Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La emisión de certificados de dispositivo es el proceso por el que los dispositivos solicitan y reciben un certificado como parte del aprovisionamiento. Azure Registro de dispositivos (ADR) genera y emite un nuevo certificado X.509 a los dispositivos IoT durante el aprovisionamiento. En este artículo se explica la responsabilidad de un dispositivo para enviar una solicitud de firma de certificado (CSR), cómo ADR y Device Provisioning Service (DPS) funcionan conjuntamente para emitir certificados a escala y cómo IoT Hub confía en los certificados emitidos.
Importante
Azure IoT Hub con la integración del Registro de dispositivos de Azure y la administración de certificados X.509 respaldada por Microsoft está en public preview y no se recomienda para cargas de trabajo de producción. Para obtener más información, vea FAQ: Novedades de IoT Hub?.
Funcionamiento de la emisión de certificados de dispositivo
En los pasos siguientes se describe el flujo de emisión de un extremo a otro:
- El dispositivo IoT se conecta al punto de conexión de DPS y se autentica mediante su credencial de incorporación preconfigurada, como una clave simétrica, un certificado X.509 o un módulo de plataforma segura (TPM). Como parte de esta llamada de registro, el dispositivo envía una solicitud de firma de certificado (CSR) que incluye la clave pública del dispositivo y su identificador de registro.
- DPS asigna el dispositivo IoT a un IoT Hub en función de la configuración de inscripción.
- La identidad del dispositivo se crea en IoT Hub y se registra en el espacio de nombres de ADR. El CSR se reenvía a la PKI única asignada al espacio de nombres de ADR. La PKI valida la solicitud y la reenvía a la directiva vinculada a la inscripción de DPS.
- La póliza emite los signos de CA y emite el certificado de operación.
- DPS devuelve al dispositivo el certificado emitido y los detalles de conexión de IoT Hub.
- El dispositivo se autentica con IoT Hub mediante la presentación de su cadena de certificados completa.
Requisitos de solicitud de firma de certificados
Cuando un dispositivo se provisiona o reabastece, envía un CSR a DPS. DPS espera que la CSR cumpla los siguientes requisitos:
- Formato: Reglas de codificación distinguidas (DER) codificadas en Base64 siguiendo la especificación #10 de los estándares de criptografía de clave pública (PKCS). No se pueden incluir cabeceras y pies de página de correo con privacidad mejorada (PEM).
- Nombre común (CN): El campo CN debe coincidir exactamente con el identificador de registro de DPS del dispositivo.
- Algoritmo de clave: Clave de curva elíptica (EC) mediante la curva NIST P-384. Las claves RSA no se admiten en la versión preliminar actual.
Para obtener ejemplos de implementación, consulte Ejemplos del SDK de dispositivos de DPS.
Algoritmos criptográficos
La administración de certificados usa los siguientes estándares criptográficos para todos los certificados emitidos por una directiva:
| Propiedad | Importancia |
|---|---|
| Algoritmo de clave | ECC (ECDSA) |
| Curva | NIST P-384 (secp384r1) |
| Algoritmo hash | SHA-384 |
| Almacenamiento de claves | HSM administrado por Azure |
ECC con P-384 ofrece seguridad equivalente a RSA con tamaños de clave mucho más pequeños. Este algoritmo genera certificados más pequeños, protocolos de enlace TLS más rápidos y menor consumo de energía en dispositivos IoT restringidos.
Confianza en el IoT Hub y sincronización de credenciales
Para que un dispositivo se autentique con IoT Hub mediante su certificado emitido, IoT Hub debe confiar en la entidad de certificación emisora que firmó el certificado de dispositivo. ADR gestiona esta confianza mediante la sincronización de credenciales, que traslada el certificado de CA emisora desde ADR a tus Hubs IoT vinculados.
Para ejecutar la sincronización de credenciales manualmente, use el siguiente comando CLI de Azure:
az iot adr ns credential sync --namespace <namespace> -g <resource-group>
IoT Hub almacena el certificado de entidad de certificación emisora y lo usa para validar la cadena de certificados que los dispositivos presentan durante la autenticación TLS.
Contenido relacionado
- Renovación de certificados en la administración de certificados de Azure IoT Hub
- Conceptos clave para la administración de certificados
- ¿Qué es la administración de certificados (versión preliminar)?
- Deploy Azure IoT Hub con la integración de ADR y la administración de certificados
- Ejemplos del SDK del dispositivo DPS