Uso de certificados con Azure Sphere

Artículo
06/18/2024

En este tema se proporciona información general sobre el certificado de Azure Sphere "horizontal": los tipos de certificados que usan los distintos componentes de Azure Sphere, desde dónde proceden, dónde se almacenan, cómo se actualizan y cómo acceder a ellos cuando sea necesario. También se describe cómo el sistema operativo, el SDK y los servicios de Azure Sphere facilitan la administración de certificados. Se supone que tiene conocimientos básicos sobre las entidades de certificación y la cadena de confianza.

Dispositivos de Azure Sphere

Cada dispositivo de Azure Sphere se basa en el almacén raíz de confianza, que forma parte del sistema operativo Azure Sphere. El almacén raíz de confianza contiene una lista de certificados raíz que se usan para validar la identidad del servicio de seguridad de Azure Sphere cuando el dispositivo se conecta para la autenticación y atestación del dispositivo (DAA), la actualización por vía inalámbrica (OTA) o los informes de errores. Estos certificados se proporcionan con el sistema operativo.

Cuando la atestación diaria se realiza correctamente, el dispositivo recibe dos certificados: un certificado de actualización y un certificado de cliente. El certificado de actualización permite al dispositivo conectarse al servicio de actualización de Azure Sphere para obtener actualizaciones de software y cargar informes de errores; no es accesible para las aplicaciones ni a través de la línea de comandos. El certificado de cliente, a veces denominado certificado DAA, se puede usar mediante aplicaciones para conectarse a servicios de terceros, como wolfSSL que usan la seguridad de la capa de transporte (TLS). Este certificado es válido durante 24 horas. Las aplicaciones pueden recuperarla mediante programación llamando a la función DeviceAuth_GetCertificatePath.

Los dispositivos que se conectan a servicios basados en Azure, como Azure IoT Hub, Azure IoT Central y Azure IoT Edge, deben presentar su certificado de ca del catálogo de Azure Sphere para autenticar su catálogo de Azure Sphere. El comando az sphere ca-certificate download de la CLI devuelve el certificado de CA de catálogo para tales usos.

Conexiones de red EAP-TLS

Los dispositivos que se conectan a una red EAP-TLS necesitan certificados para autenticarse con el servidor RADIUS de la red. Para autenticarse como cliente, el dispositivo debe pasar un certificado de cliente al RADIUS. Para realizar la autenticación mutua, el dispositivo también debe tener un certificado de ENTIDAD de certificación raíz para el servidor RADIUS para que pueda autenticar el servidor. Microsoft no proporciona ninguno de estos certificados; usted o su administrador de red son responsables de determinar la entidad de certificación correcta para el servidor RADIUS de la red y, a continuación, adquirir los certificados necesarios del emisor.

Para obtener los certificados para el servidor RADIUS, deberá autenticarse en la entidad de certificación. Puede usar el certificado DAA, como se mencionó anteriormente, para este propósito. Después de adquirir los certificados para el servidor RADIUS, debe almacenarlos en el almacén de certificados del dispositivo. El almacén de certificados de dispositivo solo está disponible para su uso en la autenticación en una red protegida con EAP-TLS. (El certificado DAA no se mantiene en el almacén de certificados del dispositivo; se mantiene de forma segura en el sistema operativo). El comando az sphere device certificate de la CLI le permite administrar el almacén de certificados desde la línea de comandos. Las aplicaciones de Azure Sphere pueden usar certStore API para almacenar, recuperar y administrar certificados en el almacén de certificados del dispositivo. CertStore API también incluye funciones para devolver información sobre certificados individuales para que las aplicaciones puedan prepararse para la expiración y renovación del certificado.

Consulte Uso de EAP-TLS para obtener una descripción completa de los certificados usados en redes EAP-TLS y consulte Protección del acceso Wi-Fi empresarial: EAP-TLS en Azure Sphere en microsoft Tech Community para obtener información adicional.

Aplicaciones de Azure Sphere

Las aplicaciones de Azure Sphere necesitan certificados para autenticarse en servicios web y algunas redes. Según los requisitos del servicio o punto de conexión, una aplicación puede usar el certificado DAA o un certificado de una entidad de certificación externa.

Las aplicaciones que se conectan a un servicio de terceros mediante wolfSSL o una biblioteca similar pueden llamar a la función DeviceAuth_GetCertificatePath para obtener el certificado DAA para la autenticación. Esta función se introdujo en el encabezado deviceauth.h en el SDK 20.10.

La biblioteca de Azure IoT integrada en Azure Sphere ya confía en la entidad de certificación raíz necesaria, por lo que las aplicaciones que usan esta biblioteca para acceder a los servicios de Azure IoT (Azure IoT Hub, Azure IoT Central, servicio de aprovisionamiento de dispositivos) no requieren ningún certificado adicional.

Si las aplicaciones usan otros servicios de Azure, consulte la documentación de esos servicios para determinar qué certificados son necesarios.

Azure Sphere REST API

La API REST de Azure Sphere es un conjunto de puntos de conexión de servicio que admiten operaciones HTTP para crear y administrar recursos de Azure Sphere, como catálogos, productos, implementaciones y grupos de dispositivos. La API REST de Azure Sphere usa el protocolo HTTP REST (REpresentational State Transfer) para enviar solicitudes y respuestas de operación. Los datos devueltos en la respuesta de la operación tienen el formato JSON (notación de objetos JavaScript). Las operaciones disponibles se documentan en la referencia de la API REST de Azure Sphere.

Servicio de seguridad de Azure Sphere

Los servicios en la nube de Azure Sphere en general y el servicio de seguridad, en particular, administran numerosos certificados que se usan en la comunicación segura entre servicios. La mayoría de estos certificados son internos para los servicios y sus clientes, por lo que Microsoft coordina las actualizaciones según sea necesario. Por ejemplo, además de actualizar el certificado TLS de API pública en octubre, el servicio de seguridad de Azure Sphere también actualizó sus certificados TLS para el servicio DAA y el servicio Update. Antes de la actualización, los dispositivos recibieron una actualización de OTA al almacén raíz de confianza que incluía el nuevo certificado raíz necesario. No es necesario realizar ninguna acción del cliente para mantener la comunicación del dispositivo con el servicio de seguridad.

¿Cómo facilita Azure Sphere los cambios de certificado a los clientes?

La expiración del certificado es una causa común de errores para dispositivos IoT que Azure Sphere puede evitar.

Dado que el producto de Azure Sphere incluye el sistema operativo y el servicio de seguridad, Microsoft administra los certificados usados por ambos componentes. Los dispositivos reciben certificados actualizados a través del proceso de DAA, las actualizaciones del sistema operativo y de la aplicación, y los informes de errores sin necesidad de cambios en las aplicaciones. Cuando Microsoft agregó el certificado DigiCert Global Root G2, no se requería ningún cambio en el cliente para continuar con DAA, actualizaciones o informes de errores. Los dispositivos que estaban sin conexión en el momento de la actualización recibieron la actualización tan pronto como se vuelven a conectar a Internet.

El sistema operativo Azure Sphere también incluye la biblioteca de Azure IoT, por lo que si Microsoft realiza cambios adicionales en los certificados que usan las bibliotecas de Azure IoT, actualizaremos la biblioteca en el sistema operativo para que las aplicaciones no necesiten cambiarse. También le informaremos a través de entradas de blog adicionales sobre los casos perimetrales o circunstancias especiales que podrían requerir modificaciones en sus aplicaciones o scripts.

Ambos casos muestran cómo Azure Sphere simplifica la administración de aplicaciones mediante la eliminación de la necesidad de actualizaciones de mantenimiento de las aplicaciones para controlar los cambios de certificado. Dado que cada dispositivo recibe un certificado de actualización como parte de su atestación diaria, puede administrar fácilmente la actualización de cualquier certificado administrado localmente que usen los dispositivos y las aplicaciones. Por ejemplo, si la aplicación valida la identidad del servidor de línea de negocio (como debería), puede implementar un paquete de imagen de aplicación actualizado que incluya certificados actualizados. Los servicios de actualización de aplicaciones proporcionados por la plataforma Azure Sphere entregan esas actualizaciones, lo que elimina la preocupación de que el propio servicio de actualización incurrirá en un problema de expiración del certificado.