Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Administración de certificados es una característica opcional de Azure Registro de dispositivos (ADR) que simplifica la emisión y administración del ciclo de vida de los certificados X.509 para dispositivos IoT. Esta característica configura una infraestructura de clave pública (PKI) única en la nube para cada espacio de nombres de ADR, lo que elimina la necesidad de servidores locales, conectores complejos o hardware dedicado. Al automatizar la emisión y renovación de certificados, ADR garantiza que los dispositivos aprovisionados mantengan una conexión segura y sin problemas al autenticarse con Azure IoT Hub.
Para usar la administración de certificados, debe usar IoT Hub, Azure Registro de dispositivos (ADR) y Servicio de aprovisionamiento de dispositivos (DPS). La administración de certificados se encuentra actualmente en versión preliminar pública.
Importante
Azure IoT Hub con la integración del Registro de dispositivos de Azure y la administración de certificados X.509 respaldada por Microsoft está en public preview y no se recomienda para cargas de trabajo de producción. Para obtener más información, vea FAQ: Novedades de IoT Hub?.
Información general sobre las características
Las siguientes características se admiten con la administración de certificados para dispositivos IoT Hub en versión preliminar:
| Característica | Description |
|---|---|
| Creación de varias entidades de certificación (CA) en un espacio de nombres de ADR | Cree una jerarquía PKI de dos niveles con la entidad de certificación raíz y la emisora en la nube. |
| Crear una CA raíz única por espacio de nombres ADR | Cree hasta 1 recurso de credenciales por espacio de nombres de ADR. Una sola credencial gestiona una única entidad de certificación raíz en su infraestructura de clave pública en la nube dedicada. |
| Crear hasta una CA emisora por espacio de nombres ADR | Cree hasta 1 directiva por espacio de nombres de ADR. Una sola política administra una única entidad emisora de CA y permite personalizar el período de validez de los certificados de dispositivo emitidos. Puede optar por que la entidad de certificación emisora esté firmada por la entidad de certificación raíz de su nivel de espacio de nombres o una entidad de certificación externa que posee su organización. |
| Algoritmos de firma y cifrado | La gestión de certificados es compatible con ECC (ECDSA) y la curva NIST P-384. |
| Algoritmos hash | La administración de certificados admite SHA-384. |
| Claves de HSM (firma y cifrado) | Las claves se aprovisionan mediante el Azure Key Vault Managed Hardware Security Module (Azure Managed HSM). Las CA creadas en el espacio de nombres de ADR usan automáticamente claves de cifrado y firma de HSM. No se requiere ninguna suscripción Azure para Azure HSM. |
| Emisión y renovación de certificados de dispositivo | Los certificados de dispositivo, también conocidos como certificados hoja, están firmados por la entidad de certificación emisora y se entregan al dispositivo a través de las API de dispositivo. Los certificados finales también se pueden renovar mediante la entidad de certificación emisora. |
| Revocación de certificados de dispositivo | Revoque certificados de dispositivo individuales para bloquear las conexiones de dispositivo hasta que se emita un certificado nuevo en el dispositivo. Los certificados revocados se agregan a la lista de revocación de certificados (CRL) de la entidad de certificación primaria. |
| Revocación de directivas | Revoque una directiva para quitar el certificado de autoridad de certificación (CA) asociado de IoT Hub y agregar la autoridad de certificación a la lista de revocación de certificados (CRL) de la autoridad de certificación primaria. Esto impedirá que todos los dispositivos se conecten a IoT Hub con un certificado emitido por esa ENTIDAD de certificación. No se admite la revocación de directivas firmadas por una entidad de certificación externa. |
| Puntos de distribución de lista de revocación de certificados (CRL) | Azure hospeda el punto de distribución CRL (CDP) para cada CA. La dirección URL de CDP está incrustada en cada certificado. La CRL se actualiza con cada revocación de certificados. |
| Puntos de conexión de Acceso a información de entidad emisora (AIA) | Azure hospeda el punto de conexión de AIA para cada entidad de certificación emisora. La dirección URL de AIA se inserta en cada certificado. Los usuarios de confianza pueden usar el punto de conexión de AIA para recuperar certificados primarios. |
| Sincronización de certificados de Autoridad Certificadora (AC) con IoT Hubs | Sincronice el certificado de CA gestionado por su política con los Hubs IoT vinculados a su espacio de nombres. Esto permite IoT Hub confiar en los certificados de dispositivo firmados por una de las CA emisoras. |
Configuración inicial y credenciales operativas
La administración de certificados admite la emisión y renovación de certificados operativos de dispositivos. No gestiona las credenciales de acceso inicial.
- Credencial de incorporación: Un dispositivo usa esta credencial para autenticarse con Device Provisioning Service (DPS) durante el aprovisionamiento. Los tipos de credenciales de incorporación admitidos incluyen certificados X.509 de una entidad de certificación (CA) de terceros, claves simétricas y módulos de plataforma segura (TPM).
- Certificado operativo: Después de que el dispositivo se aprovisiona a través de DPS, el Registro de dispositivos de Azure (ADR) emite un certificado X.509 de corta duración que el dispositivo usa para autenticarse directamente con IoT Hub.
Funcionamiento de la administración de certificados
La administración de certificados usa IoT Hub, ADR y DPS juntos para proporcionar una experiencia de infraestructura de clave pública administrada (PKI) para dispositivos IoT.
En un nivel alto:
Puede crear recursos de administración de certificados en ADR, incluido un espacio de nombres, una credencial y una directiva.
Configuras las inscripciones en DPS para que utilicen esa política de ADR durante el aprovisionamiento.
Los dispositivos se proporcionan a través de DPS y reciben certificados operativos firmados por la CA emisora de la política.
IoT Hub confía en esos certificados de dispositivo después de que ADR sincronice el certificado de entidad de certificación emisora en centros vinculados.
Para obtener más información, consulte Emisión de certificados en la administración de certificados de Azure IoT Hub.
La gestión de certificados en el Registro de Dispositivos de Azure admite dos tipos de directivas:
Microsoft Root CA-signed: cree una política que gestione una CA emisora firmada por la única CA raíz de su espacio de nombres. Microsoft administra el ciclo de vida de las CA emisoras y raíz en la PKI en la nube.
Firmado por autoridad de certificación externa: Cree una directiva que administre una autoridad de certificación emisora firmada por la autoridad de certificación raíz externa de la organización. Conserva la propiedad completa de la ENTIDAD de certificación externa, mientras que Microsoft administra la entidad de certificación emisora en la PKI en la nube. Use este tipo de directiva si su organización mantiene una infraestructura de clave pública privada (PKI) y requiere que todos los dispositivos IoT se encadenen a una raíz de confianza común.
En el diagrama siguiente se muestra la arquitectura de administración de certificados de un extremo a otro, incluido cómo IoT Hub, Azure Registro de dispositivos y Device Provisioning Service se integran con PKI para administrar certificados de dispositivo.
Para obtener más información, consulte Emisión de certificados en la administración de certificados de Azure IoT Hub.
Renovación de certificados
Cada credencial admite una política y la validez de la política oscila entre 7 y 90 días. Cuando un dispositivo detecta que su certificado operativo está cerca de expirar, puede renovarse de una de estas dos maneras:
- Repita la emisión de certificados a través de DPS y envíe una nueva solicitud de firma de certificado (CSR) durante el reaprovisionamiento.
- Envíe una nueva CSR directamente a IoT Hub para su renovación.
Cada dispositivo debe realizar un seguimiento de su período de validez del certificado e iniciar la renovación antes de la expiración para evitar interrupciones de conexión.
Para obtener más información, consulte Renovación de certificados en la gestión de certificados de Azure IoT Hub.
Límites y cuotas
Para obtener la información más reciente sobre los límites y cuotas de administración de certificados con IoT Hub, consulte Azure límites de suscripción y servicio.
Contenido relacionado
- Deploy Azure IoT Hub con la integración de ADR y la administración de certificados
- FAQ: Novedades de Azure IoT Hub?
- Emisión de certificados en la administración de certificados de Azure IoT Hub
- Renovación de certificados en la administración de certificados de Azure IoT Hub
- Conceptos de administración de directivas y revocación de certificados (versión preliminar)
- Revocar certificados y eliminar directivas (versión preliminar)
- Deshabilitar o habilitar un dispositivo (versión preliminar)
- Conceptos clave para la administración de certificados
- Integración con Azure Device Registry