Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Zertifikatverwaltung in Azure IoT Hub wurde entwickelt, um die Verwaltung von X.509-Zertifikaten für IoT-Geräte zu vereinfachen. In diesem Artikel werden die grundlegenden Konzepte für die Zertifikatverwaltung und die zertifikatbasierte Authentifizierung im IoT Hub vorgestellt. Weitere Informationen finden Sie unter Was ist die Zertifikatverwaltung (Vorschau)?.
Von Bedeutung
Azure IoT Hub mit ADR-Integration und microsoft-gesicherter X.509-Zertifikatverwaltung befindet sich in der öffentlichen Vorschau und wird für Produktionsworkloads nicht empfohlen. Weitere Informationen finden Sie in den häufig gestellten Fragen: Was ist neu in IoT Hub?.
Public Key-Infrastruktur (PKI)
PKI ist ein System, das digitale Zertifikate zur Authentifizierung und Verschlüsselung von Daten zwischen Geräten und Diensten einsetzt. PKI-Zertifikate sind für die Sicherung verschiedener Szenarien, z. B. Web- und Geräteidentität, unerlässlich. In IoT-Einstellungen kann die Verwaltung von PKI-Zertifikaten schwierig, kostspielig und komplex sein, insbesondere für Organisationen mit einer großen Anzahl von Geräten und strengen Sicherheitsanforderungen. Sie können die Zertifikatverwaltung verwenden, um die Sicherheit Ihrer Geräte zu verbessern und ihre digitale Transformation in einen vollständig verwalteten Cloud-PKI-Dienst zu beschleunigen.
Microsoft vs. PKI von Drittanbietern
Während IoT Hub zwei Arten von PKI-Anbietern für die X.509-Zertifikatauthentifizierung unterstützt, unterstützt die Zertifikatverwaltung derzeit nur microsoftverwaltete PKI (Erstanbieter). Informationen zur Verwendung von PKI-Drittanbietern finden Sie unter Authentifizieren von Geräten mit X.509-Zertifizierungsstellenzertifikaten.
| PKI-Anbieter | Integration erforderlich | Azure Device Registry erforderlich | Gerätebereitstellungsdienst erforderlich |
|---|---|---|---|
| Von Microsoft verwaltete PKI | Nein. Konfigurieren Sie Zertifizierungsstellen direkt in der Azure-Geräteregistrierung. | Yes | Yes |
| PKI von Drittanbietern (DigiCert, GlobalSign usw.) | Ja. Manuelle Integration erforderlich. | Nein | Nein |
X.509-Zertifikate
Ein X.509-Zertifikat ist ein digitales Dokument, das einen öffentlichen Schlüssel an die Identität einer Entität bindet, z. B. ein Gerät, ein Benutzer oder einen Dienst. Zertifikatbasierte Authentifizierung bietet mehrere Vorteile gegenüber weniger sicheren Methoden:
- Zertifikate verwenden Kryptografie mit öffentlichem/privatem Schlüssel. Der öffentliche Schlüssel wird frei freigegeben, während der private Schlüssel auf dem Gerät verbleibt und sich innerhalb von Trusted Platform Modules (TPMs) oder sicheren Elementen befinden kann. Dadurch wird verhindert, dass Angreifer die Identität des Geräts imitieren.
- Zertifikate werden über eine Zertifizierungsstelle-Hierarchie ausgestellt und überprüft, sodass Organisationen Millionen von Geräten über eine einzelne Zertifizierungsstelle vertrauen können, ohne geheime Schlüssel für jedes Gerät zu verwalten.
- Geräte authentifizieren sich bei der Cloud, und die Cloud authentifiziert sich beim Gerät, wodurch die tls-Authentifizierung (Mutual Transport Layer Security) ermöglicht wird.
- Zertifikate haben Gültigkeitsfristen definiert und können zentral erneuert oder widerrufen werden.
Es gibt zwei allgemeine Kategorien von X.509-Zertifikaten:
Zertifizierungsstellenzertifikate: Diese Zertifikate werden von einer Zertifizierungsstelle ausgestellt, und Sie verwenden sie, um andere Zertifikate zu signieren. CA-Zertifikate umfassen Stamm- und Zwischenzertifikate.
Stammzertifizierungsstelle: Ein Stammzertifikat ist ein selbstsigniertes Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle, das zum Signieren von zwischengeschalteten Zertifizierungsstellen verwendet werden kann.
Zwischen- oder ausstellende CA: Ein Zwischenzertifikat ist ein CA-Zertifikat, das von einem vertrauenswürdigen Stammzertifikat signiert ist. Zwischenzertifikate können ebenfalls von Zertifizierungsstellen ausgestellt werden, sofern sie zur Signierung von Endentitätszertifikaten verwendet werden.
Hinweis
Es kann hilfreich sein, unterschiedliche Zwischenzertifikate für verschiedene Gerätegruppen zu verwenden, z. B. Geräte von unterschiedlichen Herstellern oder unterschiedliche Gerätemodelle. Der Grund für die Verwendung verschiedener Zertifikate besteht darin, die Gesamtsicherheitswirkungen zu verringern, wenn ein bestimmtes Zertifikat kompromittiert wird.
End-Entity-Zertifikate: Diese Zertifikate, die entweder Einzel- oder Gerätezertifikate sein können, werden von CA-Zertifikaten signiert und an Benutzer, Server oder Geräte ausgestellt.
Zertifikatsignaturanforderung
Eine Zertifikatsignierungsanforderung (Certificate Signing Request, CSR) ist eine digital signierte Nachricht, die ein Client, z. B. ein IoT-Gerät, generiert, um ein signiertes Zertifikat von einer Zertifizierungsstelle anzufordern. Die CSR umfasst den öffentlichen Schlüssel des Geräts und die Identifizierung von Informationen, z. B. die Registrierungs-ID, und wird mit dem privaten Schlüssel des Geräts signiert, um den Besitz des Schlüssels zu bestätigen.
Eine CSR muss den Richtlinienanforderungen der PKI entsprechen, einschließlich genehmigter Schlüsselalgorithmen, Schlüsselgrößen und Themenfeldformaten. Wenn ein Gerät einen neuen privaten Schlüssel generiert, generiert es auch eine neue CSR. Nachdem die Zertifizierungsstelle die CSR überprüft und genehmigt hat, gibt sie ein X.509-Zertifikat aus, das die Identität des Geräts an seinen öffentlichen Schlüssel bindet. Dieser Prozess stellt sicher, dass nur Geräte, die den Besitz ihres privaten Schlüssels nachweisen können, vertrauenswürdige Zertifikate erhalten.
Anforderungen für die Zertifikatsignierungsanforderung im Gerätebereitstellungsdienst
Bei der Zertifikatverwaltung übermitteln Geräte CSRs während der Bereitstellung oder erneuten Bereitstellung. Der Device Provisioning Service (DPS) erwartet CSRs im Base64-kodierten DER-Format (Distinguished Encoding Rules), das der PKCS-Spezifikation (Public Key Cryptography Standards) #10 entspricht. Die Übermittlung schließt PEM-Kopf- und Fußzeilen (Privacy-Enhanced Mail) aus. Das Feld "Common Name" (CN) in der CSR muss exakt mit der Geräteregistrierungs-ID übereinstimmen.
Authentifizierung im Vergleich zu Autorisierung
Die Authentifizierung bedeutet, dass die Identität beim IoT Hub nachgewiesen wird. Es wird überprüft, ob ein Benutzer oder Gerät tatsächlich derjenige ist, als der er sich ausgibt. Dieser Prozess wird häufig als AuthN bezeichnet.
Autorisierung bedeutet, dass bestätigt wird, auf welche Elemente ein authentifizierter Benutzer oder Gerät im IoT Hub zugreifen kann. Sie definiert Berechtigungen für Ressourcen und Befehle. Die Autorisierung wird manchmal als AuthZ bezeichnet.
X.509-Zertifikate werden nur für die Authentifizierung im IoT Hub verwendet, nicht für die Autorisierung. Im Gegensatz zu Microsoft Entra-ID und freigegebenen Zugriffssignaturen können Sie berechtigungen nicht mit X.509-Zertifikaten anpassen.