esp32 https 服务器的 SSL 证书

Question

我有不安全的 SSL 证书问题。 我的项目由两部分组成：

1. 带有 https 服务器的 ESP32 物联网设备
2. 部署到 Firebase 托管的 VUE2 + Vuetify PWA Web 应用程序。

想象一下，一位客户购买了我的物联网设备，并将其连接到电源。 设备将在 AP 模式下启动，创建一个 WiFi AP 网络。 客户端登录到 Web 应用程序并想要添加他的新设备。 因此，为此，物联网设备需要客户端 wifi 凭据。 Web 应用程序向客户端询问他的 ssid 和密码，当客户端单击“配置设备”时，Web 应用程序向 esp32 服务器发送 https POST 请求，这就是问题所在......因为在esp32 服务器未经授权验证，Web 应用程序无法发出 POST 请求...

如何为大量物联网设备获取有效的服务器 SSL 证书？ 我不知道如何处理这种情况...

谢谢大家！！

Answer 1

可以获得设备的有效 SSL 证书，但我不建议这样做。 如果您愿意，可以这样做：

1. 确保当您的设备处于 AP 模式时，它始终在完全相同的 IP 地址上可用。 例如，确保 ESP32 正在侦听192.168.1.1 。

2. 注册一个域，例如example.com 。 将 A 记录添加到iot.example.com的 DNS 服务器，其值为192.168.1.1 。

3. 从任何受信任的机构获取iot.example.com的有效 SSL 证书。 将该证书和关联密钥放在您的设备上。

现在，当您的用户连接到您的软 AP 时，他们可以浏览到https://iot.example.com并实际看到一个有效的证书。

---

但是，我真的不建议这样做。 您将面临三个主要问题：

1. SSL 证书的密钥将位于设备的闪存中。 如果有人提取它，他们可以伪装成iot.example.com 。 您可以通过使用闪存加密来缓解这种情况，但它仍然不是很好。

2. SSL 证书的最长有效期约为两年。 因此，您的配置流程将在几年后中断。

3. 如果颁发您的证书的 CA 听说私钥四处飘散并且可能会被泄露，他们可能会撤销您的证书。

相反，您应该做的是使用 WPA2 保护您的软 AP，以及您可以提供给用户的密码。 这将确保连接被加密，并且您可以通过 HTTP 而不是 HTTPS 提供您的配置表单。

一个更好的方法而不是尝试自己实现它，是使用ESP-IDF 统一配置 API 。 它负责实现细节，并支持 Wi-Fi 和蓝牙作为传输。

无论您决定做什么，我都强烈建议您阅读有关统一配置的 ESP-IDF 文档和有关 Wi-Fi 配置的文档，因为它们会让您了解幕后发生的事情以及所有内容安全实施所必需的。 特别是，您会看到 Wi-Fi 配置库实际上使用了我上面建议的静态 WPA2 密码。