Come gestisco i certificati HTTPS per un dispositivo con IP dinamico?

3

Sono abbastanza nuovo su HTTPS e quindi rischia di essere una domanda stupida. Ho un server ospitato sul mio Raspberry Pi che mi permette di configurarlo da remoto, su una rete e mi piacerebbe convertire in HTTPS per renderlo più sicuro. Ma poiché l'indirizzo IP del dispositivo cambia di volta in volta a causa di DHCP, non sono sicuro di come fornire il certificato.

La soluzione migliore che ho avuto finora è quella di generare un certificato autofirmato ogni volta che il dispositivo si avvia e aggiungere eccezioni di sicurezza al mio browser che non mi sembra l'approccio migliore per me.

Oltre a renderlo IP statico, c'è qualche altra soluzione che posso usare?

    
posta Rohit 23.05.2016 - 20:16
fonte

2 risposte

3

Perché non registrare il certificato per un nome di dominio completo, anziché per l'indirizzo IP? Supponendo che lo stiate eseguendo come server e lasciandolo in esecuzione per un buon periodo di tempo, dovreste visitare il provider DNS e cambiare il mapping tra l'indirizzo IP e il nome di dominio, solo quando avete ricevuto un nuovo indirizzo IP.

Inoltre, è possibile richiedere un lease DHCP statico per l'indirizzo MAC corrispondente alla scheda NIC. Quindi, ogni volta che si riavviava, il server DHCP forniva lo stesso indirizzo IP.

    
risposta data 23.05.2016 - 20:26
fonte
1

La soluzione più logica è posizionare il nome nell'oggetto del certificato e utilizzare il DNS dinamico per fare in modo che il nome punti allo stesso PI del lampone. Certo, uno avrebbe bisogno di un server DNS.

Se puoi usare IPv6 e avere un server DNS è troppo lavoro, con esso il Rasbperry avrebbe un indirizzo fisso automaticamente con autoconfigurazione stateless (basato sul MAC), e potresti avere una voce nel tuo / etc / hosts file (Linux) o C: \ windows \ system32 \ drivers \ etc \ hosts (Windows) che associa il nome all'indirizzo IPv6 a livello di collegamento.

Forse ci sono altre soluzioni, ma preferirei comunque un certificato basato su un nome piuttosto che su un indirizzo IP.

    
risposta data 23.05.2016 - 20:29
fonte

Leggi altre domande sui tag