Configurar certificados de CA de inquilino para servicios en la nube
El Servicio de Seguridad de Azure Sphere emite un certificado de CA de inquilino cuando se crea un inquilino. Cada certificado de CA de inquilino tiene una duración de dos años y la fecha de inicio y la fecha de finalización se capturan en el certificado.
Cuando el dispositivo se conecta a Azure IoT Hub, Azure IoT Central o a un servicio back-end, el servicio debe poder comprobar que el dispositivo pertenece a su inquilino de Azure Sphere y que el propio inquilino es legítimo. Para realizar esta autenticación, el servicio requiere una cadena de certificados de CA inquilino de Azure Sphere válida que se usa para firmar certificados que los dispositivos reciben como parte de la atestación y autenticación diarias. Para obtener más información, consulte Uso de certificados con Azure Sphere.
Cuando el certificado de CA actual de un inquilino está a punto de expirar, un nuevo certificado de CA del inquilino se emite automáticamente aproximadamente 90 días antes de que expire el certificado.
Debe configurar los servicios administrados de Azure IoT o el servicio back-end para confiar en ambos certificados de CA del inquilino. Si ambos certificados son de confianza, el servicio podrá usar el nuevo certificado tan pronto como sea válido y, por tanto, evitar la interrupción de las comunicaciones cuando el Servicio de seguridad de Azure Sphere cambie a usar el nuevo certificado de CA del inquilino.
Proporcionar un certificado de CA de inquilino a los servicios en la nube
El proceso de configuración de un servicio en la nube para que confíe en el certificado de CA del inquilino implica:
- Paso 1: Enumerar e identificar certificados de CA de inquilino
- Paso 2: Descargar certificado de CA del inquilino
- Paso 3: Cargar certificado de CA de inquilino y generar el código de verificación
- Paso 4: Comprobar la identidad del inquilino
Paso 1: Enumerar e identificar certificados de CA de inquilino
Ejecute azsphere ca-certificate list para obtener una lista de certificados disponibles para el inquilino actual.
Cuando el certificado actual debe renovarse, azure Sphere Security Service genera automáticamente el certificado siguiente, que se muestra junto con el certificado actual (activo).
En la lista de certificados, el estado del certificado de CA del inquilino actual se muestra como Activo y el estado de los otros certificados se muestra como Inactivo.
En la tabla siguiente se proporcionan detalles del estado de los certificados:
Estado | Descripción |
---|---|
Activo | El certificado de CA del inquilino actual. |
Inactivo | El estado puede indicar cualquiera de las siguientes opciones: Nuevo certificado de CA de inquilino: se emite un nuevo certificado de CA de inquilino cuando el certificado de CA del inquilino actual está a punto de expirar. El estado del nuevo certificado se muestra como inactivo durante aproximadamente 45 días después de su emisión. Certificado retirado: el período de validez del certificado activo actual y del certificado que expira se superpone para evitar interrupciones o pérdidas de conectividad, cuando se cambia el certificado. Cuando el estado del nuevo certificado cambia a activo, el estado del certificado antiguo cambia a inactivo. Certificado expirado: el estado del certificado que ha expirado. |
Revocado | Un certificado que no es de confianza. |
Paso 2: Descargar certificado de CA del inquilino
Ejecute azsphere ca-certificate download para descargar el certificado requerido como un archivo '.cer'.
Ejemplo para especificar el índice para descargar un certificado necesario:
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
Ejemplo para especificar la huella digital para descargar un certificado necesario:
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
Nota
Asegúrese de proporcionar o --index
--thumbprint
descargar el certificado necesario. Si no se proporciona índice o huella digital, el certificado activo se descarga de forma predeterminada.
Paso 3: Cargar certificado de CA de inquilino y generar código de verificación
Para los servicios administrados de Azure IoT, cargue el certificado de CA del inquilino en Azure IoT Hub
Si está utilizando un servicio back-end, consulte la documentación proporcionada por el servicio.
Paso 4: Comprobar la identidad del inquilino
Para los servicios administrados de Azure IoT, el registro es un proceso de dos pasos. El primer paso es cargar el nuevo certificado de CA de inquilino en Azure IoT. El certificado de CA del inquilino cargado debe comprobarse para demostrar la propiedad del inquilino de Azure Sphere. En el paso siguiente, el Servicio de Seguridad azure Sphere proporciona un certificado de prueba de posesión. Una vez cargado el certificado de prueba de posesión en Azure IoT, se completa el proceso de registro del certificado. Para obtener más información sobre cómo comprobar el certificado de CA del inquilino, consulte Configurar un Azure IoT Hub o Configurar Azure IoT Central.
Si está utilizando un servicio back-end, consulte la documentación proporcionada por el servicio. Para obtener más información, consulte Configurar un Azure IoT Hub o Configurar un Azure IoT Hub para Azure Sphere con el servicio de aprovisionamiento de dispositivos.
Escala de tiempo para la renovación del certificado de CA del inquilino
Cuando un certificado de CA de inquilino está a punto de expirar, el procedimiento de renovación lo inicia automáticamente el Servicio de seguridad de Azure Sphere.
En la ilustración siguiente se muestran las etapas de renovación del certificado:
Llamada | Etapa |
---|---|
1 | El certificado de CA del inquilino actual (Certificado A) es válido durante 2 años y se marca como Activo. |
2 | El proceso de renovación comienza aproximadamente 90 días antes de que expire el Certificado A. Se crea un nuevo certificado de CA de inquilino (certificado B) y se marca como inactivo. En este punto, el Certificado B está disponible para su descarga, pero el Certificado A permanece como certificado activo durante aproximadamente 45 días. Debes realizar una acción dentro del período de 45 días para que los dispositivos sigan autentificando a los servicios en la nube correctamente. |
3 | El certificado B pasa a ser el certificado activo aproximadamente 45 días después de su emisión. En esta fase, el certificado A se marca como inactivo y el certificado B pasa a ser el certificado activo . El certificado B se usará para reconocer y autenticar los dispositivos. Asegúrese de que los servicios en la nube están configurados con el Certificado A y el Certificado B para una operación correcta. |
4 | El certificado A ha expirado. Ahora puede quitar el Certificado A de los servicios en la nube. |
5 | El certificado B es válido por 2 años. |
Propina
Las fechas de la imagen se proporcionan solo para ilustración y variarán de cliente a cliente.
Es posible que tenga que activar certificados para controlar la expiración del certificado. Para obtener más información sobre los certificados graduales, consulte Servicios administrados de Azure IoT o consulte la documentación proporcionada por su servicio back-end preferido.