Hay cientos de dispositivos que no tienen nombre de host y su IP
No es estático. Entonces los certificados SSL pueden no ser posibles aquí ???.
Los certificados de autenticación de cliente SSL se pueden emitir sin un nombre resoluble de DNS o direcciones IP fijas. El servidor no tiene que estar configurado para usar DNS para verificarlos.
Tal como lo sugirió Stephan, parece ser el enfoque correcto hacer frente a su propia PKI para este sistema. A menos que su organización ya tenga su propia PKI, esto puede ser tan simple * como usar OpenSSL para generar su propio certificado autofirmado, y luego usar ese certificado de CA para firmar todos sus certificados de servidor y cliente. Tendrá que instalar el certificado de CA personalizado como un certificado de raíz de confianza en cada uno de los servidores y clientes. (Si estos son parte de un ecosistema cerrado, considere eliminar cualquier certificado raíz de confianza que los clientes no necesiten).
Es probable que tenga un inventario de los dispositivos como parte de la ejecución de su organización. Cualquiera que sea la ID que se les asigne, probablemente sería apropiado establecerlos en el DN de los certificados. Pero ciertamente tampoco tiene que hacer eso, especialmente si no quiere poner su nombre interno en sus certificados. En su lugar, puede generar previamente una gran cantidad de certificados y entregarlos a nuevos clientes cuando se registren con usted. A continuación, realice un seguimiento del ID de certificado y del ID de cliente para el que fue emitido y use esa relación para otorgar permisos de cliente. Esto mantiene a su CA emisora fuera del sistema que registra a sus clientes.
Si su organización ya tiene una PKI, consulte con ellos. Deben asignar una unidad organizativa reservada estrictamente a sus dispositivos. Luego, puede hacer que su servidor verifique que los certificados de cliente tengan la OU válida solo para sus dispositivos. De esa manera, otros grupos en su organización no podrán emitir certificados a dispositivos no autorizados / desconocidos.
Recuerde, una vez que los dispositivos están en el campo, pueden ser robados, manipulados y / o desarmados. No confíe más en los certificados de cliente de lo que necesita. No permita que estos mismos certificados de dispositivo otorguen permisos administrativos en el servidor. Y si un dispositivo desaparece, invalida su certificado rápidamente.
* Me disculpo por usar la palabra "simple" junto con PKI.