كيفية التحقق من شهادات المرجع المصدق X.509 باستخدام خدمة تزويد الأجهزة

  • مقالة

شهادة المرجع المصدق X.509 (CA) التي تم التحقق منها هي شهادة CA تم تحميلها وتسجيلها في خدمة التوفير الخاصة بك ثم التحقق منها، إما تلقائيا أو من خلال إثبات الحيازة مع الخدمة.

تلعب الشهادات التي تم التحقق منها دورا هاما عند استخدام مجموعات التسجيل. يوفر التحقق من ملكية الشهادة طبقة أمان إضافية من خلال التأكد من أن محمل الشهادة في حوزة المفتاح الخاص للشهادة. يمنع التحقق المستخدم الضار الذي يعثر على نسبة استخدام الشبكة الخاصة بك من استخراج شهادة وسيطة واستخدام هذه الشهادة لإنشاء مجموعة تسجيل في خدمة التزويد لها، مما يؤدي إلى اختطاف أجهزتك بشكل فعال. من خلال إثبات ملكية الجذر أو الشهادة المتوسطة في سلسلة شهادات، فإنك تثبت حوزتك للإذن بإنشاء شهادات طرفية للأجهزة التي ستُسجّل كجزء من مجموعة التسجيل تلك. لهذا السبب، يجب أن تكون الشهادة الجذر أو الشهادة المتوسطة المكونة في مجموعة تسجيل إما شهادة تم التحقق منها أو يجب أن تشمر عن شهادة تم التحقق منها في سلسلة الشهادات التي يقدمها الجهاز عند مصادقته مع الخدمة. لمعرفة المزيد حول شهادة شهادة X.509، راجع شهادات X.509.

المتطلبات الأساسية

قبل أن تبدأ الخطوات الواردة في هذه المقالة، يجب إعداد المتطلبات الأساسية التالية:

  • مثيل DPS تم إنشاؤه في اشتراك Azure الخاص بك.
  • ملف شهادة .cer أو .pem.

التحقق التلقائي من المرجع المصدق المتوسط أو الجذر من خلال التصديق الذاتي

إذا كنت تستخدم مرجعا مصدقا وسيطا أو جذريا تثق به وتعرف أن لديك ملكية كاملة للشهادة، يمكنك أن تشهد ذاتيا على أنك قد تحققت من الشهادة.

لإضافة شهادة تم التحقق منها تلقائيا، اتبع الخطوات التالية:

  1. في مدخل Microsoft Azure، انتقل إلى خدمة التزويد وحدد Certificates من القائمة اليسرى.

  2. حدد إضافة لإضافة شهادة جديدة.

  3. أدخل اسم عرض مألوف لشهادتك.

  4. استعرض ملف .cer أو .pem الذي يمثل الجزء العام من شهادة X.509. انقر فوق تحميل.

  5. حدد المربع بجوار تعيين حالة الشهادة إلى تم التحقق منه عند التحميل.

    لقطة شاشة تعرض تحميل شهادة وإعداد الحالة إلى تم التحقق منه.

  6. حدد حفظ.

  7. تظهر شهادتك في علامة تبويب الشهادة بحالة تم التحقق منها.

    لقطة شاشة تعرض الشهادة التي تم التحقق منها بعد التحميل.

التحقق اليدوي من المرجع المصدق المتوسط أو الجذر

يوصى بالتحقق التلقائي عند تحميل شهادات CA وسيطة أو جذر جديدة إلى DPS. ومع ذلك، لا يزال بإمكانك إجراء إثبات الحيازة إذا كان ذلك منطقيا لسيناريو IoT الخاص بك.

ينطوي إثبات الملكية على الخطوات التالية:

  1. احصل على رمز تحقق فريد تم إنشاؤه من خلال خدمة التزويد لشهادة X.509 للمرجع المصدق. بإمكانك إجراء ذلك من مدخل Microsoft Azure.
  2. إنشاء شهادة التحقق X.509 برمز التحقق كموضوع لها وتوقيع الشهادة من خلال المفتاح الخاص المقترن بشهادة المرجع المصدق X.509 الخاص بك.
  3. حمّل شهادة التحقق المُوقّعة إلى الخدمة. تحقق الخدمة من صحة شهادة التحقق باستخدام الجزء العام من شهادة المرجع المصدق للتحقق منها، مما يثبت أنك تحوز المفتاح الخاص لشهادة المرجع المصدق.

تسجيل الجزء العام من الشهادة X.509 والحصول على رمز التحقق

لتسجيل شهادة CA مع خدمة التزويد الخاصة بك والحصول على رمز التحقق الذي يمكنك استخدامه أثناء إثبات الحيازة، اتبع الخطوات التالية.

  1. في مدخل Microsoft Azure، انتقل إلى خدمة التزويد وافتح الشهادات من القائمة اليسرى.

  2. حدد إضافة لإضافة شهادة جديدة.

  3. أدخل اسم عرض مألوفا للشهادة في حقل اسم الشهادة.

  4. حدد أيقونة المجلد، ثم استعرض للوصول إلى ملف .cer أو .pem الذي يمثل الجزء العام من شهادة X.509. حدد فتح.

  5. بمجرد تلقي إعلام بأن الشهادة قد تم تحميلها بنجاح، حدد حفظ.

    لقطة شاشة تعرض تحميل شهادة دون التحقق التلقائي.

    ستظهر شهادتك في قائمة مستكشف الشهادات. لاحظ أن حالة هذه الشهادة غير مصدقة.

  6. حدد الشهادة التي أضفتها في الخطوة السابقة لفتح تفاصيلها.

  7. في تفاصيل الشهادة، لاحظ أن هناك حقل رمز تحقق فارغا. حدد الزر إنشاء رمز التحقق.

    لقطة شاشة تظهر إنشاء رمز تحقق لإثبات الحيازة.

  8. تنشئ خدمة التوفير رمز التحقق الذي يمكنك استخدامه للتحقق من صحة ملكية الشهادة. انسخ التعليمات البرمجية إلى الحافظة.

التوقيع رقميا على رمز التحقّق لإنشاء شهادة تحقق

الآن، تحتاج إلى توقيع رمز التحقق من DPS باستخدام المفتاح الخاص المقترن بشهادة المرجع المصدق X.509، والتي تنشئ توقيعا. تعرف هذه الخطوة باسم إثبات الحيازة وتؤدي إلى شهادة تحقق موقعة.

توفر Microsoft أدوات وعينات يمكن أن تساعدك في إنشاء شهادة تحقق موقّعة:

  • يوفر Azure IoT Hub C SDK البرامج النصية PowerShell (Windows) وBash (Linux) لمساعدتك على إنشاء شهادات CA وشهادات طرفية للتطوير وإجراء إثبات الحيازة باستخدام رمز التحقق. يمكنك تنزيل الملفات ذات الصلة بالنظام الخاص بك إلى مجلد عمل واتباع الإرشادات الواردة في قراءة شهادات المرجع المصدق الإداري لإجراء إثبات الحيازة على شهادة CA.
  • يحتوي Azure IoT Hub C# SDK على عينة التحقق من شهادة المجموعة، والتي يمكنك استخدامها لإجراء إثبات الحيازة.

تعتمد البرامج النصية PowerShell وBash المتوفرة في الوثائق وSDKs على OpenSSL. يمكنك أيضا استخدام OpenSSL أو أدوات أخرى تابعة لجهة خارجية لمساعدتك في إثبات الملكية. للحصول على مثال باستخدام الأدوات المتوفرة مع SDKs، راجع إنشاء سلسلة شهادات X.509.

حمّل شهادة التحقق الموقّعة

قم بتحميل التوقيع الناتج كشهادة تحقق إلى خدمة التزويد في مدخل Microsoft Azure.

  1. في تفاصيل الشهادة على مدخل Microsoft Azure، حيث نسخت رمز التحقق من، حدد رمز المجلد بجوار حقل ملف شهادة التحقق .pem أو .cer. استعرض للوصول إلى شهادة التحقق الموقعة من النظام وحدد فتح.

  2. بمجرد تحميل الشهادة بنجاح، حدد Verify. تتغير حالة الشهادة إلى تم التحقق منها في قائمة الشهادات. حدد تحديث إذا لم يتم تحديثه تلقائيا.

الخطوات التالية