其接入本地网络,客户必须执行快速设置程序。
不允许服务器连接到互联网。
客户端和服务器之间的所有通信都必须通过 https 进行。
所以现在我正在考虑解决这个问题。
我排除的选项,因为它们对用户/管理员来说不切实际
- 在每个本地安装服务器颁发的自签名证书
客户端 OS(尤其不适用于移动浏览器)
- 在浏览器中接受 "this is an unsafe cert" 东西
带有自签名证书,因为它不专业
- 本机应用程序作为客户端是没有选择的
非常感谢您的帮助,谢谢。
TLS 支持 3 种主要的密钥交换方式
- 基于证书(RSA、ECDSA-ECDHE 等)
- 匿名(基于 DH)
- 预共享密钥 (PSK)
鉴于您的情况,您需要运送服务器盒,并且许多具有预装浏览器的客户端将使用 HTTPS 连接到您的服务器,并且假设您无法控制这些客户端,则您不能使用 PSK 或匿名机制.我建议如下:
一个独特的私钥/ Public 密钥对应该安装在您打算出售的每个服务器盒中。 Public 密钥应由知名证书颁发机构认证(即作为证书颁发),其自签名证书通常安装在浏览器中。这应该可以帮助您在服务器和客户端之间建立无缝的 TLS 连接。
该证书确实有有效期,但是,您可以尝试申请一个相当长的有效期,如果需要的话,证书应该以类似的方式更新,因为您可能会在这些框中更新您的软件.
设置
想象一下放置在本地网络中的服务器。我需要客户端(浏览器)连接到本地服务器。
我想将该服务器(预先配置有服务器代码的实际硬件)运送给任何客户。
然后应将其接入本地网络,客户必须执行快速设置程序。
不允许服务器连接到互联网。
客户端和服务器之间的所有通信都必须通过 https 进行。
所以现在我正在考虑解决这个问题。
我排除的选项,因为它们对用户/管理员来说不切实际
- 在每个本地安装服务器颁发的自签名证书 客户端 OS(尤其不适用于移动浏览器)
- 在浏览器中接受 "this is an unsafe cert" 东西 带有自签名证书,因为它不专业
- 本机应用程序作为客户端是没有选择的
非常感谢您的帮助,谢谢。
TLS 支持 3 种主要的密钥交换方式
- 基于证书(RSA、ECDSA-ECDHE 等)
- 匿名(基于 DH)
- 预共享密钥 (PSK)
鉴于您的情况,您需要运送服务器盒,并且许多具有预装浏览器的客户端将使用 HTTPS 连接到您的服务器,并且假设您无法控制这些客户端,则您不能使用 PSK 或匿名机制.我建议如下:
一个独特的私钥/ Public 密钥对应该安装在您打算出售的每个服务器盒中。 Public 密钥应由知名证书颁发机构认证(即作为证书颁发),其自签名证书通常安装在浏览器中。这应该可以帮助您在服务器和客户端之间建立无缝的 TLS 连接。
该证书确实有有效期,但是,您可以尝试申请一个相当长的有效期,如果需要的话,证书应该以类似的方式更新,因为您可能会在这些框中更新您的软件.