Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Správa certifikátů je volitelná funkce služby Azure Device Registry (ADR), která umožňuje vydávat a spravovat certifikáty X.509 pro vaše zařízení IoT. Konfiguruje vyhrazenou cloudovou infrastrukturu veřejných klíčů (PKI) pro každý obor názvů ADR, aniž by vyžadovala místní servery, konektory nebo hardware. Spravuje certifikát vydání a obnovení pro všechna IoT zařízení, která byla zřízena v daném ADR oboru názvů. Tyto certifikáty X.509 se dají použít pro vaše zařízení IoT k ověření ve službě IoT Hub.
Použití správy certifikátů vyžaduje, abyste také používali IoT Hub, Azure Device Registry (ADR) a službu Device Provisioning Service (DPS). Správa certifikátů je aktuálně ve verzi Public Preview.
Důležité
Azure IoT Hub s integrací ADR a správou certifikátů X.509 založené na Microsoftu je ve verzi Public Preview a nedoporučuje se pro produkční úlohy. Další informace najdete v nejčastějších dotazech: Co je nového ve službě IoT Hub?.
Přehled funkcí
Správa certifikátů pro zařízení IoT Hub ve verzi Preview podporuje následující funkce:
| Vlastnost | Description |
|---|---|
| Vytvoření několika certifikačních autorit (CA) v rámci ADR namespace | Vytvořte dvouvrstvou hierarchii infrastruktury veřejných klíčů s kořenovou a vydávající certifikační autoritou v cloudu. |
| Vytvoření jedinečné kořenové certifikační autority (CA) pro každý obor názvů ADR | V oboru názvů ADR vytvořte až jednu kořenovou certifikační autoritu, označovanou také jako oprávnění. |
| Vytvořte až jednu vydávající CA pro každou politiku | V oboru názvů ADR vytvořte až jednu vydávající certifikační autoritu (CA), která je také známá jako zásady, a přizpůsobte období platnosti vydaných certifikátů. |
| Podpisové a šifrovací algoritmy | Správa certifikátů podporuje ECC (ECDSA) a křivku NIST P-384 |
| Hashovací algoritmy | Správa certifikátů podporuje SHA-384 |
| Klíče HSM (podepisování a šifrování) | Klíče se zřizují pomocí modulu zabezpečení spravovaného hardwaru Azure (Azure Managed HSM). Certifikační autority vytvořené v oboru názvů ADR automaticky používají podpisové a šifrovací klíče HSM. Azure HSM nevyžaduje žádné předplatné Azure. |
| Vystavení a obnovení certifikátu koncové entity | Certifikáty koncových entit, označované také jako listové certifikáty nebo certifikáty zařízení, jsou podepsané vydávající certifikační autoritou a doručovány do zařízení. Listové certifikáty může také prodloužit vydávající certifikační autorita. |
| Zřizování listových certifikátů ve velkém měřítku | Zásady definované v oboru názvů ADR jsou přímo propojené s registrací služby Device Provisioning, která se použije v době zřizování certifikátů. |
| Synchronizace certifikátů certifikační autority se službou IoT Hubs | Zásady definované v oboru názvů ADR se budou synchronizovat s příslušnou službou IoT Hub. Tím umožníte službě IoT Hub důvěřovat všem zařízením, která se ověřují pomocí certifikátu koncové entity. |
Onboarding versus provozní přihlašovací údaje
Správa certifikátů v současné době podporuje vystavování a obnovování provozních certifikátů pro koncové entity.
Připojování přihlašovacích údajů: Pokud chcete používat správu certifikátů, musí být zařízení zřízená prostřednictvím služby Device Provisioning Service (DPS). Aby bylo možné zařízení zřídit pomocí DPS, musí se připojit a ověřit pomocí některého z podporovaných typů přihlašovacích údajů pro onboarding, což zahrnuje certifikáty X.509 (získané od třetí strany CA), symetrické klíče a TPM. Tyto přihlašovací údaje se obvykle instalují do zařízení před odesláním.
Provozní certifikát: Provozní certifikát koncové entity je typ provozních přihlašovacích údajů. Tento certifikát se pro zařízení vydává vydávající certifikační autoritou, jakmile je zařízení zřízeno službou DPS. Na rozdíl od přihlašovacích údajů pro onboarding jsou tyto certifikáty obvykle krátkodobé a obnovované často nebo podle potřeby během provozu zařízení. Zařízení může použít svůj provozní řetěz certifikátů k ověření přímo ve službě IoT Hub a provádět typické operace. Správa certifikátů v současnosti poskytuje pouze provozní certifikát.
Jak funguje správa certifikátů
Správa certifikátů se skládá z několika integrovaných komponent, které spolupracují a zjednoduší nasazení infrastruktury veřejných klíčů (PKI) napříč zařízeními IoT. Pokud chcete používat správu certifikátů, musíte nastavit:
- IoT Hub (Preview)
- Obor názvů služby Azure Device Registry (ADR)
- Instance služby nasazování zařízení (DPS)
Integrace služby IoT Hub (verze Preview)
Služby IoT Hub, které jsou propojené s oborem názvů ADR, můžou využívat možnosti správy certifikátů. Certifikáty CA můžete synchronizovat z oboru názvů ADR do všech vašich služeb IoT Hub, aby každý IoT Hub mohl autentizovat jakékoli zařízení IoT, které se pokusí připojit s vydaným řetězcem certifikátů.
Integrace služby Azure Device Registry
Správa certifikátů používá ke správě certifikátů certifikační autority službu Azure Device Registry (ADR ). Integruje se se službou IoT Hub a službou Device Provisioning Service (DPS), která poskytuje bezproblémové prostředí pro správu identit zařízení a certifikátů certifikační autority.
Následující obrázek znázorňuje hierarchii certifikátů X.509 používanou k ověřování zařízení IoT v Azure IoT Hubu prostřednictvím oboru názvů ADR.
- Každý obor názvů ADR, který má povolenou správu certifikátů, bude mít jedinečné přihlašovací údaje (kořenová certifikační autorita) spravované Microsoftem. Tento doklad představuje nejvyšší certifikační autoritu v řetězci.
- Každá zásada v oboru názvů ADR definuje jednu vydávající certifikační autoritu (ICA), která je podepsaná kořenovou certifikační autoritou. Každá zásada může sdílet pouze certifikát certifikační autority se službou Hubs propojenou s oborem názvů. A každá politika může vydávat pouze listové certifikáty pro zařízení zaregistrovaná v tomto jmenném prostoru. Pro každou zásadu můžete nakonfigurovat dobu platnosti vydaných certifikátů. Minimální doba platnosti je 1 den a maximální doba platnosti je 90 dnů.
- Po vytvoření přihlašovacích údajů a zásad můžete tyto certifikáty certifikační autority synchronizovat přímo se službou IoT Hub. IoT Hub teď bude moct ověřovat zařízení, která představují tento řetěz certifikátů.
Integrace služby Device Provisioning
Aby zařízení dostávala listové certifikáty, musí být zařízení zřízená prostřednictvím služby Device Provisioning Service (DPS). Potřebujete nakonfigurovat individuální nebo skupinovou registraci, která zahrnuje definování:
- Konkrétní typ přihlašovacích údajů pro danou registraci. Podporované metody jsou čip TPM (Trusted Platform Module), symetrické klíče nebo certifikáty X.509.
- Konkrétní politika, která byla vytvořena v rámci vašeho ADR jmenného prostoru. Tato zásada podepisuje a vydává koncové certifikáty pro zařízení registrovaná touto registrací.
Služba Device Provisioning teď během zřizování přijímá žádost o podepsání certifikátu (CSR). Csr se odešle do DPS a infrastruktury veřejných klíčů, která požadavek ověří a předá ho příslušné vydávající certifikační autoritě (ICA) k vydání podepsaného certifikátu X.509.
Správa certifikátů v současné době podporuje během zřizování následující protokoly: HTTP a MQTT. Další informace o žádosti o podepsání certifikátu DPS najdete v vzorcích SDK zařízení DPS.
Poznámka:
I když je pro každý z vašich oborů názvů ADR nakonfigurovaná PKI, není vystavena jako externí prostředek Azure.
Kompletní zřizování zařízení pomocí správy certifikátů (prostředí runtime)
Následující diagram znázorňuje kompletní proces zřizování zařízení pomocí správy certifikátů:
- Zařízení IoT se připojí ke koncovému bodu DPS a ověří se ve službě pomocí předem nakonfigurovaných přihlašovacích údajů pro onboarding. V rámci tohoto registračního hovoru zařízení odešle žádost o podepsání certifikátu (CSR). CSR obsahuje informace o zařízení, jako je jeho veřejný klíč a další identifikační údaje.
- Služba DPS přiřadí zařízení IoT k IoT Hubu na základě propojených center v rámci registrace DPS.
- Identita zařízení se vytvoří ve službě IoT Hub a zaregistruje se do příslušného oboru názvů ADR.
- Služba DPS používá CSR k vyžádání provozního certifikátu z PKI. PKI ověří CSR a předá ho politice (vydávající certifikační autoritě) propojené se zápisem DPS.
- Zásada podepíše provozní certifikát a vydá ho.
- Služba DPS odešle provozní certifikát a podrobnosti o připojení služby IoT Hub zpět do zařízení.
- Zařízení se teď může ověřit ve službě IoT Hub odesláním úplného vydávajícího řetězu certifikátů do IoT Hubu.
Obnovení listových certifikátů
Koncové certifikáty typu listová entita je možné obnovit pomocí stejného mechanismu jako při prvním vystavení certifikátu. Když zařízení zjistí, že je potřeba obnovit provozní certifikát, musí zahájit další volání registrace do DPS a odeslat novou žádost o podepsání certifikátu (CSR). Opět se CSR odešle příslušnému vydávajícímu certifikačnímu úřadu (ICA) pro žádost o obnovení listového certifikátu. Po schválení se obnovený provozní certifikát vrátí do zařízení, které se použije pro zabezpečenou komunikaci.
Každé zařízení zodpovídá za monitorování data vypršení platnosti jeho provozního certifikátu a zahajování obnovení certifikátu v případě potřeby. Osvědčeným postupem je prodloužit platnost certifikátu před datem vypršení platnosti, aby se zajistila nepřerušovaná komunikace. Provozní certifikát obsahuje data Valid from a Valid until, která může zařízení monitorovat, aby určilo, kdy je nutné obnovení. Během této verze Preview doporučujeme, aby zařízení používala vlastnosti hlášené dvojčetem zařízení k hlášení dat vystavení certifikátu a vypršení platnosti certifikátu. Tyto vlastnosti se pak dají použít k pozorovatelnosti, jako je vytváření řídicích panelů.
Zakázání zařízení
Správa certifikátů nepodporuje odvolání certifikátů během verze Public Preview. Pokud chcete odebrat připojení zařízení, které používá provozní certifikát X.509, můžete zařízení v IoT Hubu zakázat. Pokud chcete zařízení zakázat, přečtěte si téma Zakázání nebo odstranění zařízení.
Omezení a kvóty
Nejnovější informace o limitech a kvótách pro správu certifikátů pomocí služby IoT Hub najdete v tématu Limity a kvóty služby Azure.