Freigeben über


Überprüfen von X.509-Zertifizierungsstellenzertifikaten mit Ihrem Device Provisioning-Dienst

Ein überprüftes X.509-Zertifizierungsstellenzertifikat (ZS) ist ein ZS-Zertifikat, das in Ihren Bereitstellungsdienst hochgeladen und registriert wurde und dann automatisch oder durch einen Besitznachweis durch den Dienst bestätigt wurde.

Überprüfte Zertifikate spielen bei Verwendung von Registrierungsgruppen eine wichtige Rolle. Der Nachweis des Zertifikatbesitzes bietet eine zusätzliche Sicherheitsschicht, indem sichergestellt wird, dass die hochladende Person eines Zertifikats im Besitz des privaten Schlüssels des Zertifikats ist. Die Überprüfung verhindert, dass ein böswilliger Akteur, der Ihren Datenverkehr abfängt, ein Zwischenzertifikat extrahiert und mit diesem Zertifikat eine Registrierungsgruppe im eigenen Bereitstellungsdienst erstellt, um sich letztlich Ihre Geräte anzueignen. Durch den Nachweis der Besitzes des Stammzertifikats oder eines Zwischenzertifikats in einer Zertifikatkette weisen Sie nach, dass Sie berechtigt sind, untergeordnete Zertifikate für die Geräte zu generieren, die in dieser Registrierungsgruppe Registrierungen ausführen. Daher muss es sich bei dem in einer Registrierungsgruppe konfigurierten Stamm- oder Zwischenzertifikat um ein verifiziertes Zertifikat handeln, oder ihm muss ein verifiziertes Zertifikat in der Zertifikatkette, die ein Gerät bei der Authentifizierung beim Dienst vorlegt, folgen. Weitere Informationen zum Nachweis mit X.509-Zertifikaten finden Sie unter X.509-Zertifikatnachweis.

Voraussetzungen

Bevor Sie mit den Schritten in diesem Artikel beginnen, müssen folgende erforderliche Komponenten vorbereitet worden sein:

  • Eine DPS-Instanz, die in Ihrem Azure-Abonnement erstellt wurde
  • Eine CER- oder PEM-Zertifikatdatei

Automatische Überprüfung der Zwischen- oder Stammzertifizierungsstelle durch Selbstnachweis

Wenn Sie eine vertrauenswürdige Zwischen- oder Stammzertifizierungsstelle verwenden und wissen, dass Sie über den vollständigen Besitz des Zertifikats verfügen, können Sie selbst bestätigen, dass Sie das Zertifikat überprüft haben.​

Führen Sie diese Schritte aus, um ein automatisch überprüftes Zertifikat hinzuzufügen:

  1. Navigieren Sie im Azure-Portal zu Ihrem Bereitstellungsdienst, und wählen Sie im linken Menü Zertifikate aus.

  2. Wählen Sie Hinzufügen aus, um ein neues Zertifikat hinzuzufügen.

  3. Geben Sie einen Anzeigenamen für Ihr Zertifikat ein.

  4. Navigieren Sie zu der CER- oder PEM-Datei, die den öffentlichen Teil des X.509-Zertifikats darstellt. Klicken Sie auf Hochladen.

  5. Aktivieren Sie das Kontrollkästchen neben Set certificate status to verified on upload (Zertifikatstatus beim Hochladen auf „überprüft“ festlegen).

    Screenshot: Hochladen eines Zertifikats und das Festlegen des Status auf „Überprüft“

  6. Wählen Sie Speichern.

  7. Ihr Zertifikat wird auf der Zertifikatregisterkarte mit dem Status Überprüft angezeigt.

    Screenshot: Überprüftes Zertifikat nach dem Hochladen

Manuelle Überprüfung der Zwischen- oder Stammzertifizierungsstelle

Die automatische Verifizierung wird beim Hochladen neuer Zwischen- oder Stammzertifikate von Zertifizierungsstellen in DPS empfohlen. Sie können jedoch dennoch den Eigentumsnachweis durchführen, wenn es für Ihr IoT-Szenario sinnvoll ist.

Der Besitznachweis umfasst die folgenden Schritte:

  1. Abrufen eines eindeutigen Prüfcodes, der durch den Bereitstellungsdienst für Ihr X.509-ZS-Zertifikat generiert wurde. Dies können Sie über das Azure-Portal erledigen.
  2. Erstellen eines X.509-Überprüfungszertifikats mit dem Prüfcode als Betreff und Signieren des Zertifikats mit dem privaten Schlüssel, der Ihrem X.509-ZS-Zertifikat zugeordnet ist.
  3. Hochladen des signierten Verifizierungszertifikats in den Dienst. Der Dienst überprüft das Verifizierungszertifikat mithilfe des öffentlichen Teils des zu überprüfenden Zertifizierungsstellenzertifikats und weist dadurch nach, dass sich der private Schlüssel des ZS-Zertifikats in Ihrem Besitz befindet.

Registrieren des öffentlichen Teils eines X.509-Zertifikats und Abrufen eines Prüfcodes

Um ein Zertifizierungsstellenzertifikat bei Ihrem Bereitstellungsdienst zu registrieren und einen Prüfcode, den Sie während des Besitznachweises verwenden können, abzurufen, führen Sie die folgenden Schritte aus.

  1. Navigieren Sie im Azure-Portal zu Ihrem Bereitstellungsdienst, und öffnen Sie im linken Menü Zertifikate.

  2. Wählen Sie Hinzufügen aus, um ein neues Zertifikat hinzuzufügen.

  3. Geben Sie im Feld Zertifikatname einen Anzeigenamen für Ihr Zertifikat ein.

  4. Wählen Sie das Ordnersymbol aus, und navigieren Sie zu der CER- oder PEM-Datei, die den öffentlichen Teil des X.509-Zertifikats darstellt. Wählen Sie Öffnen aus.

  5. Wenn Sie eine Benachrichtigung erhalten, dass Ihr Zertifikat erfolgreich hochgeladen wurde, wählen Sie Speichern aus.

    Screenshot: Hochladen eines Zertifikats ohne automatische Überprüfung

    Das Zertifikat wird in der Liste Zertifikat-Explorer angezeigt. Beachten Sie, dass der Status dieses Zertifikats Nicht überprüft lautet.

  6. Klicken Sie auf das Zertifikat, das Sie im vorherigen Schritt hinzugefügt haben, um seine Details zu öffnen.

  7. Beachten Sie in den Zertifikatdetails, dass ein leeres Feld Prüfcode vorhanden ist. Wählen Sie die Schaltfläche Prüfcode generieren aus.

    Screenshot: Generieren eines Prüfcodes für den Besitznachweis

  8. Der Bereitstellungsdienst erstellt einen Prüfcode, mit dem Sie den Besitz des Zertifikats überprüfen können. Kopieren Sie den Code in die Zwischenablage.

Digitales Signieren des Prüfcodes zum Erstellen eines Verifizierungszertifikats

Nun müssen Sie den Prüfcode von DPS mit dem privaten Schlüssel signieren, der Ihrem X.509-Zertifikat zugeordnet ist, und eine Signatur generieren. Dieser Schritt wird als Besitznachweis bezeichnet und führt zu einem signierten Verifizierungszertifikat.

Microsoft bietet Tools und Beispiele, die Ihnen dabei helfen können, ein signiertes Verifizierungszertifikat zu erstellen:

  • Das Azure IoT Hub C SDK bietet PowerShell- (Windows) und Bash-Skripts (Linux), mit denen Sie Zertifizierungsstellen- und untergeordnete Zertifikate für die Entwicklung und zum Nachweis des Besitzes mit einem Prüfcode erstellen können. Sie können die entsprechenden Dateien für Ihr System in einen Arbeitsordner herunterladen und die Anweisungen in der Infodatei zum Verwalten von ZS-Zertifikaten befolgen, um einen Besitznachweis für ein Zertifizierungsstellenzertifikat auszuführen.
  • Das Azure IoT Hub C# SDK enthält ein Beispiel zum Überprüfen des Gruppenzertifikats, mit dem Sie einen Besitznachweis ausführen können.

Die in der Dokumentation und den SDKs bereitgestellten PowerShell- und Bash-Skripts benötigen OpenSSL. Sie können auch OpenSSL oder andere Tools von Drittanbietern verwenden, um den Besitznachweis auszuführen. Ein Beispiel für die Verwendung der mit den SDKs bereitgestellten Tools finden Sie unter Erstellen einer X.509-Zertifikatkette.

Hochladen des signierten Verifizierungszertifikats

Laden Sie die resultierende Signatur als Verifizierungszertifikat in Ihren Bereitstellungsdienst im Azure-Portal hoch.

  1. Wählen Sie in den Zertifikatdetails im Azure-Portal, wo Sie den Prüfcode kopiert haben, das Ordnersymbol neben dem Feld PEM- oder CER-Verifizierungszertifikatsdatei aus. Navigieren Sie in Ihrem System zum signierten Überprüfungszertifikat, und wählen Sie Öffnen aus.

  2. Nachdem das Zertifikat hochgeladen wurde, wählen Sie Überprüfen aus. Der Status Ihres Zertifikats ändert sich in der Liste Zertifikate in Überprüft. Wählen Sie Aktualisieren aus, wenn es nicht automatisch aktualisiert wird.

Nächste Schritte