Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Správa certifikátů ve službě Azure IoT Hub je navržená tak, aby zjednodušila správu certifikátů X.509 pro zařízení IoT. Tento článek představuje základní koncepty související se správou certifikátů a ověřováním na základě certifikátů ve službě IoT Hub. Další informace najdete v tématu Co je správa certifikátů (Preview)?.
Důležité
Azure IoT Hub s integrací ADR a správou certifikátů X.509 založené na Microsoftu je ve verzi Public Preview a nedoporučuje se pro produkční úlohy. Další informace najdete v nejčastějších dotazech: Co je nového ve službě IoT Hub?.
Infrastruktura veřejných klíčů (PKI)
Infrastruktura veřejných klíčů je systém, který používá digitální certifikáty k ověřování a šifrování dat mezi zařízeními a službami. Certifikáty PKI jsou nezbytné pro zabezpečení různých scénářů, jako je webová identita a identita zařízení. V nastavení IoT může být správa certifikátů PKI náročná, nákladná a složitá, zejména pro organizace, které mají velký počet zařízení a striktní požadavky na zabezpečení. Správu certifikátů můžete použít k vylepšení zabezpečení zařízení a zrychlení digitální transformace na plně spravovanou cloudovou službu PKI.
Microsoft vs. infrastruktura veřejných klíčů třetích stran
I když IoT Hub podporuje dva typy poskytovatelů infrastruktury veřejných klíčů pro ověřování certifikátů X.509, správa certifikátů v současné době podporuje pouze pkI spravovanou microsoftem (první stranou). Informace o používání poskytovatelů infrastruktury veřejných klíčů třetích stran najdete v tématu Ověřování zařízení pomocí certifikátů certifikační autority X.509.
| Zprostředkovatel infrastruktury veřejných klíčů | Požadovaná integrace | Požadovaná služba Azure Device Registry | Vyžaduje se služba Device Provisioning |
|---|---|---|---|
| Infrastruktura veřejných klíčů spravovaná Microsoftem | Ne. Nakonfigurujte certifikační autority přímo ve službě Azure Device Registry. | Ano | Ano |
| Infrastruktura veřejných klíčů třetích stran (DigiCert, GlobalSign atd.) | Ano. Vyžaduje se ruční integrace. | Ne | Ne |
Certifikáty X.509
Certifikát X.509 je digitální dokument, který sváže veřejný klíč s identitou entity, jako je zařízení, uživatel nebo služba. Ověřování pomocí certifikátů poskytuje několik výhod oproti méně zabezpečeným metodám:
- Certifikáty používají kryptografii veřejného/privátního klíče. Veřejný klíč se sdílí volně, zatímco privátní klíč zůstává na zařízení a může se nacházet uvnitř čipů TPM (Trusted Platform Modules) nebo zabezpečených prvků. Tím zabráníte útočníkům zosobnění zařízení.
- Certifikáty se vydávají a ověřují prostřednictvím hierarchie certifikační autority (CA), což organizacím umožňuje důvěřovat milionům zařízení prostřednictvím jedné certifikační autority bez správy tajných kódů pro každé zařízení.
- Zařízení se ověřují v cloudu, cloud se ověřuje u zařízení, což umožňuje vzájemné ověřování TLS (Transport Layer Security).
- Certifikáty mají definovanou dobu platnosti a je možné je obnovit nebo odvolat centrálně.
Existují dvě obecné kategorie certifikátů X.509:
Certifikáty certifikační autority: Tyto certifikáty vydává certifikační autorita (CA) a používáte je k podepisování dalších certifikátů. Certifikáty certifikační autority zahrnují kořenové a zprostředkující certifikáty.
Kořenová certifikační autorita: Kořenový certifikát je certifikát podepsaný svým držitelem nejvyšší úrovně od důvěryhodné certifikační autority, který se dá použít k podepisování zprostředkujících certifikačních autorit.
Zprostředkující nebo vydávající certifikační autorita: Zprostředkující certifikát je certifikát certifikační autority podepsaný důvěryhodným kořenovým certifikátem. Mezilehlé certifikáty mohou být také vydávány certifikačními autoritami, pokud se používají k podepisování certifikátů koncových entit.
Poznámka:
Může být užitečné použít různé zprostředkující certifikáty pro různé sady nebo skupiny zařízení, jako jsou zařízení od různých výrobců nebo různých modelů zařízení. Důvodem použití různých certifikátů je snížit celkový dopad na zabezpečení v případě ohrožení zabezpečení některého konkrétního certifikátu.
Certifikáty koncových entit: Tyto certifikáty, které mohou být jednotlivé nebo listové certifikáty zařízení, jsou podepsané certifikáty certifikační autority a jsou vystaveny uživatelům, serverům nebo zařízením.
Žádost o podepsání certifikátu
Žádost o podepsání certifikátu (CSR) je digitálně podepsaná zpráva, že klient, například zařízení IoT, generuje žádost o podepsaný certifikát od certifikační autority (CA). Csr zahrnuje veřejný klíč zařízení a identifikaci informací, jako je jeho ID registrace, a je podepsáno privátním klíčem zařízení, aby bylo možné prokázat vlastnictví klíče.
CSR musí dodržovat požadavky zásad infrastruktury veřejných klíčů, včetně schválených algoritmů klíčů, velikostí klíčů a formátů polí předmětu. Když zařízení vygeneruje nový privátní klíč, vygeneruje také nový CSR. Jakmile certifikační autorita ověří a schválí CSR, vydá certifikát X.509, který vytvoří vazbu identity zařízení k jeho veřejnému klíči. Tento proces zajišťuje, že důvěryhodné certifikáty obdrží jenom zařízení, která mohou prokázat vlastnictví svého privátního klíče.
Požadavky na podepsání certifikátu ve službě Device Provisioning
Při správě certifikátů zařízení odesílají žádosti o podepsání certifikátu během zřizování nebo opětovného zřizování. Služba Device Provisioning Service (DPS) očekává, že CSR (Certificate Signing Requests) jsou ve formátu DER kódovaném ve formátu Base64, následující specifikaci PKCS #10. Odeslání vylučuje hlavičky a zápatí e-mailu s rozšířenou ochranou osobních údajů (PEM). Pole běžného názvu (CN) v CSR musí přesně odpovídat ID registrace zařízení.
Ověřování vs. autorizace
Ověřování znamená prokázání identity ve službě IoT Hub. Ověřuje, že uživatel nebo zařízení je tím, za koho se vydává. Tento proces se často nazývá AuthN.
Autorizace znamená potvrzení, k čemu má ověřený uživatel nebo zařízení přístup nebo co může dělat ve službě IoT Hub. Definuje oprávnění pro prostředky a příkazy. Autorizace se někdy nazývá AuthZ.
Certifikáty X.509 se používají jenom k ověřování ve službě IoT Hub, nikoli k autorizaci. Na rozdíl od ID Microsoft Entra a sdílených přístupových podpisů nemůžete přizpůsobit oprávnění pomocí certifikátů X.509.