Die Sicherung einer privaten IP-Adresse (https-Zertifikat)

Habe ich eine ungewöhnliche Anwendungsfall :

  • ein web-server auf den Internet-Seiten dient über HTTPS,
  • innerhalb dieser web-Seiten, es sind Anrufe zu XMLHttpRequests zu einem lokal angeschlossenen Gerät (IP over USB)
    • das Gerät unterstützt sowohl HTTP-und HTTPS -,
    • das Gerät ist erreichbar auf http(s)://192.168.0.1
  • die http-Aufrufe fehl, da der unsichere Inhalte in einer https-Seite,
  • die https-Aufrufe fehlschlagen, da das Zertifikat nicht vertrauenswürdig ist (self-signed),

Seite Frage: Da das Gerät lokal am PC angeschlossen, die Verschlüsselung ist ziemlich nutzlos: muss ein http-header vorhanden ist, ermöglicht unsichere verbindungen zu einer bestimmten URL ? (wie CORS cross-domain)

Wichtigste Frage: Ist es möglich ein Zertifikat zu erwerben, für eine private IP-Adresse ?

Edit: es scheint, dass Plex ein ähnliches problem hatte und es gelöst die Art und Weise, wie auf diese blog. Dies ist ein Weg, zu groß für mich.

InformationsquelleAutor Xvolks | 2016-06-30
  1. 8

    Ist es möglich, ein Zertifikat zu erwerben, für eine private IP-Adresse ?

    Ein Zertifikat gebunden werden kann, um eine IP-Adresse (siehe diese). Sie können die Ausgabe ein selbst-signiertes Zertifikat zu einer privaten Adresse, aber einer vertrauenswürdigen ZERTIFIZIERUNGSSTELLE wird nicht die Ausstellung eines Zertifikats an eine private Adresse, da es nicht überprüfen kann, seine Identität.

    Beispielsweise ein Zertifikat ausgestellt 192.168.0.1 wäre theoretisch gültig in jedem Kontext, und dies sollte nicht erlaubt werden, die von einer vertrauenswürdigen CA

    Plex löst das problem mit einer Dynamischen DNS und ein wildcard-Zertifikat. Die Verbindung erfolgt über den Namen (nicht die IP) des Gerätes, die ist aufgelöst, der private IP -

    Muss ein http-header vorhanden ist, ermöglicht unsichere verbindungen zu einer bestimmten URL ? (wie CORS cross-domain)

    Nein, es ist nicht vorhanden. Der browser blockiert Ihre XHR-verbindungen, da Sie werden HTTP-verbindungen initiiert von einer HTTPS-Seite (mixed-content-Warnung). Nicht sichere Inhalte können theoretisch ausgelesen oder geändert werden, die von Angreifern, selbst wenn für die übergeordnete Seite ist HTTPs, also ist normal und empfohlen, dass der browser warnt den Benutzer.

    Fix auf den mixed-content-und https-Fehler, die Sie dienen könnte, die Inhalte über HTTPS und ein selbst-signiertes Zertifikat, und fordern Sie Benutzer zum importieren der root-CA im browser.

    • Sie bestätigen meine Untersuchungen. Importieren eines Wurzel-CA ist immer ein Schmerz für unsere Kunden. Ich Frage mich, ob wir könnten Plex-Lösung (der Preis für die wildcard-Zertifikat könnte ein problem für eine sehr kleine Anzahl von Benutzern).
    • Sie können kaufen, eine wildcard für ein paar hundert $ / €. Ich denke, wenn man immer 192.168.0.1, können Sie die Karte "localdevice.yourdomain.com' in einen öffentlichen DNS. Die Komplexität der Plex scheint, befinden sich in der Verwendung von dynamischem DNS mit der hash-Geräte
    • Das ist richtig, das hash-system ist hier, um ein Zertifikat zu binden, um nur ein Benutzer. In der anderen hand, ich brauche nicht das hash-system, da das Gerät nicht mit dem internet verbunden. Es ist gebunden, um den Benutzer durch das USB-Kabel.
    • para3: 'soll erlaubt sein' -> 'NICHT dürfen'! Auch 'teorically' ist nicht ein Wort, ich denke mal du meintest 'theoretisch'.
    • vielen Dank für Ihre Bewertung
    InformationsquelleAutor pedrofb
Schreibe einen Kommentar