Partager via


Authentifier des identités avec des certificats X.509

IoT Hub utilise des certificats X.509 pour authentifier les appareils. L’authentification basée sur le certificat X.509 permet l’authentification d’un appareil IoT au niveau physique dans le cadre de l’établissement d’une connexion TLS (Transport Layer Security) standard.

Un certificat d’autorité de certification X.509 est un certificat numérique qui peut signer d’autres certificats. Un certificat numérique est considéré comme étant X.509 s’il est conforme à la norme de mise en forme des certificats prescrite par la norme RFC 5280 de l’IETF. Une autorité de certification signifie que son détenteur peut signer d’autres certificats.

Cet article décrit comment utiliser des certificats d’autorité de certification X.509 pour authentifier les appareils se connectant à IoT Hub, y compris les étapes suivantes :

  • Guide pratique pour obtenir un certificat d’autorité de certification X.509
  • Guide pratique pour inscrire le certificat de l’autorité de certification X.509 dans IoT Hub
  • Comment signer des appareils à l’aide de certificats d’autorité de certification X.509
  • Comment les appareils signés à l’aide d’une autorité de certification X.509 sont authentifiés

Important

Les fonctionnalités suivantes pour les appareils qui utilisent l’authentification par l’autorité de certification X.509 ne sont pas encore disponibles, et le mode aperçu doit être activé :

  • protocoles HTTPS, MQTT sur WebSockets, et AMQP sur WebSockets.
  • Chargements de fichiers (tous les protocoles).

Ces fonctionnalités sont généralement disponibles sur les appareils qui utilisent l’authentification par empreinte X.509. Pour en savoir plus sur l’authentification X.509 avec IoT Hub, consultez les certificats X.509 pris en charge.

La fonctionnalité d’autorité de certification X.509 permet l’authentification des appareils auprès d’IoT Hub à l’aide d’une autorité de certification. Celle-ci simplifie considérablement le processus d’inscription initial des appareils et la logistique de la chaîne d’approvisionnement lors de la fabrication de l’appareil.

Authentification et autorisation

L’authentification est le processus visant à prouver que vous êtes bien qui vous prétendez être. L’authentification vérifie l’identité d’un utilisateur ou d’un appareil auprès d’IoT Hub. En anglais, elle est parfois abrégée en AuthN. L’autorisation est le processus de confirmation des autorisations pour un utilisateur ou un appareil authentifié sur IoT Hub. Elle spécifie les ressources et les commandes auxquelles vous êtes autorisé à accéder, ainsi que ce que vous pouvez faire avec ces ressources et commandes. En anglais, elle est parfois abrégée en AuthZ.

Cet article décrit l’authentification à l’aide de certificats X.509. Vous pouvez utiliser n’importe quel certificat X.509 pour authentifier un appareil avec IoT Hub en chargeant une empreinte de certificat ou une autorité de certification (CA) sur Azure IoT Hub.

Les certificats X.509 sont utilisés pour l’authentification dans IoT Hub, et non pour l’autorisation. Contrairement à Microsoft Entra ID et aux signatures d’accès partagé, vous ne pouvez pas personnaliser les autorisations avec des certificats X.509.

Mettre en œuvre l’authentification X.509

Pour renforcer la sécurité, un hub IoT peut être configuré pour ne pas autoriser l’authentification SAS pour les appareils et les modules, en laissant X. 509 comme seule option d’authentification acceptée. Actuellement, cette fonctionnalité n’est pas disponible dans le portail Azure. Pour configurer, définissez disableDeviceSAS et disableModuleSAS sur true dans les propriétés de la ressource IOT Hub :

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --set properties.disableDeviceSAS=true properties.disableModuleSAS=true

Avantages de l’authentification par certificat d’autorité de certification X.509

L’authentification par l’autorité de certification X.509 est une approche permettant d’authentifier les appareils dans IoT Hub à l’aide d’une méthode qui simplifie considérablement la création d’une identité d’appareil et la gestion du cycle de vie dans la chaîne d’approvisionnement.

Un attribut distinctif de l’authentification par l’autorité de certification X.509 est la relation un-à-plusieurs qu’entretient un certificat d’autorité de certification avec ses appareils en aval. Cette relation permet d’inscrire autant d’appareils que vous le voulez dans IoT Hub en inscrivant une seule fois un certificat d’autorité de certification X.509. Dans le cas contraire, un certificat unique doit être préalablement inscrit pour chaque appareil avant sa connexion. Cette relation un-à-plusieurs simplifie également les opérations de gestion du cycle de vie des certificats d’appareil.

Un autre attribut important de l’authentification par l’autorité de certification X.509 est la simplification de la logistique de la chaîne d’approvisionnement. L’authentification sécurisée des appareils nécessite que chaque appareil détienne un secret unique comme une clé en tant que base de confiance. Dans l’authentification basée sur les certificats, ce secret est une clé privée. Les flux classiques de fabrication d’appareils impliquent plusieurs étapes et opérateurs. La gestion sécurisée des clés privées des appareils entre plusieurs opérateurs et le maintien de la conformité sont difficiles et coûteux. Le recours aux autorités de certification résout ce problème : chaque opérateur s’inscrit dans une chaîne de confiance cryptographique au lieu de se voir remettre des clés privées d’appareils. Chaque opérateur signe les appareils lors de son étape respective du processus de fabrication. Résultat : une chaîne logistique optimale avec responsabilité intégrée grâce à l’utilisation d’une chaîne de confiance cryptographique.

Ce processus est le plus sécurisé lorsque les appareils protègent leurs clés privées uniques. À cette fin, nous conseillons l’utilisation de modules de sécurité matériels (HSM) capables de générer en interne des clés privées.

Le service Azure IoT Hub DPS (Device Provisioning Service) facilite le provisionnement de groupes d’appareils vers des hubs. Pour plus d’informations, consultez Tutoriel : Provisionner plusieurs appareils X.509 à l’aide de groupes d’inscriptions.

Obtenir un certificat d’autorité de certification X.509

Le certificat de l’autorité de certification X.509 apparaît en haut de la chaîne des certificats pour chacun de vos appareils. Vous pouvez acheter un certificat ou en créer un, selon la façon dont vous souhaitez l’utiliser.

Pour les environnements de production, nous vous recommandons d’acheter un certificat d’autorité de certification X.509 auprès d’un fournisseur professionnel de services de certificats. En achetant un certificat d’autorité de certification, l’autorité de certification racine agit comme un tiers de confiance pour garantir la légitimité de vos appareils. Envisagez cette option si vos appareils font partie d’un réseau IoT ouvert où ils interagissent avec des produits ou services tiers.

Vous pouvez également créer un certificat d’autorité de certification auto-signé X.509 à des fins de test. Pour plus d’informations sur la création de certificats à des fins de test, consultez l’article Créer et charger des certificats à des fins de test.

Notes

Nous ne recommandons pas l’utilisation de certificats auto-signés pour les environnements de production.

Quelle que soit la provenance de votre certificat d’autorité de certification X.509, veillez toujours à garder secrète et à protéger sa clé privée. Cette précaution s’avère nécessaire pour établir une relation de confiance dans le cadre de l’authentification par l’autorité de certification X.509.

Signature d’appareils dans la chaîne de certificats de confiance

Le propriétaire d’un certificat d’autorité de certification X.509 peut signer par chiffrement une autorité de certification intermédiaire qui peut à son tour signer une autre autorité de certification intermédiaire, et ainsi de suite, jusqu’à ce que la dernière autorité de certification intermédiaire mette fin à ce processus en signant un certificat d’appareil. Vous obtenez ainsi une chaîne de certificats en cascade appelée chaîne de certificats de confiance. Cette délégation de confiance est importante car elle établit une chaîne de responsabilités variable par chiffrement et évite le partage des clés de signature.

Diagramme qui montre les certificats dans une chaîne d’approbation.

Le certificat d’appareil (également appelé certificat feuille) doit avoir son nom courant (CN) défini sur l’ID d’appareil (CN=deviceId) utilisé lors de l’inscription de l’appareil IoT dans Azure IoT Hub. Ce paramètre est requis pour l’authentification.

Pour les modules qui utilisent l’authentification X.509, le certificat du module doit avoir son nom commun (CN) dans un format semblable à CN=deviceId/moduleId.

Découvrez comment créer une chaîne de certificats comme lors de la signature des appareils.

Inscrire le certificat d’autorité de certification X.509 dans IoT Hub

Inscrivez votre certificat d’autorité de certification X.509 dans IoT Hub, qui l’utilise pour authentifier vos appareils lors de l’inscription et de la connexion. L’inscription du certificat d’autorité de certification X.509 est un processus en deux étapes, qui comprend le chargement du fichier de certificat et l’établissement d’une preuve de possession.

Le processus de chargement implique le chargement d’un fichier contenant votre certificat. Ce fichier ne doit jamais contenir toutes les clés privées.

La preuve de possession nécessite une vérification par chiffrement et un processus de réponse entre vous et IoT Hub. Comme le contenu du certificat numérique est public et peut donc faire l’objet d’écoutes clandestines, IoT Hub doit vérifier que vous possédez réellement le certificat d’autorité de certification. Vous pouvez choisir de vérifier la propriété automatiquement ou manuellement. Pour la vérification manuelle, Azure IoT Hub génère une demande aléatoire que vous signez avec la clé privée correspondante du certificat d’autorité de certification. Si vous avez gardé la clé privée secrète et protégée comme recommandé, vous êtes alors la seule personne à pouvoir effectuer cette étape. Dans cette méthode, la capacité à garder secrètes les clés privées est la base de la confiance. Après la signature de la demande, effectuez cette étape et vérifiez manuellement votre certificat en chargeant un fichier contenant les résultats.

Découvrez comment inscrire votre certificat d’autorité de certification.

Authentifier les appareils signés avec des certificats d’autorité de certification X.509

Chaque hub IoT possède un registre des identités qui stocke des informations sur les appareils et modules autorisés à s’y connecter. Pour qu’un appareil ou module puisse se connecter, une entrée correspondant à cet appareil ou module doit figurer dans le registre des identités du hub IoT. Un appareil ou module s’authentifie auprès du hub IoT à l’aide des informations d’identification stockées dans le registre des identités.

Une fois votre certificat d’autorité de certification X.509 inscrit et les appareils connectés à une chaîne de certificats de confiance, la dernière étape est l’authentification de l’appareil lorsqu’il se connecte. Lorsqu’un appareil signé par une autorité de certification X.509 se connecte, il charge sa chaîne de certificats pour validation. La chaîne inclut tous les certificats intermédiaires d’autorité de certification et d’appareil. Grâce à ces informations, IoT Hub authentifie l’appareil dans un processus en deux étapes. IoT Hub valide par chiffrement la chaîne de certificats pour la cohérence interne, puis lance une procédure de vérification de la preuve de possession sur l’appareil. IoT Hub authentifie l’appareil si celui-ci répond de façon correcte à la demande de preuve de possession. Cette déclaration suppose que la clé privée de l’appareil est protégée et que seul l’appareil peut répondre correctement à cette demande. Nous recommandons d’utiliser sur les appareils des puces sécurisées comme les modules de sécurité matériels (HSM) afin de protéger les clés privées.

La connexion réussie d’un appareil à IoT Hub termine le processus d’authentification et constitue un bon indicateur d’une configuration correcte. Chaque fois qu’un appareil se connecte, IoT Hub renégocie la session TLS et vérifie le certificat X.509 de l’appareil.

Révoquer un certificat d’appareil

IoT Hub ne vérifie pas les listes de révocation de certificats auprès de l’autorité de certification lors de l’authentification des appareils avec une authentification basée sur un certificat. Si vous avez un appareil dont vous avez besoin d’empêcher la connexion à IoT Hub en raison d’un certificat potentiellement compromis, vous devez désactiver l’appareil dans le registre des identités. Pour plus d’informations, consultez Désactiver ou supprimer un appareil.

Exemple de scénario

L’entreprise X crée des appareils Smart-X-Widget qui sont conçus pour une installation professionnelle. L’entreprise X sous-traite la fabrication et l’installation. L’usine Y fabrique les appareils Smart-X-Widget et le technicien Z les installe. L’entreprise X souhaite que les appareils Smart-X-Widget soient directement envoyés de l’usine Y au technicien Z pour l’installation, et qu’ils soient directement reliés à l’instance IoT Hub de l’entreprise X. Pour ce faire, l’entreprise X doit effectuer quelques opérations de configuration uniques pour préparer le widget Smart-X à la connexion automatique. Ce scénario de bout en bout inclut les étapes suivantes :

  1. Acquérir le certificat de l’autorité de certification X.509

  2. Inscrire le certificat d’autorité de certification X.509 dans IoT Hub

  3. Signer les appareils dans une chaîne de certificats de confiance

  4. Connecter les appareils

Ces étapes sont illustrées dans le Tutoriel : Créer et charger des certificats à des fins de test.

Acquérir le certificat

L’entreprise X a la possibilité d’acheter un certificat d’autorité de certification X.509 auprès d’une autorité de certification racine publique ou d’en créer un via un processus auto-signé. Quelle que soit l’option choisie, le processus implique deux étapes fondamentales : la génération d’une paire de clés publique/privée et la signature de la clé publique dans un certificat.

La réalisation de ces étapes diffère en fonction des prestataires de services.

Diagramme montrant le flux de la génération d’un certificat d’autorité de certification X.509.

Acheter un certificat

En achetant un certificat d’autorité de certification, une autorité de certification racine connue agit comme un tiers de confiance pour garantir la légitimité de vos appareils IoT lors de leur connexion. Choisissez cette option si vos appareils interagissent avec des produits ou des services tiers.

Pour acheter un certificat d’autorité de certification X.509, choisissez un fournisseur de service de certificat racine. Le fournisseur d’autorité de certification racine vous aidera à créer la paire de clés publique/privée et à générer une demande de signature de certificat pour les services. Une demande de signature de certificat correspond au processus formel de demande de certificat auprès d’une autorité de certification. Le résultat de cet achat est un certificat à utiliser comme certificat d’autorité. Étant donné l’omniprésence des certificats X.509, le certificat aura certainement été correctement mis en forme conformément à la norme RFC 5280 de l’IETF.

Créer un certificat auto-signé

Le processus de création d’un certificat d’autorité de certification X.509 auto-signé est similaire au processus d’achat, hormis qu’un signataire tiers, comme l’autorité de certification racine, n’est pas impliqué. Dans notre exemple, l’entreprise X signe son certificat d’autorité à la place d’une autorité de certification racine.

Vous pouvez choisir cette option à des fins de test, jusqu’à ce que vous soyez prêt à acheter un certificat d’autorité. Vous pouvez également utiliser un certificat d’autorité de certification X.509 auto-signé en production si vos appareils ne se connectent à aucun service tiers en dehors d’IoT Hub.

Inscrire le certificat dans IoT Hub

L’entreprise X doit inscrire l’autorité de certification X.509 dans IoT Hub, où elle sert à authentifier les widgets Smart-X lors de leur connexion. Ce processus unique permet d’authentifier et de gérer autant d’appareils Smart-X-Widget que vous le souhaitez. La relation un-à-plusieurs entre le certificat d’autorité de certification et les certificats d’appareil est l’un des principaux avantages de l’utilisation de la méthode d’authentification via l’autorité de certification X.509. L’autre solution consiste à charger les empreintes de chaque certificat pour chaque appareil Smart-X-Widget, ce qui augmente les coûts d’exploitation.

L’inscription du certificat d’autorité de certification X.509 est un processus en deux étapes, qui comprend le chargement du certificat et la fourniture d’une preuve de possession.

Diagramme montrant le flux du processus d’inscription d’un certificat d’autorité de certification X.509.

Téléchargement du certificat

Le processus de chargement du certificat d’autorité de certification X.509 consiste simplement à charger le certificat d’autorité de certification sur IoT Hub. IoT Hub attend le certificat sous forme de fichier.

Le fichier de certificat ne doit en aucun cas contenir des clés privées. Les bonnes pratiques des normes régissant l’infrastructure à clé publique imposent que les clés privées de l’entreprise X soient exclusivement connues au sein de l’entreprise X.

Fournir une preuve de possession

Le certificat de l’autorité de certification X.509, tout comme n’importe quel certificat numérique, constitue des informations publiques qui sont susceptibles d’être volées. Par conséquent, une personne malveillante peut intercepter un certificat et essayer de le charger comme s’il s’agissait du sien. Dans notre exemple, IoT Hub doit s’assurer que le certificat d’autorité de certification chargé par l’entreprise X appartient réellement à l’entreprise X. Pour ce faire, IoT Hub demande à l’entreprise X de prouver qu’elle possède le certificat via un flux de preuve de possession.

Pour le flux de preuve de possession, IoT Hub génère un nombre aléatoire que l’entreprise X doit signer à l’aide de sa clé privée. Si l’entreprise X a suivi les bonnes pratiques de l’infrastructure à clé publique et a protégé sa clé privée, alors elle est la seule à pouvoir répondre correctement au défi de la preuve de possession. IoT Hub poursuit l’inscription du certificat de l’autorité de certification X.509 en cas de réponse correcte au défi de la preuve de possession.

En cas de réponse correcte d’IoT Hub au défi de la preuve de possession, l’inscription de l’autorité de certification X.509 est terminée.

Signer les appareils dans une chaîne de certificats de confiance

IoT nécessite une identité unique pour chaque appareil qui se connecte. Pour l’authentification basée sur les certificats, ces identités sont sous la forme de certificats. Dans notre exemple, l’authentification basée sur les certificats signifie que chaque appareil Smart-X-Widget doit posséder un certificat d’appareil unique.

Une façon valide mais inefficace de fournir des certificats uniques sur chaque appareil consiste à pré-générer des certificats pour les widgets Smart-X et à approuver les partenaires de chaîne d’approvisionnement avec les clés privées correspondantes. Pour l’entreprise X, cela signifie faire confiance à l’usine Y et au technicien Z. Cette méthode implique des défis qui doivent être relever pour assurer la confiance :

  • Devoir partager les clés privées des appareils avec les partenaires de la chaîne logistique rend la confiance dans la chaîne logistique coûteuse, outre le fait que cela ne respecte pas les meilleures pratiques de l’infrastructure de clé publique qui indiquent de ne jamais partager les clés privées. Cela nécessite que des systèmes comme des salles sécurisées hébergent les clés privées des appareils et des processus tels que des audits de sécurité périodiques. Ceux-ci ajoutent des coûts à la chaîne logistique.

  • La comptabilité sécurisée des appareils dans la chaîne d’approvisionnement et leur gestion ultérieure dans le déploiement deviennent une tâche individualisée pour chaque paire clé-appareil, de la génération d’un certificat d’appareil unique (avec clé privée) à la mise hors service de l’appareil. Cela empêche la gestion de groupe des appareils, à moins que le concept de groupes ne soit explicitement intégré au processus, d’une manière ou d’une autre. Par conséquent, la comptabilité sécurisée et la gestion du cycle de vie des appareils se transforment en une charge d’exploitation lourde.

L’authentification par certificat d’autorité de certification X.509 propose des solutions à ces défis grâce à l’utilisation de chaînes de certificats. Une chaîne de certificats est créée lorsqu’une autorité de certification signe une autorité de certification intermédiaire, qui à son tour signe une autre autorité de certification intermédiaire, et ainsi de suite jusqu’à ce qu’une autorité de certification intermédiaire finale signe un appareil. Dans notre exemple, l’entreprise X signe l’usine Y, qui à son tour signe le technicien Z, qui signe le widget Smart-X.

Diagramme montrant un exemple de hiérarchie de chaîne de certificats.

Cette cascade de certificats dans la chaîne représente le transfert logique de l’autorité. De nombreuses chaînes d’approvisionnement suivent ce transfert logique, selon lequel chaque autorité de certification intermédiaire est signée dans la chaîne tout en recevant tous les certificats d’autorité de certification en amont, et la dernière autorité de certification intermédiaire signe chaque appareil et injecte tous les certificats de l’autorité de la chaîne dans l’appareil. Ce transfert est courant lorsque le fabricant sous contrat qui dispose d’une hiérarchie d’usines nomme une usine donnée pour la fabrication. Bien que la hiérarchie puisse comporter plusieurs niveaux (par exemple, par région/type de produit/ligne de fabrication), seule l’usine en bout de chaîne peut interagir avec l’appareil, mais la chaîne est conservée à partir du haut de la hiérarchie.

Dans d’autres chaînes, des autorités de certification intermédiaires différentes peuvent interagir avec l’appareil, auquel cas l’autorité de certification qui interagit avec l’appareil injecte le contenu de la chaîne de certificats à ce stade. Des modèles hybrides sont également possibles : seules certaines autorités de certification ont alors une interaction physique avec l’appareil.

Le diagramme suivant montre comment la chaîne de certificats de confiance s’assemble dans notre exemple Smart-X-Widget.

Diagramme montrant la chaîne de certificats d’approbation allant des certificats d’une entreprise aux certificats d’une autre entreprise.

  1. L’entreprise X n’interagit jamais physiquement avec aucun des appareils Smart-X-Widget. Elle lance la chaîne de certificats de confiance en signant le certificat d’autorité de certification intermédiaire de l’usine Y.
  2. L’usine Y possède désormais son propre certificat d’autorité de certification intermédiaire et une signature de l’entreprise X. Elle transmet des copies de ces éléments à l’appareil. Elle utilise également son certificat d’autorité de certification intermédiaire pour signer le certificat d’autorité de certification intermédiaire du technicien Z et le certificat d’appareil Smart-X-Widget.
  3. Le technicien Z possède désormais son propre certificat d’autorité de certification intermédiaire et une signature de l’usine Y. Il transmet des copies de ces éléments à l’appareil. Il utilise également son certificat d’autorité de certification intermédiaire pour signer le certificat d’appareil Smart-X-Widget.
  4. Chaque appareil Smart-X-Widget possède désormais son propre certificat d’appareil unique et les copies des clés publiques et des signatures de chaque certificat d’autorité de certification intermédiaire avec lequel il a interagi dans toute la chaîne d’approvisionnement. Ces certificats et signatures peuvent être retracés jusqu’à la racine d’origine de l’entreprise X.

La méthode d’authentification par l’autorité de certification ajoute la comptabilité sécurisée à la chaîne d’approvisionnement de fabrication de l’appareil. Du fait du processus de la chaîne de certificats, les actions de chaque membre de la chaîne sont enregistrées sous forme chiffrée et peuvent être vérifiées.

Ce processus s’appuie sur l’hypothèse selon laquelle la paire de clés publique/privée d’appareil unique est créée indépendamment et que la clé privée est toujours protégée au sein de l’appareil. Heureusement, il existe des puces en silicium sécurisées sous forme de modules de sécurité matériels capables de générer des clés en interne et de protéger les clés privées. L’entreprise X doit simplement ajouter une de ces puces à la nomenclature des composants de Smart-X-Widget.

Authentifier des appareils

Une fois que le certificat d’autorité de certification de niveau supérieur est inscrit dans IoT Hub et que les appareils ont leurs certificats uniques, comment se connectent-ils ? En inscrivant une seule fois un certificat d’autorité de certification X.509 dans IoT Hub, comment des millions d’appareils peuvent-ils se connecter et être authentifiés dès la première fois ? Via le flux de chargement de certificat et de preuve de possession que nous avons rencontré précédemment lors de l’inscription du certificat d’autorité de certification X.509.

Les appareils fabriqués pour l’authentification par l’autorité de certification X.509 sont équipés de certificats d’appareil uniques et d’une chaîne de certificats provenant de leur chaîne d’approvisionnement de fabrication respective. La connexion de l’appareil, même la première fois, suit un processus en deux étapes : chargement de la chaîne de certificats et preuve de possession.

Au cours du chargement de la chaîne de certificats, l’appareil charge son certificat unique et sa chaîne de certificats sur IoT Hub. À l’aide du certificat d’autorité de certification X.509 préalablement inscrit, IoT Hub valide que la chaîne de certificats chargée est cohérente en interne et qu’elle a été émise par le propriétaire valide du certificat d’autorité de certification X.509. Comme avec le processus d’inscription d’autorité de certification X.509, IoT Hub utilise un processus de demande/réponse concernant la preuve de possession afin de s’assurer que la chaîne (et donc le certificat de l’appareil) appartient bien à l’appareil qui la charge. Si la réponse est correcte, IoT Hub accepte l’appareil comme authentique et l’autorise à se connecter.

Dans notre exemple, chaque widget Smart-X chargerait son certificat d’appareil unique avec les certificats d’autorité de certification X.509 de l’usine Y et du technicien Z, et répondrait ensuite au défi de preuve de possession d’IoT Hub.

Diagramme montrant le flux de la validation d’un certificat d’appareil.

La base de la confiance réside dans la protection des clés privées, y compris les clés privées des appareils. Nous ne pourrons jamais insister suffisamment sur l’importance des puces en silicium sécurisées sous la forme de modules de sécurité matériels afin de protéger les clés privées des appareils et la bonne pratique globale consistant à ne jamais partager les clés privées, par exemple une usine confiant sa clé privée à une autre.

Étapes suivantes

Utilisez le service Device Provisioning pour provisionner plusieurs appareils X.509 à l’aide de groupes d’inscriptions.

Pour en savoir plus sur les champs qui constituent un certificat X.509, consultez Certificat X.509.

Si vous avez un certificat d’autorité de certification racine ou un certificat d’autorité de certification subordonnée, et que vous voulez le charger sur votre hub IoT, vous devez vérifier que vous êtes propriétaire de ce certificat. Pour plus d’informations, consultez le Tutoriel : Créer et charger des certificats à des fins de test.