Überprüfen von X.509-Zertifizierungsstellenzertifikaten mit Ihrem Device Provisioning-Dienst

  • Artikel

Ein überprüftes X.509-Zertifizierungsstellenzertifikat (CA) ist ein Zertifizierungsstellenzertifikat, das in Ihren Bereitstellungsdienst hochgeladen und registriert wurde und dann entweder automatisch oder durch Besitznachweise mit dem Dienst überprüft wurde.

Überprüfte Zertifikate spielen bei Verwendung von Registrierungsgruppen eine wichtige Rolle. Der Nachweis des Zertifikatbesitzes bietet eine zusätzliche Sicherheitsschicht, indem sichergestellt wird, dass die hochladende Person eines Zertifikats im Besitz des privaten Schlüssels des Zertifikats ist. Die Überprüfung verhindert, dass ein böswilliger Akteur, der Ihren Datenverkehr abfängt, ein Zwischenzertifikat extrahiert und mit diesem Zertifikat eine Registrierungsgruppe im eigenen Bereitstellungsdienst erstellt, um sich letztlich Ihre Geräte anzueignen. Durch den Nachweis der Besitzes des Stammzertifikats oder eines Zwischenzertifikats in einer Zertifikatkette weisen Sie nach, dass Sie berechtigt sind, untergeordnete Zertifikate für die Geräte zu generieren, die in dieser Registrierungsgruppe Registrierungen ausführen. Daher muss es sich bei dem in einer Registrierungsgruppe konfigurierten Stamm- oder Zwischenzertifikat um ein verifiziertes Zertifikat handeln, oder ihm muss ein verifiziertes Zertifikat in der Zertifikatkette, die ein Gerät bei der Authentifizierung beim Dienst vorlegt, folgen. Weitere Informationen zum X.509-Zertifikatnachweis finden Sie unter X.509-Zertifikate und Steuern des Gerätezugriffs auf den Bereitstellungsdienst mit X.509-Zertifikaten.

Voraussetzungen

Bevor Sie mit den Schritten in diesem Artikel beginnen, sind die folgenden Voraussetzungen vorbereitet:

  • Eine DPS-Instanz, die in Ihrem Azure-Abonnement erstellt wurde.
  • Eine CER- oder PEM-Zertifikatdatei.

Automatische Überprüfung der Zwischen- oder Stammzertifizierungsstelle durch Selbstnachweis

Wenn Sie eine Zwischen- oder Stammzertifizierungsstelle verwenden, denen Sie vertrauen und wissen, dass Sie über den vollständigen Besitz des Zertifikats verfügen, können Sie selbst bestätigen, dass Sie das Zertifikat überprüft haben.

Führen Sie diese Schritte aus, um ein automatisch überprüftes Zertifikat hinzuzufügen:

  1. Navigieren Sie im Azure-Portal zu Ihrem Bereitstellungsdienst, und wählen Sie "Zertifikate" im linken Menü aus.

  2. Wählen Sie Hinzufügen aus, um ein neues Zertifikat hinzuzufügen.

  3. Geben Sie einen Anzeigenamen für Ihr Zertifikat ein.

  4. Navigieren Sie zu der CER- oder PEM-Datei, die den öffentlichen Teil des X.509-Zertifikats darstellt. Klicken Sie auf Hochladen.

  5. Aktivieren Sie das Kontrollkästchen neben Set certificate status to verified on upload (Zertifikatstatus beim Hochladen auf „überprüft“ festlegen).

    Screenshot that shows uploading a certificate and setting status to verified.

  6. Wählen Sie Speichern.

  7. Ihr Zertifikat wird auf der Zertifikatregisterkarte mit dem Status Überprüft angezeigt.

    Screenshot that shows the verified certificate after upload.

Manuelle Überprüfung der Zwischen- oder Stammzertifizierungsstelle

Die automatische Überprüfung wird empfohlen, wenn Sie neue Zwischen- oder Stammzertifizierungsstellenzertifikate in DPS hochladen. Sie können jedoch dennoch Besitznachweise durchführen, wenn es für Ihr IoT-Szenario sinnvoll ist.

Der Besitznachweis umfasst die folgenden Schritte:

  1. Abrufen eines eindeutigen Prüfcodes, der durch den Bereitstellungsdienst für Ihr X.509-ZS-Zertifikat generiert wurde. Dies können Sie über das Azure-Portal erledigen.
  2. Erstellen eines X.509-Überprüfungszertifikats mit dem Prüfcode als Betreff und Signieren des Zertifikats mit dem privaten Schlüssel, der Ihrem X.509-ZS-Zertifikat zugeordnet ist.
  3. Hochladen des signierten Verifizierungszertifikats in den Dienst. Der Dienst überprüft das Verifizierungszertifikat mithilfe des öffentlichen Teils des zu überprüfenden Zertifizierungsstellenzertifikats und weist dadurch nach, dass sich der private Schlüssel des ZS-Zertifikats in Ihrem Besitz befindet.

Registrieren des öffentlichen Teils eines X.509-Zertifikats und Abrufen eines Prüfcodes

Um ein Zertifizierungsstellenzertifikat bei Ihrem Bereitstellungsdienst zu registrieren und einen Prüfcode, den Sie während des Besitznachweises verwenden können, abzurufen, führen Sie die folgenden Schritte aus.

  1. Navigieren Sie im Azure-Portal zu Ihrem Bereitstellungsdienst, und öffnen Sie im linken Menü Zertifikate.

  2. Wählen Sie Hinzufügen aus, um ein neues Zertifikat hinzuzufügen.

  3. Geben Sie im Feld "Zertifikatname" einen Anzeigenamen für Ihr Zertifikat ein.

  4. Wählen Sie das Ordnersymbol aus, und navigieren Sie dann zur CER- oder PEM-Datei, die den öffentlichen Teil Ihres X.509-Zertifikats darstellt. Wählen Sie Öffnen aus.

  5. Wenn Sie eine Benachrichtigung erhalten, dass Ihr Zertifikat erfolgreich hochgeladen wurde, wählen Sie Speichern aus.

    Screenshot that shows uploading a certificate without automatic verification.

    Das Zertifikat wird in der Liste Zertifikat-Explorer angezeigt. Beachten Sie, dass der Status dieses Zertifikats nicht überprüft ist.

  6. Wählen Sie das Zertifikat aus, das Sie im vorherigen Schritt hinzugefügt haben, um dessen Details zu öffnen.

  7. Beachten Sie in den Zertifikatdetails, dass ein leeres Feld für die Überprüfungsfunktion vorhanden ist. Wählen Sie die Schaltfläche "Überprüfungscode generieren" aus.

    Screenshot that shows generating a verification code for proof-of-possession.

  8. Der Bereitstellungsdienst erstellt einen Überprüfungscode , den Sie zum Überprüfen des Zertifikatbesitzes verwenden können. Kopieren Sie den Code in die Zwischenablage.

Digitales Signieren des Prüfcodes zum Erstellen eines Verifizierungszertifikats

Jetzt müssen Sie den Überprüfungscode von DPS mit dem privaten Schlüssel signieren, der Ihrem X.509-Zertifizierungsstellenzertifikat zugeordnet ist, das eine Signatur generiert. Dieser Schritt wird als Besitznachweis bezeichnet und führt zu einem signierten Überprüfungszertifikat.

Microsoft bietet Tools und Beispiele, die Ihnen dabei helfen können, ein signiertes Verifizierungszertifikat zu erstellen:

  • Das Azure IoT Hub C SDK bietet PowerShell- (Windows) und Bash-Skripts (Linux), mit denen Sie Zertifizierungsstellen- und untergeordnete Zertifikate für die Entwicklung und zum Nachweis des Besitzes mit einem Prüfcode erstellen können. Sie können die entsprechenden Dateien für Ihr System in einen Arbeitsordner herunterladen und die Anweisungen in der Infodatei zum Verwalten von ZS-Zertifikaten befolgen, um einen Besitznachweis für ein Zertifizierungsstellenzertifikat auszuführen.
  • Das Azure IoT Hub C#-SDK enthält das Überprüfungsbeispiel für Gruppenzertifikate, das Sie verwenden können, um besitzsicher zu sein.

Die in der Dokumentation und den SDKs bereitgestellten PowerShell- und Bash-Skripts benötigen OpenSSL. Sie können auch OpenSSL oder andere Tools von Drittanbietern verwenden, um den Besitznachweis auszuführen. Ein Beispiel für die Verwendung der mit den SDKs bereitgestellten Tools finden Sie unter Erstellen einer X.509-Zertifikatkette.

Hochladen des signierten Verifizierungszertifikats

Laden Sie die resultierende Signatur als Überprüfungszertifikat in den Azure-Portal hoch.

  1. Wählen Sie in den Zertifikatdetails des Azure-Portal, aus dem Sie den Überprüfungscode kopiert haben, das Ordnersymbol neben dem Feld ".pem" oder ".cer"-Datei aus. Navigieren Sie vom System zum signierten Überprüfungszertifikat, und wählen Sie " Öffnen" aus.

  2. Nachdem das Zertifikat erfolgreich hochgeladen wurde, wählen Sie "Überprüfen" aus. Der Status Ihres Zertifikats wird in der Liste "Zertifikate" in "Überprüft" geändert. Wählen Sie "Aktualisieren" aus, wenn sie nicht automatisch aktualisiert wird.

Nächste Schritte