Zertifikatverwendung mit Azure Sphere

Artikel
09/27/2024

Wichtig

Dies ist die Dokumentation zu Azure Sphere (Legacy). Azure Sphere (Legacy) wird am 27. September 2027 eingestellt, und Benutzer müssen bis zu diesem Zeitpunkt zu Azure Sphere (integriert) migrieren. Verwenden Sie die Versionsauswahl oberhalb des Inhaltsverzeichniss, um die Dokumentation zu Azure Sphere (Integriert) anzuzeigen.

Dieses Thema enthält eine Übersicht über das Azure Sphere-Zertifikat "Querformat": die Arten von Zertifikaten, die von den verschiedenen Azure Sphere-Komponenten verwendet werden, woher sie stammen, wo sie gespeichert werden, wie sie aktualisiert werden und wie sie bei Bedarf darauf zugreifen können. Außerdem wird beschrieben, wie das Azure Sphere OS, SDK und Dienste die Zertifikatverwaltung für Sie vereinfachen. Wir gehen davon aus, dass Sie mit Zertifizierungsstellen und der Vertrauenskette vertraut sind.

Azure Sphere-Geräte

Jedes Azure Sphere-Gerät basiert auf dem vertrauenswürdigen Stammspeicher, der Teil des Azure Sphere-Betriebssystems ist. Der vertrauenswürdige Stammspeicher enthält eine Liste von Stammzertifikaten, die verwendet werden, um die Identität des Azure Sphere Security Service zu überprüfen, wenn das Gerät eine Verbindung für die Geräteauthentifizierung und den Nachweis (DAA), over-the-air (OTA)-Update oder Fehlerberichterstattung herstellt. Diese Zertifikate werden mit dem Betriebssystem bereitgestellt.

Wenn der tägliche Nachweis erfolgreich ist, empfängt das Gerät zwei Zertifikate: ein Updatezertifikat und ein Kundenzertifikat. Das Updatezertifikat ermöglicht es dem Gerät, eine Verbindung mit dem Azure Sphere Update Service herzustellen, um Softwareupdates abzurufen und Fehlerberichte hochzuladen; Auf Anwendungen oder über die Befehlszeile kann nicht zugegriffen werden. Das Kundenzertifikat, das manchmal als DAA-Zertifikat bezeichnet wird, kann von Anwendungen verwendet werden, um eine Verbindung mit Drittanbieterdiensten herzustellen, z. B. WolfSSL, die Transport Layer Security (TLS) verwenden. Dieses Zertifikat ist 24 Stunden gültig. Anwendungen können sie programmgesteuert abrufen, indem sie die DeviceAuth_GetCertificatePath-Funktion aufruft.

Geräte, die eine Verbindung mit Azure-basierten Diensten wie Azure IoT Hub, Azure IoT Central und Azure IoT Edge herstellen, müssen ihr Azure Sphere-Mandanten-CA-Zertifikat präsentieren, um ihren Azure Sphere-Mandanten zu authentifizieren. Der Azsphere ca-certificate download command in the CLI returns the tenant CA certificate for such uses.

EAP-TLS-Netzwerkverbindungen

Geräte, die eine Verbindung mit einem EAP-TLS-Netzwerk herstellen, benötigen Zertifikate, um sich beim RADIUS-Server des Netzwerks zu authentifizieren. Um sich als Client zu authentifizieren, muss das Gerät ein Clientzertifikat an den RADIUS übergeben. Um die gegenseitige Authentifizierung durchzuführen, muss das Gerät auch über ein Stammzertifizierungsstellenzertifikat für den RADIUS-Server verfügen, damit er den Server authentifizieren kann. Microsoft stellt keine dieser Zertifikate zur Verfügung; Sie oder Ihr Netzwerkadministrator sind dafür verantwortlich, die richtige Zertifizierungsstelle für den RADIUS-Server Ihres Netzwerks zu ermitteln und dann die erforderlichen Zertifikate vom Aussteller zu erwerben.

Um die Zertifikate für den RADIUS-Server abzurufen, müssen Sie sich bei der Zertifizierungsstelle authentifizieren. Für diesen Zweck können Sie das DAA-Zertifikat verwenden, wie bereits erwähnt. Nachdem Sie die Zertifikate für den RADIUS-Server abgerufen haben, sollten Sie sie im Gerätezertifikatspeicher speichern. Der Gerätezertifikatspeicher ist nur für die Verwendung bei der Authentifizierung für ein gesichertes Netzwerk mit EAP-TLS verfügbar. (Das DAA-Zertifikat wird nicht im Gerätezertifikatspeicher gespeichert; es wird sicher im Betriebssystem aufbewahrt.) Mit dem Befehl "Azsphere-Gerätezertifikat " in der CLI können Sie den Zertifikatspeicher über die Befehlszeile verwalten. Azure Sphere-Anwendungen können die CertStore-API verwenden, um Zertifikate im Gerätezertifikatspeicher zu speichern, abzurufen und zu verwalten. Die CertStore-API enthält auch Funktionen zum Zurückgeben von Informationen zu einzelnen Zertifikaten, damit Apps sich auf den Ablauf und die Verlängerung des Zertifikats vorbereiten können.

Weitere Informationen finden Sie unter Verwenden von EAP-TLS für eine vollständige Beschreibung der Zertifikate, die in EAP-TLS-Netzwerken verwendet werden. Weitere Informationen finden Sie unter Secure Enterprise WI-Fi Access: EAP-TLS on Azure Sphere in der Microsoft Tech Community.

Azure Sphere-Anwendungen

Azure Sphere-Anwendungen benötigen Zertifikate, um sich bei Webdiensten und einigen Netzwerken zu authentifizieren. Je nach den Anforderungen des Diensts oder Endpunkts kann eine App entweder das DAA-Zertifikat oder ein Zertifikat von einer externen Zertifizierungsstelle verwenden.

Apps, die mit wolfSSL oder einer ähnlichen Bibliothek eine Verbindung mit einem Drittanbieterdienst herstellen, können die DeviceAuth_GetCertificatePath-Funktion aufrufen, um das DAA-Zertifikat für die Authentifizierung abzurufen. Diese Funktion wurde im Deviceauth.h-Header im 20.10 SDK eingeführt.

Die in Azure Sphere integrierte Azure IoT-Bibliothek vertraut bereits der erforderlichen Stammzertifizierungsstelle, sodass Apps, die diese Bibliothek für den Zugriff auf Azure IoT-Dienste (Azure IoT Hub, Azure IoT Central, Gerätebereitstellungsdienst) verwenden, keine zusätzlichen Zertifikate erfordern.

Wenn Ihre Apps andere Azure-Dienste verwenden, wenden Sie sich an die Dokumentation für diese Dienste, um zu ermitteln, welche Zertifikate erforderlich sind.

Öffentliche Azure Sphere-API

Die öffentliche Azure Sphere-API (PAPI) kommuniziert mit dem Azure Sphere Security Service, um Informationen zu bereitgestellten Geräten anzufordern und abzurufen. Der Sicherheitsdienst verwendet ein TLS-Zertifikat, um solche Verbindungen zu authentifizieren. Dies bedeutet, dass alle Code oder Skripts, die die öffentliche API verwenden, zusammen mit anderen Sicherheitsdienstclients wie dem Azure Sphere SDK (einschließlich der klassischen Azure Sphere CLI und Azure Sphere CLI) diesem Zertifikat vertrauen müssen, um eine Verbindung mit dem Security Service herstellen zu können. Das SDK verwendet die Zertifikate im Systemzertifikatspeicher des Hostcomputers für die Azure Sphere Security Service-Überprüfung, wie viele öffentliche API-Anwendungen.

Am 13. Oktober 2020 hat der Sicherheitsdienst sein öffentliches API-TLS-Zertifikat auf ein Zertifikat aktualisiert, das vom DigiCert Global Root G2-Zertifikat ausgestellt wurde. Sowohl Windows- als auch Linux-Systeme enthalten das DigiCert Global Root G2-Zertifikat, sodass das erforderliche Zertifikat sofort verfügbar ist. Wie wir jedoch in einem früheren Blogbeitrag beschrieben haben, sind nur Kundenszenarien, die Betreff-, Namens- oder Ausstellerszenarien (SNI) anheften, die erforderliche Änderungen anheften, um dieses Update zu berücksichtigen.

Azure Sphere-Sicherheitsdienst

Azure Sphere-Clouddienste im Allgemeinen und insbesondere der Sicherheitsdienst verwalten zahlreiche Zertifikate, die in der sicheren Dienst-zu-Dienst-Kommunikation verwendet werden. Die meisten dieser Zertifikate sind intern für die Dienste und ihre Clients, sodass Microsoft Updates nach Bedarf koordiniert. Zusätzlich zum Aktualisieren des ÖFFENTLICHEN API-TLS-Zertifikats im Oktober hat der Azure Sphere Security Service auch seine TLS-Zertifikate für den DAA-Dienst und den Updatedienst aktualisiert. Vor dem Update erhielten Geräte ein OTA-Update an den vertrauenswürdigen Stammspeicher, der das neue erforderliche Stammzertifikat enthielt. Es war keine Kundenaktion erforderlich, um die Gerätekommunikation mit dem Sicherheitsdienst aufrechtzuerhalten.

Wie erleichtert Azure Sphere Zertifikatänderungen für Kunden?

Der Ablauf des Zertifikats ist eine häufige Ursache für Fehler für IoT-Geräte , die Azure Sphere verhindern kann.

Da das Azure Sphere-Produkt sowohl das Betriebssystem als auch den Sicherheitsdienst enthält, werden die von beiden Komponenten verwendeten Zertifikate von Microsoft verwaltet. Geräte erhalten aktualisierte Zertifikate über den DAA-Prozess, Betriebssystem- und Anwendungsupdates und fehlerberichterstattung, ohne dass Änderungen an Anwendungen erforderlich sind. Wenn Microsoft das DigiCert Global Root G2-Zertifikat hinzugefügt hat, waren keine Kundenänderungen erforderlich, um DAA, Updates oder Fehlerberichte fortzusetzen. Geräte, die zum Zeitpunkt des Updates offline waren, erhielten das Update, sobald sie wieder mit dem Internet verbunden wurden.

Das Azure Sphere-Betriebssystem enthält auch die Azure IoT-Bibliothek. Wenn Microsoft also weitere Änderungen an Zertifikaten vorgibt, die von den Azure IoT-Bibliotheken verwendet werden, aktualisieren wir die Bibliothek im Betriebssystem, damit Ihre Anwendungen nicht geändert werden müssen. Darüber hinaus informieren wir Sie über zusätzliche Blogbeiträge zu allen Edgefällen oder besonderen Umständen, die änderungen an Ihren Apps oder Skripts erfordern können.

Beide Fälle zeigen, wie Azure Sphere die Anwendungsverwaltung vereinfacht, indem die Notwendigkeit von Wartungsupdates von Anwendungen zur Behandlung von Zertifikatänderungen entfernt wird. Da jedes Gerät ein Updatezertifikat als Teil seines täglichen Nachweises empfängt, können Sie das Update aller lokal verwalteten Zertifikate, die Ihre Geräte und Anwendungen verwenden, ganz einfach verwalten. Wenn Ihre Anwendung z. B. die Identität Ihres Branchenservers überprüft (wie es sein sollte), können Sie ein aktualisiertes Anwendungsimagepaket bereitstellen, das aktualisierte Zertifikate enthält. Die von der Azure Sphere-Plattform bereitgestellten Anwendungsupdatedienste liefern diese Updates und entfernen die Sorge, dass der Updatedienst selbst ein Zertifikatablaufproblem verursacht.