There are hundreds of such devices not having host-name and their IP
is not static. So SSL certificates may not be possible here???.
I certificati di autenticazione client SSL possono essere emessi senza un nome risolvibile DNS o indirizzi IP fissi. Il server non deve essere configurato per utilizzare DNS per verificarli.
Come ha suggerito Stephan, alzare il proprio PKI per questo sistema sembra l'approccio giusto. A meno che la tua organizzazione non disponga già di una propria PKI, questo può essere * semplice come utilizzare OpenSSL per generare il proprio certificato autofirmato, quindi utilizzare tale certificato CA per firmare tutti i certificati server e client. Dovrai installare il certificato CA personalizzato come certificato di radice affidabile in ciascuno dei server e dei client. (Se questi fanno parte di un ecosistema chiuso, prendi in considerazione la possibilità di rimuovere i certificati di root attendibili di cui i client non hanno bisogno.)
Probabilmente avrai un inventario dei dispositivi come parte della tua organizzazione. Qualunque sia l'ID che viene loro assegnato, sarebbe probabilmente appropriato impostare il DN dei certificati. Ma certamente non devi farlo neanche, soprattutto se non vuoi mettere il tuo nome interno sui tuoi certificati. Invece, è possibile pre-generare una grande pila di certificati in anticipo e consegnarli a nuovi clienti quando si registrano con te. Quindi tenere traccia dell'ID del certificato e dell'ID client al quale è stato rilasciato e utilizzare tale relazione per concedere le autorizzazioni del client. Ciò mantiene la CA di emissione in modalità sicura dal sistema che registra i tuoi clienti.
Se la tua organizzazione ha già una PKI, consultati con loro. Dovrebbero assegnare un'unità organizzativa riservata esclusivamente ai tuoi dispositivi. È quindi possibile fare in modo che il server verifichi che i certificati client abbiano la OU valida solo per i propri dispositivi. In questo modo, altri gruppi della tua organizzazione non potranno emettere certificati su dispositivi non autorizzati o rogue.
Ricorda che una volta che i dispositivi sono fuori sul campo possono essere rubati, manomessi e / o smontati. Non mettere più fiducia nei certificati client di quanto necessario. Non consentire a questi stessi certificati di dispositivo di concedere autorizzazioni amministrative sul server. E se un dispositivo scompare, invalida rapidamente il suo certificato.
* Mi scuso per aver usato la parola "semplice" insieme a PKI.