Vérifier des certificats d’autorité de certification X.509 auprès de votre service de provisionnement des appareils

Un certificat d’autorité de certification X.509 vérifié est un certificat d’autorité de certification qui a été chargé et inscrit dans votre service de provisionnement, puis vérifié automatiquement ou avec une preuve de possession par le service.

Les certificats vérifiés jouent un rôle important lors de l’utilisation de groupes d’inscription. La vérification de la propriété du certificat fournit un niveau de sécurité supplémentaire en permettant de s’assurer que l’utilisateur qui a chargé le certificat est en possession de la clé privée associée. La vérification empêche tout acteur malveillant qui intercepte votre trafic d’extraire un certificat intermédiaire et de l’utiliser pour créer un groupe d’inscription dans son propre service d’approvisionnement à des fins de détournement de vos appareils. En prouvant que vous êtes le propriétaire du certificat racine ou d’un certificat intermédiaire dans une chaîne d’approbation, vous prouvez que vous êtes autorisé à générer des certificats feuilles pour les appareils qui seront inscrits dans le cadre de ce groupe d’inscription. Par conséquent, le certificat racine ou intermédiaire configuré dans un groupe d’inscription doit être un certificat vérifié ou être associé à un certificat vérifié dans la chaîne d’approbation présentée par un appareil lors de son authentification auprès du service. Pour en savoir plus sur l’attestation de certificat X.509, consultez Certificats X.509.

Prérequis

Avant de commencer les étapes de cet article, préparez les prérequis suivants :

• Une instance DPS créée dans votre abonnement Azure.
• Un fichier de certificat .cer ou .pem.

Vérification automatique de l’autorité de certification intermédiaire ou racine par le biais de l’auto-attestation

Si vous utilisez une autorité de certification intermédiaire ou racine de confiance et que vous savez que vous avez la pleine propriété du certificat, vous pouvez auto-attester que vous avez vérifié le certificat.​

Pour ajouter un certificat auto-vérifié, procédez comme suit :

1. Dans le portail Azure, accédez à votre service de provisionnement et sélectionnez Certificats dans le menu de gauche.

2. Sélectionnez Ajouter pour ajouter un nouveau certificat.

3. Entrez un nom d’affichage convivial pour votre certificat.

4. Accédez au fichier .cer ou .pem représentant la partie publique de votre certificat X.509. Cliquez sur Télécharger.

5. Cochez la case en regard de Définir l’état du certificat sur vérifié lors du chargement.

   

6. Sélectionnez Enregistrer.

7. Votre certificat apparaît dans l’onglet des certificats avec l’état Vérifié.

   

Vérification manuelle de l’autorité de certification racine ou intermédiaire

La vérification automatique est recommandée lorsque vous chargez de nouveaux certificats d’autorité de certification intermédiaires ou racines dans DPS. Toutefois, vous pouvez toujours effectuer une preuve de possession si votre scénario IoT le demande.

La preuve de possession implique les étapes suivantes :

1. Obtenir un code de vérification unique généré par le service d’approvisionnement pour votre certificat d’autorité de certification X.509. Vous pouvez effectuer cette opération à partir du portail Azure.
2. Créer un certificat de vérification X.509 avec le code de vérification en tant que sujet et signer le certificat avec la clé privée associée à votre certificat d’autorité de certification X.509.
3. Charger le certificat de vérification signé dans le service. Le service valide le certificat de vérification à l’aide de la partie publique du certificat d’autorité de certification à vérifier, prouvant ainsi que vous êtes en possession de la clé privée du certificat de l’autorité de certification.

Inscrire la partie publique d’un certificat X.509 et obtenir un code de vérification

Pour inscrire un certificat d’autorité de certification auprès de votre service d’approvisionnement et obtenir un code de vérification que vous pouvez utiliser lors de la preuve de possession, procédez comme suit.

1. Dans le portail Azure, accédez à votre service d’approvisionnement et ouvrez Certificats dans le menu de gauche.

2. Sélectionnez Ajouter pour ajouter un nouveau certificat.

3. Entrez un nom d’affichage convivial pour votre certificat dans le champ Nom du certificat.

4. Sélectionnez l’icône de dossier et accédez au fichier .cer ou .pem représentant la partie publique de votre certificat X.509. Sélectionnez Ouvrir.

5. Une fois que vous avez obtenu une notification vous informant que votre certificat a été correctement chargé, sélectionnez Enregistrer.

   

   Votre certificat apparaît maintenant dans la liste Explorateur de certificats. Notez que l’état de ce certificat est Non vérifié.

6. Sélectionnez le certificat que vous avez ajouté à l’étape précédente pour ouvrir ses détails.

7. Dans les détails du certificat, notez que le champ Code de vérification est vide. Sélectionnez le bouton Générer un code de vérification.

   

8. Le service de provisionnement crée un code de vérification que vous pouvez utiliser pour valider la propriété du certificat. Copiez ce code dans le Presse-papiers.

Signer numériquement le code de vérification pour créer un certificat de vérification

Vous devez à présent signer le code de vérification à partir de DPS avec la clé privée associée à votre certificat d’autorité de certification X.509, ce qui génère une signature. Cette étape est appelée Preuve de possession et produit un certificat de vérification signé.

Microsoft propose des outils et des exemples conçus pour simplifier la création d’un certificat de vérification signé :

• Le Kit de développement logiciel (SDK) C Azure IoT Hub fournit des scripts PowerShell (Windows) et Bash (Linux) pour vous aider à créer des certificats d’autorité de certification et des certificats feuilles pour le développement, et à effectuer la preuve de possession à l’aide d’un code de vérification. Vous pouvez télécharger les fichiers appropriés pour votre système dans un dossier de travail et suivre les instructions du fichier readme de l’exemple de gestion de certificats d’autorité de certification pour effectuer la preuve de possession sur un certificat d’autorité de certification.
• Le SDK C# Azure IoT Hub contient l’exemple de vérification de certificat de groupe, que vous pouvez utiliser pour effectuer la preuve de possession.

Les scripts PowerShell et Bash fournis dans la documentation et les Kits de développement logiciel (SDK) s’appuient sur OpenSSL. Vous pouvez également utiliser OpenSSL ou d’autres outils tiers pour vous aider à effectuer la preuve de possession. Pour obtenir un exemple d’utilisation des outils fournis avec les Kits de développement logiciel (SDK), consultez Créer une chaîne de certificats X.509.

Charger le certificat de vérification signé

Chargez la signature obtenue comme certificat de vérification dans votre service de provisionnement dans le portail Azure.

1. Dans les détails du certificat dans le portail Azure, là où vous avez obtenu le code de vérification, sélectionnez l’icône de dossier à côté du champ Fichier .pem ou .cer du certificat de vérification. Accédez au certificat de vérification signé à partir de votre système, puis sélectionnez Ouvrir.

2. Dès que le certificat est chargé, sélectionnez Vérifier. L’état de votre certificat devient Vérifié dans la liste Certificats. Sélectionnez Actualiser s’il ne se met pas à jour automatiquement.

Étapes suivantes

• Pour savoir comment utiliser le portail pour créer un groupe d’inscription, consultez Gérer les inscriptions d’appareils avec le portail Azure.
• Pour savoir comment utiliser les Kits de développement logiciel (SDK) pour créer un groupe d’inscription, consultez Gérer les inscriptions d’appareils avec les Kits de développement logiciel (SDK) Service.