Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La administración de certificados en Azure IoT Hub está diseñada para simplificar la administración de certificados X.509 para dispositivos IoT. En este artículo se presentan los conceptos fundamentales relacionados con la administración de certificados y la autenticación basada en certificados en IoT Hub. Para obtener más información, consulte ¿Qué es la administración de certificados (versión preliminar)?.
Importante
Azure IoT Hub con integración de ADR y administración de certificados X.509 respaldado por Microsoft está en versión preliminar pública y no se recomienda para cargas de trabajo de producción. Para más información, consulte las preguntas más frecuentes: Novedades de IoT Hub.
Infraestructura de clave pública (PKI)
PKI es un sistema que usa certificados digitales para autenticar y cifrar datos entre dispositivos y servicios. Los certificados PKI son esenciales para proteger varios escenarios, como la identidad de dispositivo y web. En la configuración de IoT, la administración de certificados PKI puede ser complicada, costosa y compleja, especialmente para las organizaciones que tienen un gran número de dispositivos y requisitos de seguridad estrictos. Puede usar la administración de certificados para mejorar la seguridad de los dispositivos y acelerar la transformación digital a un servicio PKI en la nube totalmente administrado.
PKI de microsoft frente a PKI de terceros
Aunque IoT Hub admite dos tipos de proveedores PKI para la autenticación de certificados X.509, la administración de certificados actualmente solo admite PKI administrada por Microsoft (de primera entidad). Para obtener información sobre el uso de proveedores de PKI de terceros, consulte Autenticación de dispositivos con certificados de entidad de certificación X.509.
| Proveedor PKI | Integración necesaria | Registro de dispositivos de Azure requerido | Servicio de provisionamiento de dispositivos necesario |
|---|---|---|---|
| PKI administrado por Microsoft | No. Configure las entidades de certificación directamente en Azure Device Registry. | Sí | Sí |
| PKI de terceros (DigiCert, GlobalSign, etc.) | Sí. Se requiere la integración manual. | No | No |
Certificados X.509
Un certificado X.509 es un documento digital que enlaza una clave pública a la identidad de una entidad, como un dispositivo, usuario o servicio. La autenticación basada en certificados proporciona varias ventajas sobre métodos menos seguros:
- Los certificados usan criptografía de clave pública o privada. La clave pública se comparte libremente, mientras que la clave privada permanece en el dispositivo y puede residir dentro de módulos de plataforma segura (TPM) o elementos seguros. Esto evita que los atacantes suplanten el dispositivo.
- Los certificados se emiten y validan a través de una jerarquía de entidad de certificación (CA), lo que permite a las organizaciones confiar en millones de dispositivos a través de una sola CA sin administrar secretos para cada dispositivo.
- Los dispositivos se autentican en la nube y la nube se autentican en el dispositivo, lo que permite la autenticación mutua de seguridad de la capa de transporte (TLS).
- Los certificados tienen períodos de validez definidos y se pueden renovar o revocar centralmente.
Hay dos categorías generales de certificados X.509:
Certificados de autoridad de certificación: Estos certificados son emitidos por una autoridad de certificación (CA) y se utilizan para firmar otros certificados. Los certificados de Autoridad de Certificación incluyen certificados raíz e intermedios.
Entidad de certificación raíz: Un certificado raíz es un certificado de nivel superior autofirmado de una entidad de certificación de confianza que se puede usar para firmar ca intermedias.
Entidad de certificación intermedia o emisora: Un certificado intermedio es un certificado de entidad de certificación que está firmado por un certificado raíz de confianza. Los certificados intermedios también pueden emitir CA, siempre que se usen para firmar certificados de entidad final.
Nota:
Puede resultar útil usar diferentes certificados intermedios para diferentes conjuntos o grupos de dispositivos, como dispositivos de diferentes fabricantes o modelos diferentes de dispositivos. El motivo para usar diferentes certificados es reducir el impacto total en la seguridad si algún certificado determinado está en peligro.
Certificados de entidad final: Estos certificados, que pueden ser de dispositivo individual o bien certificados de hoja, están firmados por certificados de autoridad de certificación y se emiten a usuarios, servidores o dispositivos.
Solicitud de firma de certificado
Una solicitud de firma de certificado (CSR) es un mensaje firmado digitalmente que un cliente, como un dispositivo IoT, genera para solicitar un certificado firmado desde una entidad de certificación (CA). La CSR incluye la clave pública del dispositivo y la información de identificación, como su identificador de registro, y se firma con la clave privada del dispositivo para demostrar la propiedad de la clave.
Una CSR debe seguir los requisitos de directiva de PKI, incluidos los algoritmos de clave aprobados, los tamaños de clave y los formatos de campo de asunto. Cuando un dispositivo genera una nueva clave privada, también genera una nueva CSR. Una vez que la ENTIDAD de certificación comprueba y aprueba la CSR, emite un certificado X.509 que enlaza la identidad del dispositivo a su clave pública. Este proceso garantiza que solo los dispositivos puedan demostrar la posesión de su clave privada reciben certificados de confianza.
Requisitos de solicitud de firma de certificados en Device Provisioning Service
En la administración de certificados, los dispositivos envían CSR durante el aprovisionamiento o el reaprovisionamiento. Device Provisioning Service (DPS) espera solicitudes de firma de certificado (CSR) en formato de reglas de codificación distinguidas (DER) codificadas en Base64, siguiendo la especificación #10 de estándares de criptografía de clave pública (PKCS). El envío excluye encabezados y pies de página de correo mejorados para privacidad (PEM). El campo nombre común (CN) del CSR debe coincidir exactamente con el identificador de registro del dispositivo.
Autenticación frente a autorización
La autenticación significa probar la identidad en IoT Hub. Comprueba que un usuario o dispositivo es quien dice ser. Este proceso se suele denominar AuthN.
La autorización significa confirmar lo que un usuario o dispositivo autenticado puede acceder o hacer en IoT Hub. Define permisos para los recursos y comandos. A veces, la autorización se denomina AuthZ.
Los certificados X.509 solo se usan para la autenticación en IoT Hub, no para la autorización. A diferencia del identificador de Entra de Microsoft y las firmas de acceso compartido, no se pueden personalizar los permisos con certificados X.509.