Uso de certificados con Azure Sphere
En este tema se ofrece información general sobre el "paisaje" del certificado Azure Sphere: los tipos de certificados que usan los diversos componentes de Azure Sphere, de dónde proceden, dónde están almacenados, cómo se actualizan y cómo obtener acceso a ellos cuando es necesario. También describe cómo el SO, EL SDK y los servicios de Azure Sphere facilitan la administración de certificados. Suponemos que tiene una familiaridad básica con las entidades emisoras de certificados y la cadena de confianza.
Dispositivos Azure Sphere
Cada dispositivo Azure Sphere se basa en el almacén raíz de confianza, que forma parte del sistema operativo Azure Sphere. El almacén raíz de confianza contiene una lista de certificados raíz que se usan para validar la identidad del Servicio de Seguridad de Azure Sphere cuando el dispositivo se conecta para la autenticación y atestación de dispositivos (DAA), la actualización por aire (OTA) o el informe de errores. Estos certificados se proporcionan con el sistema operativo.
Cuando la atestación diaria se realiza correctamente, el dispositivo recibe dos certificados: un certificado de actualización y un certificado de cliente. El certificado de actualización permite al dispositivo conectarse al Servicio de actualización de Azure Sphere para obtener actualizaciones de software y cargar informes de errores; no es accesible para aplicaciones ni a través de la línea de comandos. Las aplicaciones pueden usar el certificado de cliente, a veces denominado certificado DAA, para conectarse a servicios de terceros, como wolfSSL, que usan la seguridad de la capa de transporte (TLS). Este certificado es válido durante 24 horas. Las aplicaciones pueden recuperarla mediante programación llamando a la función DeviceAuth_GetCertificatePath.
Los dispositivos que se conectan a servicios basados en Azure, como Azure IoT Hub, Azure IoT Central y Azure IoT Edge deben presentar su certificado de CA de catálogo de Azure Sphere para autenticar su catálogo de Azure Sphere. El comando az sphere ca-certificate download en la CLI devuelve el certificado de CA del catálogo para tales usos.
Conexiones de red EAP-TLS
Los dispositivos que se conectan a una red EAP-TLS necesitan certificados para autenticarse con el servidor RADIUS de la red. Para autenticar como cliente, el dispositivo debe pasar un certificado de cliente al RADIUS. Para realizar la autenticación mutua, el dispositivo también debe tener un certificado de CA raíz para el servidor RADIUS para que pueda autenticar el servidor. Microsoft no proporciona ninguno de estos certificados; usted o su administrador de red son responsables de determinar la autoridad de certificación correcta para el servidor RADIUS de su red y, a continuación, adquirir los certificados necesarios del emisor.
Para obtener los certificados para el servidor RADIUS, tendrá que autenticarse ante la entidad emisora de certificados. Puede usar el certificado DAA, como se mencionó anteriormente, para este propósito. Después de adquirir los certificados para el servidor RADIUS, debe almacenarlos en el almacén de certificados del dispositivo. El almacén de certificados del dispositivo solo está disponible para su uso en la autenticación a una red segura con EAP-TLS. (El certificado DAA no se guarda en el almacén de certificados del dispositivo; se mantiene de forma segura en el sistema operativo). El comando az sphere device certificate de la CLI le permite administrar el almacén de certificados desde la línea de comandos. Las aplicaciones de Azure Sphere pueden usar la API CertStore para almacenar, recuperar y administrar certificados en el almacén de certificados del dispositivo. La API CertStore también incluye funciones para devolver información sobre certificados individuales, de modo que las aplicaciones puedan prepararse para la renovación y expiración de certificados.
Consulte Utilizar EAP-TLS para una descripción completa de los certificados utilizados en las redes EAP-TLS, y vea acceso seguro de la Wi-Fi empresarial: EAP-TLS en Azure Sphere en la Microsoft Tech Community para obtener información adicional.
Aplicaciones Azure Sphere
Las aplicaciones Azure Sphere necesitan certificados para autenticarse en servicios web y algunas redes. Según los requisitos del servicio o punto de conexión, una aplicación puede usar el certificado DAA o un certificado de una entidad de certificación externa.
Las aplicaciones que se conectan a un servicio de terceros mediante wolfSSL o una biblioteca similar pueden llamar a la función DeviceAuth_GetCertificatePath para obtener el certificado daa para la autenticación. Esta función se introdujo en el encabezado deviceauth.h del SDK 20.10.
La biblioteca de Azure IoT que está integrada en Azure Sphere ya confía en la CA raíz necesaria, por lo que las aplicaciones que usan esta biblioteca para acceder a los servicios de Azure IoT (Azure IoT Hub, Azure IoT Central, servicio de aprovisionamiento de dispositivos) no requieren ningún certificado adicional.
Si las aplicaciones usan otros servicios de Azure, consulte la documentación de esos servicios para determinar qué certificados son necesarios.
Azure Sphere REST API
La API de REST de Azure Sphere es un conjunto de puntos de conexión de servicio que admiten operaciones HTTP para crear y administrar recursos de Azure Sphere, como catálogos, productos, implementaciones y grupos de dispositivos. La API de REST de Azure Sphere usa el protocolo HTTP REST (REpresentational State Transfer) para enviar solicitudes de operación y respuestas. Los datos devueltos en la respuesta de la operación tienen formato JSON (notación de objetos JavaScript). Las operaciones disponibles se documentan en la referencia de LA API de REST de Azure Sphere.
Servicio de seguridad Azure Sphere
Los servicios en la nube de Azure Sphere en general, y el Servicio de seguridad en particular, administran numerosos certificados que se usan en la comunicación de servicio a servicio seguro. La mayoría de estos certificados son internos de los servicios y sus clientes, por lo que Microsoft coordina las actualizaciones según sea necesario. Por ejemplo, además de actualizar el certificado DE API TLS público en octubre, el Servicio de Seguridad de Azure Sphere también actualizó sus certificados TLS para el servicio de DAA y el servicio de actualización. Antes de la actualización, los dispositivos recibía una actualización de OTA en el almacén raíz de confianza que incluía el nuevo certificado raíz necesario. No fue necesaria ninguna acción del cliente para mantener la comunicación del dispositivo con el Servicio de seguridad.
¿Cómo hace Azure Sphere que los cambios de certificados sean más fáciles para los clientes?
La expiración del certificado es una causa habitual de errores en los dispositivos IoT que Azure Sphere puede evitar.
Dado que el producto Azure Sphere incluye el sistema operativo y el servicio de seguridad, Microsoft administra los certificados que usan estos dos componentes. Los dispositivos reciben certificados actualizados a través del proceso de DAA, las actualizaciones del sistema operativo y de las aplicaciones, y el informe de errores sin necesidad de cambios en las aplicaciones. Cuando Microsoft agregó el certificado DigiCert Global Root G2, no era necesario realizar cambios en el cliente para continuar con DAA, actualizaciones o informes de errores. Los dispositivos que estaban sin conexión en el momento de la actualización recibieron la actualización en cuanto se reconectaron a Internet.
Azure Sphere OS también incluye la biblioteca de Azure IoT, por lo que si Microsoft realiza más cambios en los certificados que usan las bibliotecas de Azure IoT, actualizaremos la biblioteca del sistema operativo para que no sea necesario cambiar las aplicaciones. También te informaremos a través de entradas de blog adicionales sobre casos perimetrales o circunstancias especiales que podrían requerir modificaciones en las aplicaciones o scripts.
Ambos casos muestran cómo Azure Sphere simplifica la administración de aplicaciones al eliminar la necesidad de actualizaciones de mantenimiento de las aplicaciones para controlar los cambios de certificados. Como cada dispositivo recibe un certificado de actualización como parte de su atestación diaria, puede administrar fácilmente la actualización de cualquier certificado administrado localmente que usen sus dispositivos y aplicaciones. Por ejemplo, si la aplicación valida la identidad del servidor de línea de negocio (como debería), puede implementar un paquete de imagen de aplicación actualizado que incluya certificados actualizados. Los servicios de actualización de aplicaciones proporcionados por la plataforma Azure Sphere ofrecen esas actualizaciones, lo que elimina la preocupación de que el propio servicio de actualización incurra en un problema de expiración de certificado.
Para obtener más información
Azure Sphere Device Authentication and Attestation Service
Actualizaciones de certificados adicionales para Azure Sphere
Cambios en los certificados de Azure TLS
Azure IoT TLS: ¡Se acercan cambios! (... y por qué debería preocuparse)