Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Zertifikatverwaltung ist ein optionales Feature der Azure Device Registry (ADR), mit dem Sie X.509-Zertifikate für Ihre IoT-Geräte ausstellen und verwalten können. Sie konfiguriert eine dedizierte, cloudbasierte Public Key-Infrastruktur (PKI) für jeden ADR-Namespace, ohne dass lokale Server, Connectors oder Hardware erforderlich sind. Es verwaltet das Zertifikat der Ausstellung und Erneuerung für alle IoT-Geräte, die für diesen ADR-Namespace bereitgestellt wurden. Diese X.509-Zertifikate können für Ihre IoT-Geräte verwendet werden, um sich bei IoT Hub zu authentifizieren.
Für die Verwendung der Zertifikatverwaltung müssen Sie auch IoT Hub, Azure Device Registry (ADR) und Device Provisioning Service (DPS) verwenden. Die Zertifikatverwaltung befindet sich derzeit in der öffentlichen Vorschau.
Von Bedeutung
Azure IoT Hub mit ADR-Integration und microsoft-gesicherter X.509-Zertifikatverwaltung befindet sich in der öffentlichen Vorschau und wird für Produktionsworkloads nicht empfohlen. Weitere Informationen finden Sie in den häufig gestellten Fragen: Was ist neu in IoT Hub?.
Übersicht über Features
Die folgenden Features werden mit der Zertifikatverwaltung für IoT Hub-Geräte in der Vorschau unterstützt:
| Merkmal | Description |
|---|---|
| Erstellen mehrerer Zertifizierungsstellen (Ca) in einem ADR-Namespace | Erstellen Sie eine PKI-Hierarchie mit zwei Ebenen mit Stamm und ausstellende Zertifizierungsstelle in der Cloud. |
| Erstellen einer eindeutigen Stammzertifizierungsstelle (Ca) pro ADR-Namespace | Erstellen Sie bis zu 1 Root CA, die auch als Zertifikat bezeichnet wird, in Ihrem ADR-Namespace |
| Erstellen einer bis zu einer ausstellenden Zertifizierungsstelle pro Richtlinie | Erstellen Sie bis zu einer ausgebenden CA, auch als Richtlinie bekannt, in Ihrem ADR-Namespace und nehmen Sie individuelle Anpassungen der Gültigkeitsdauer für ausgestellte Zertifikate vor. |
| Signatur- und Verschlüsselungsalgorithmen | Die Zertifikatverwaltung unterstützt ECC (ECDSA) und NIST P-384 |
| Hashalgorithmen | Zertifikatverwaltung unterstützt SHA-384 |
| HSM-Schlüssel (Signieren und Verschlüsselung) | Schlüssel werden mithilfe des Azure Managed Hardware Security Module (Azure Managed HSM) bereitgestellt. In Ihrem ADR-Namespace erstellte CAs verwenden automatisch HSM-Signatur- und Verschlüsselungsschlüssel. Für Azure HSM ist kein Azure-Abonnement erforderlich. |
| Ausstellung und Verlängerung von Endnutzerzertifikaten | Endentitätszertifikate, auch als Blattzertifikate oder Gerätezertifikate bezeichnet, werden von der ausstellenden Zertifizierungsstelle signiert und an das Gerät übermittelt. Blattzertifikate können auch von der ausstellenden Zertifizierungsstelle erneuert werden. |
| Bereitstellung von Blattzertifikaten im großen Maßstab | Die in Ihrem ADR-Namespace definierten Richtlinien sind direkt mit einer Gerätebereitstellungsdienstregistrierung verknüpft, die zum Zeitpunkt der Zertifikatbereitstellung verwendet werden soll. |
| Synchronisierung von Zertifikaten der Zertifizierungsstellen mit IoT-Hubs | Die in Ihrem ADR-Namespace definierten Richtlinien werden mit dem entsprechenden IoT Hub synchronisiert. Dadurch kann IoT Hub allen Geräten vertrauen, die mit einem Endentitätszertifikat authentifiziert werden. |
Onboarding vs. Betriebsanmeldeinformationen
Heute unterstützt die Zertifikatverwaltung die Ausstellung und Erneuerung für Betriebszertifikate.
Einschreibung von Anmeldeinformationen: Um die Zertifikatverwaltung zu verwenden, müssen Geräte über den Gerätebereitstellungsdienst (Device Provisioning Service, DPS) bereitgestellt werden. Damit ein Gerät mit DPS bereitgestellt werden kann, muss es sich mit einer der unterstützten Typen von Onboarding-Anmeldeinformationen anmelden und authentifizieren, zu denen X.509-Zertifikate (von einer Drittanbieterzertifizierungsstelle bezogen), symmetrische Schlüssel und Trusted Platform Modules (TPM) gehören. Diese Anmeldeinformationen werden konventionell auf dem Gerät installiert, bevor sie ausgeliefert wird.
Betriebszertifikat: Ein Betriebs-Endentitätszertifikat ist eine Art betriebliche Anmeldeinformationen. Dieses Zertifikat wird von einer ausstellenden Zertifizierungsstelle an das Gerät ausgestellt, sobald das Gerät von DPS bereitgestellt wurde. Im Gegensatz zu Onboarding-Anmeldeinformationen sind diese Zertifikate in der Regel kurzlebig und werden häufig nach Bedarf während des Betriebs des Geräts erneuert. Das Gerät kann seine betriebsbereite Zertifikatkette verwenden, um sich direkt bei IoT Hub zu authentifizieren und typische Vorgänge auszuführen. Heute stellt die Zertifikatverwaltung nur das Betriebszertifikat bereit.
Funktionsweise der Zertifikatverwaltung
Die Zertifikatverwaltung besteht aus mehreren integrierten Komponenten, die zusammenarbeiten, um die Bereitstellung der Public Key-Infrastruktur (PKI) auf IoT-Geräten zu optimieren. Um die Zertifikatverwaltung zu verwenden, müssen Sie Folgendes einrichten:
- IoT Hub (Vorschau)
- Azure Device Registry (ADR)-Namespace
- Device Provisioning Service (DPS)-Instanz
IoT Hub (Vorschau)-Integration
IoT Hubs, die mit einem ADR-Namespace verknüpft sind, können von den Zertifikatverwaltungsfunktionen profitieren. Sie können Ihre Zertifizierungsstellenzertifikate aus dem ADR-Namespace mit allen IoT Hubs synchronisieren, damit jeder IoT Hub jedes IoT-Gerät authentifizieren kann, das versucht, eine Verbindung mit ausgestellter Zertifikatkette herzustellen.
Integration der Azure Device Registry
Die Zertifikatverwaltung verwendet Azure Device Registry (ADR) zum Verwalten von Zertifizierungsstellenzertifikaten. Es ist in den IoT Hub und den Device Provisioning Service (DPS) integriert, um eine nahtlose Benutzererfahrung bei der Verwaltung von Geräteidentitäten und CA-Zertifikaten zu bieten.
Die folgende Abbildung zeigt die X.509-Zertifikathierarchie, die zum Authentifizieren von IoT-Geräten in Azure IoT Hub über den ADR-Namespace verwendet wird.
- Jeder ADR-Namespace mit aktivierter Zertifikatverwaltung hat ein einzigartiges Stammzertifikat, das von Microsoft verwaltet wird. Diese Zertifizierung repräsentiert die oberste Zertifizierungsstelle in der Kette.
- Jede Richtlinie im ADR-Namespace definiert eine ausstellende Zertifizierungsstelle (ICA), die von der Stammzertifizierungsstelle signiert ist. Jede Richtlinie kann ihr CA-Zertifikat nur mit Hubs teilen, die mit dem Namespace verbunden sind. Und jede Richtlinie kann nur Blattzertifikate für Geräte ausgeben, die in diesem Namespace registriert sind. Sie können den Gültigkeitszeitraum der ausgestellten Zertifikate für jede Richtlinie konfigurieren. Die Mindestgültigkeitsdauer beträgt 1 Tag und die maximale Gültigkeitsdauer beträgt 90 Tage.
- Nachdem Sie Ihre Anmeldeinformationen und Richtlinien erstellt haben, können Sie diese Zertifikate direkt mit dem IoT Hub synchronisieren. IoT Hub kann jetzt Geräte authentifizieren, die diese Zertifikatkette darstellen.
Integration des Gerätebereitstellungsdiensts
Damit Geräte Blattzertifikate empfangen können, müssen Geräte über den Gerätebereitstellungsdienst (Device Provisioning Service, DPS) bereitgestellt werden. Sie müssen entweder eine Einzel- oder Gruppenregistrierung konfigurieren, die Folgendes umfasst:
- Der spezifische Typ der Onboarding-Zugangsberechtigungen für diese Registrierung. Unterstützte Methoden sind Trusted Platform Module (TPM), symmetrische Schlüssel oder X.509-Zertifikate.
- Die spezifische Richtlinie, die in Ihrem ADR-Namespace erstellt wurde. Diese Richtlinie signiert und gibt Blattzertifikate auf Geräten aus, die von dieser Registrierung bereitgestellt werden.
Der Gerätebereitstellungsdienst akzeptiert jetzt Zertifikatsignieranforderung (CSR) während des Bereitstellungsvorgangs. Die CSR wird an DPS und die PKI gesendet, die die Anforderung überprüft und an die entsprechende ausstellende Zertifizierungsstelle (ICA) weiterleitet, um signiertes X.509-Zertifikat auszustellen.
Die Zertifikatverwaltung unterstützt derzeit die folgenden Protokolle während der Bereitstellung: HTTP und MQTT. Weitere Informationen zur DPS-Zertifikatsignierungsanforderung finden Sie in den Beispielen für DPS-Geräte-SDKs.
Hinweis
Während eine PKI für jeden Ihrer ADR-Namespaces konfiguriert ist, wird sie nicht als externe Azure-Ressource verfügbar gemacht.
End-to-End-Gerätebereitstellung mit Zertifikatverwaltung (Laufzeiterfahrung)
Das folgende Diagramm veranschaulicht den End-to-End-Prozess der Gerätebereitstellung mit Zertifikatverwaltung:
- Das IoT-Gerät stellt eine Verbindung mit dem DPS-Endpunkt und authentifiziert sich mit dem Dienst mithilfe der vorkonfigurierten Onboarding-Anmeldeinformationen. Im Rahmen dieses Registrierungsaufrufs sendet das Gerät eine Zertifikatsignaturanforderung (CSR). Die CSR enthält Informationen über das Gerät, z. B. seinen öffentlichen Schlüssel und andere Identifizierende Details.
- DPS weist das IoT-Gerät einem IoT Hub zu, basierend auf den verknüpften Hubs in seiner DPS-Registrierung.
- Die Geräteidentität wird im IoT Hub erstellt und für den entsprechenden ADR-Namespace registriert.
- DPS verwendet die CSR, um ein Betriebszertifikat von der PKI anzufordern. Die PKI überprüft die CSR und leitet sie an die Richtlinie (ausstellende Zertifizierungsstelle) weiter, die mit der DPS-Registrierung verknüpft ist.
- Die Richtlinie signiert das Betriebszertifikat und gibt es aus.
- DPS sendet das Betriebszertifikat und Die IoT Hub-Verbindungsdetails zurück an das Gerät.
- Das Gerät kann sich jetzt bei IoT Hub authentifizieren, indem die vollständige ausstellende Zertifikatkette an IoT Hub gesendet wird.
Erneuerung von Blattzertifikaten
Endentitätsblattzertifikate können mit demselben Mechanismus wie die erstmalige Zertifikatausstellung erneuert werden. Wenn das Gerät erkennt, dass das Betriebszertifikat erneuert werden muss, muss es einen weiteren Registrierungsaufruf an DPS initiieren und eine neue Zertifikatsignaturanforderung (CERTIFICATE Signing Request, CSR) übermitteln. Erneut wird die CSR an die entsprechende ausstellende Zertifizierungsstelle (ICA) gesendet, um ein erneuertes Blattzertifikat anzufordern. Nach der Genehmigung wird das erneuerte Betriebszertifikat an das Gerät zurückgegeben, das für die sichere Kommunikation verwendet werden soll.
Jedes Gerät ist für die Überwachung des Ablaufdatums seines Betriebszertifikats und das Initiieren einer Zertifikatverlängerung bei Bedarf verantwortlich. Als bewährte Methode empfehlen wir, ein Zertifikat vor seinem Ablaufdatum zu verlängern, um eine unterbrechungsfreie Kommunikation sicherzustellen. Das Betriebszertifikat enthält seine Valid from und Valid until Datumsangaben, die das Gerät überwachen kann, um festzustellen, wann eine Verlängerung erforderlich ist. In dieser Vorschau empfehlen wir, dass Geräte ihre gerätevermeldeten Eigenschaften verwenden, um die Zertifikatausstellung und das Ablaufdatum des Zertifikats zu melden. Diese Eigenschaften können dann zur Observierbarkeit verwendet werden, z. B. zum Erstellen von Dashboards.
Deaktivieren eines Geräts
Die Zertifikatverwaltung unterstützt die Zertifikatsperrung während der öffentlichen Vorschau nicht. Um die Verbindung eines Geräts zu entfernen, das ein X.509-Betriebszertifikat verwendet, können Sie das Gerät im IoT Hub deaktivieren. Informationen zum Deaktivieren eines Geräts finden Sie unter "Deaktivieren oder Löschen eines Geräts".
Grenzen und Kontingente
Informationen zu Grenzwerten und Kontingenten für die Zertifikatverwaltung mit IoT Hub finden Sie unter Azure-Abonnement- und Dienstbeschränkungen .