Konfigurieren von ZS-Mandantenzertifikaten für Clouddienste
Wichtig
Dies ist die Dokumentation zu Azure Sphere (Legacy). Azure Sphere (Legacy) wird am 27. September 2027 eingestellt, und Benutzer müssen bis zu diesem Zeitpunkt zu Azure Sphere (integriert) migrieren. Verwenden Sie die Versionsauswahl oberhalb des Inhaltsverzeichniss, um die Dokumentation zu Azure Sphere (Integriert) anzuzeigen.
Ein Mandantenzertifizierungszertifikat wird vom Azure Sphere Security Service ausgestellt, wenn ein Mandant erstellt wird. Jedes Mandantenzertifizierungsstellenzertifikat hat eine Lebensdauer von zwei Jahren, und das Start- und Enddatum werden im Zertifikat erfasst.
Wenn das Gerät eine Verbindung mit Azure IoT Hub, Azure IoT Central oder einem Back-End-Dienst herstellt, muss der Dienst überprüfen können, ob das Gerät zu Ihrem Azure Sphere-Mandanten gehört und dass der Mandant selbst legitim ist. Um diese Authentifizierung durchzuführen, erfordert der Dienst eine gültige Zertifikatkette der Azure Sphere-Mandantenzertifizierungsstelle, die zum Signieren von Zertifikaten verwendet wird, die Geräte als Teil des täglichen Nachweises und der Authentifizierung erhalten. Weitere Informationen finden Sie unter Zertifikatverwendung mit Azure Sphere.
Wenn das aktuelle Zertifizierungsstellenzertifikat eines Mandanten bald abläuft, wird ein neues Zertifizierungsstellenzertifikat automatisch ca. 90 Tage vor Ablauf des Zertifikats ausgestellt.
Sie müssen die verwalteten Azure IoT-Dienste oder den Back-End-Dienst so konfigurieren, dass beide Mandantenzertifizierungsstellenzertifikate vertrauenswürdig sind. Wenn beide Zertifikate vertrauenswürdig sind, kann der Dienst das neue Zertifikat verwenden, sobald es gültig wird, und somit eine Unterbrechung der Kommunikation verhindern, wenn der Azure Sphere Security Service zum Verwenden des neuen Mandantenzertifizierungszertifikats wechselt.
Bereitstellen eines Mandantenzertifizierungsstellenzertifikats für Clouddienste
Der Prozess der Konfiguration eines Clouddiensts, um dem Zertifikat der Mandantenzertifizierungsstelle zu vertrauen, umfasst Folgendes:
- Schritt 1: Auflisten und Identifizieren von Mandantenzertifizierungsstellenzertifikaten
- Schritt 2: Herunterladen des Mandantenzertifizierungsstellenzertifikats
- Schritt 3: Hochladen des Zertifizierungsstellenzertifikats des Mandanten und Generieren des Überprüfungscodes
- Schritt 4: Überprüfen der Mandantenidentität
Schritt 1: Auflisten und Identifizieren von Mandantenzertifizierungsstellenzertifikaten
Führen Sie azsphere ca-certificate list aus, um eine Liste der verfügbaren Zertifikate für den aktuellen Mandanten abzurufen.
Wenn das aktuelle Zertifikat für die Verlängerung fällig ist, generiert der Azure Sphere Security Service automatisch das nächste Zertifikat, das zusammen mit dem aktuellen (aktiven) Zertifikat angezeigt wird.
In der Liste der Zertifikate wird der Status des aktuellen Mandantenzertifizierungsstellenzertifikats als "Aktiv" angezeigt, und der Status der anderen Zertifikate wird als "Inaktiv" angezeigt.
Die folgende Tabelle enthält Details zum Status der Zertifikate:
| Status | BESCHREIBUNG |
|---|---|
| Aktiv | Das aktuelle Mandantenzertifizierungsstellenzertifikat. |
| Inaktiv | Der Status kann eine der folgenden Werte bedeuten: Neues Mandantenzertifizierungsstellenzertifikat: Ein neues Mandantenzertifizierungsstellenzertifikat wird ausgestellt, wenn das aktuelle Mandantenzertifizierungsstellenzertifikat dem Ablauf nahe kommt. Der Status des neuen Zertifikats wird ca. 45 Tage lang als inaktiv angezeigt, nachdem es ausgestellt wurde. Eingestelltes Zertifikat: Der Gültigkeitszeitraum für das aktuelle aktive Zertifikat und das ablaufende Zertifikat überlappen sich, um Unterbrechungen oder Verbindungsverluste zu vermeiden, wenn die Zertifikate gewechselt werden. Wenn sich der Status des neuen Zertifikats in "aktiv" ändert, ändert sich der Status des alten Zertifikats in "inaktiv". Abgelaufenes Zertifikat: Der Status des Zertifikats, das abgelaufen ist. |
| Widerrufen | Ein nicht vertrauenswürdiges Zertifikat. |
Schritt 2: Herunterladen des Mandantenzertifizierungsstellenzertifikats
Führen Sie azsphere ca-certificate download aus, um das erforderliche Zertifikat als ".cer"-Datei herunterzuladen.
Beispiel zum Angeben des Indexes zum Herunterladen eines erforderlichen Zertifikats:
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
Beispiel zum Angeben des Fingerabdrucks zum Herunterladen eines erforderlichen Zertifikats:
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
Hinweis
Stellen Sie sicher, dass Sie entweder das --index erforderliche Zertifikat bereitstellen oder --thumbprint herunterladen möchten. Wenn Index oder Fingerabdruck nicht angegeben wird, wird das aktive Zertifikat standardmäßig heruntergeladen.
Schritt 3: Hochladen des Zertifizierungsstellenzertifikats des Mandanten und Generieren des Überprüfungscodes
Laden Sie für verwaltete Azure IoT-Dienste das Zertifizierungsstellenzertifikat des Mandanten in Azure IoT Hub hoch.
oder Azure IoT Central.
Wenn Sie einen Back-End-Dienst verwenden, wenden Sie sich an die vom Dienst bereitgestellte Dokumentation.
Schritt 4: Überprüfen der Mandantenidentität
Bei verwalteten Azure IoT-Diensten ist die Registrierung ein zweistufiger Prozess. Der erste Schritt besteht darin, das neue Mandantenzertifizierungsstellenzertifikat in Azure IoT hochzuladen. Das hochgeladene Mandantenzertifizierungsstellenzertifikat muss überprüft werden, um den Besitz des Azure Sphere-Mandanten zu bestätigen. Im nächsten Schritt stellt der Azure Sphere Security Service ein Nachweiszertifikat bereit. Sobald das Zertifikat für den Besitznachweis in Azure IoT hochgeladen wurde, ist der Zertifikatregistrierungsprozess abgeschlossen. Weitere Informationen zum Überprüfen des Mandantenzertifizierungszertifikats finden Sie unter Einrichten eines Azure IoT Hub oder Einrichten von Azure IoT Central.
Wenn Sie einen Back-End-Dienst verwenden, wenden Sie sich an die vom Dienst bereitgestellte Dokumentation. Weitere Informationen finden Sie unter Einrichten eines Azure IoT Hub oder Einrichten eines Azure IoT Hub für Azure Sphere mit dem Gerätebereitstellungsdienst.
Zeitachse für die Verlängerung des Zertifikats der Mandantenzertifizierungsstelle
Wenn ein Mandantenzertifizierungsstellenzertifikat bald abläuft, wird das Verlängerungsverfahren automatisch vom Azure Sphere Security Service initiiert.
Die folgende Abbildung zeigt die Phasen der Zertifikatverlängerung:
| Legende | Phase |
|---|---|
| 1 | Das aktuelle Zertifikat der Mandantenzertifizierungsstelle (Certificate A) ist 2 Jahre gültig und ist als aktiv gekennzeichnet. |
| 2 | Der Verlängerungsprozess beginnt ungefähr 90 Tage vor Ablauf des Zertifikats A. Ein neues Mandantenzertifizierungsstellenzertifikat (Certificate B) wird erstellt und als inaktiv gekennzeichnet. Zu diesem Zeitpunkt steht Zertifikat B zum Download zur Verfügung, aber Zertifikat A bleibt für ca. 45 Tage als aktives Zertifikat erhalten. Sie müssen innerhalb des Zeitraums von 45 Tagen Maßnahmen ergreifen, damit Ihre Geräte sich weiterhin ordnungsgemäß bei Ihren Clouddiensten authentifizieren. |
| 3 | Zertifikat B wird ungefähr 45 Tage nach der Ausstellung zum aktiven Zertifikat. In dieser Phase wird Zertifikat A als inaktiv markiert, und Zertifikat B wird zum aktiven Zertifikat. Zertifikat B wird verwendet, um Ihre Geräte zu erkennen und zu authentifizieren. Stellen Sie sicher, dass Ihre Clouddienste sowohl mit Zertifikat A als auch mit Zertifikat B für den richtigen Vorgang konfiguriert sind. |
| 4 | Zertifikat A ist abgelaufen. Sie können jetzt Zertifikat A aus Ihren Clouddiensten entfernen. |
| 5 | Zertifikat B ist für 2 Jahre gültig. |
Tipp
Die Datumsangaben im Bild werden nur zur Veranschaulichung bereitgestellt und variieren vom Kunden zum Kunden.
Möglicherweise müssen Sie Zertifikate rollieren, um den Ablauf von Zertifikaten zu verarbeiten. Weitere Informationen zum Rollieren von Zertifikaten finden Sie in den verwalteten Azure IoT-Diensten oder in der Dokumentation, die von Ihrem bevorzugten Back-End-Dienst bereitgestellt wird.