X.509 tanúsítványigazolás

Ez a cikk áttekintést nyújt a Device Provisioning Service (DPS) azon fogalmairól, amelyek az X.509-tanúsítványigazolást használó eszközök üzembe helyezésekor szerepet játszanak. Ez a cikk az eszközök üzembe helyezésre való felkészítésében részt vevő összes személy számára releváns.

Az X.509-tanúsítványok egy hardveres biztonsági modul HSM-ben tárolhatók.

Tipp.

Határozottan javasoljuk, hogy használjon HSM-et eszközökkel, hogy biztonságosan tárolja a titkos kulcsokat, például az X.509-tanúsítványt az éles környezetben lévő eszközökön.

X.509-tanúsítványok

Az X.509-tanúsítványok igazolási mechanizmusként való használata kiváló módszer az éles környezet méretezésére és az eszközök kiépítésének egyszerűsítésére. Az X.509-tanúsítványok általában egy megbízhatósági tanúsítványláncban vannak elrendezve, amelyben a lánc minden tanúsítványát a következő magasabb tanúsítvány titkos kulcsa írja alá, és így tovább, egy önaláírt főtanúsítványban végződik. Ez az elrendezés egy delegált megbízhatósági láncot hoz létre a megbízható főtanúsítvány (CA) által létrehozott főtanúsítványból minden köztes hitelesítésszolgáltatón keresztül az eszközön telepített végfelhasználói "levél" tanúsítványig. További információ: Eszközhitelesítés X.509 hitelesítésszolgáltatói tanúsítványokkal.

A tanúsítványlánc gyakran az eszközökhöz társított logikai vagy fizikai hierarchiát jelöli. Egy gyártó például:

  • önaláírt legfelső szintű hitelesítésszolgáltatói tanúsítvány kiállítása
  • a főtanúsítvány használatával egyedi köztes hitelesítésszolgáltatói tanúsítványt hozhat létre az egyes gyárakhoz
  • az egyes gyárak tanúsítványával hozzon létre egy egyedi köztes hitelesítésszolgáltatói tanúsítványt az üzem minden egyes gyártósorához
  • és végül használja a gyártósori tanúsítványt, hogy egyedi eszköztanúsítványt (végfelhasználói tanúsítványt) hozzon létre a sorban gyártott minden egyes eszközhöz.

További információ: X.509 CA-tanúsítványok elméleti ismerete az IoT-iparágban.

Főtanúsítvány

A főtanúsítvány egy hitelesítésszolgáltatót (CA) képviselő, önaláírt X.509-tanúsítvány. Ez a tanúsítványlánc végállomása vagy megbízhatósági horgonya. A főtanúsítványokat a szervezet saját maga állíthatja ki, vagy főtanúsítvány-szolgáltatótól vásárolhatja meg. További információ: X.509 CA-tanúsítványok lekérése. A főtanúsítványt legfelső szintű hitelesítésszolgáltatói tanúsítványnak is nevezhetjük.

Köztes tanúsítvány

A köztes tanúsítvány egy X.509-tanúsítvány, amelyet a főtanúsítvány (vagy egy másik köztes tanúsítvány, amelynek a főtanúsítványa van a láncban). A lánc utolsó köztes tanúsítványa a levéltanúsítvány aláírására szolgál. A köztes tanúsítványok köztes hitelesítésszolgáltatói tanúsítványnak is nevezhetők.

Miért hasznosak a köztes tanúsítványok?

A köztes tanúsítványokat többféleképpen használják. A köztes tanúsítványok például az eszközök terméksorok, eszközöket vásárló ügyfelek, vállalati részlegek vagy gyárak szerinti csoportosítására használhatók.

Tegyük fel, hogy a Contoso egy nagyvállalat, amelynek saját nyilvános kulcsú infrastruktúrája (PKI) a ContosoRootCert nevű főtanúsítványt használja. A Contoso minden leányvállalata saját közbenső tanúsítvánnyal rendelkezik, amelyet a ContosoRootCert ír alá. Ezután minden leányvállalat a köztes tanúsítványával írja alá az egyes eszközök levéltanúsítványait. Ebben az esetben a Contoso egyetlen DPS-példányt használhat, ahol a ContosoRootCert egy ellenőrzött tanúsítvány. Mindegyik leányvállalathoz tartozhat regisztrációs csoport. Így minden egyes leányvállalatnak nem kell aggódnia a tanúsítványok ellenőrzése miatt.

End-entity "leaf" tanúsítvány

A levéltanúsítvány vagy a végfelhasználói tanúsítvány azonosítja a tanúsítvány tulajdonosát. A főtanúsítvány a tanúsítványláncban, valamint nulla vagy több köztes tanúsítványt tartalmaz. A levéltanúsítvány nem használható más tanúsítványok aláírására. Egyedileg azonosítja az eszközt a kiépítési szolgáltatásban, és néha eszköztanúsítványnak is nevezik. A hitelesítés során az eszköz a tanúsítványhoz társított titkos kulcsot használja a szolgáltatás birtoklási igazolásának megválaszolásához.

Az egyéni regisztrációhoz vagy a regisztrációs csoport bejegyzéseihez használt levéltanúsítványoknak a regisztrációs azonosítóra kell állítaniuk a tulajdonos közös nevét (CN). A regisztrációs azonosító azonosítja az eszközregisztrációt a DPS-szel, és egyedinek kell lennie azon DPS-példány (azonosító hatóköre) esetében, ahol az eszköz regisztrál. A regisztrációs azonosító az alfanumerikus karakterek kis- és nagybetűket nem megkülönböztető sztringje, valamint a speciális karakterek: '-', '.', '_', ':'. Az utolsó karakternek alfanumerikusnak vagy kötőjelnek ('-') kell lennie. A DPS legfeljebb 128 karakter hosszú regisztrációs azonosítókat támogat; az X.509-tanúsítványban azonban a tulajdonos közös nevének maximális hossza 64 karakter. A regisztrációs azonosító ezért X.509-tanúsítványok használatakor legfeljebb 64 karakter hosszúságú lehet.

Regisztrációs csoportok esetén a tulajdonos közös neve (CN) az IoT Hubon regisztrált eszközazonosítót is beállítja. Az eszközazonosító megjelenik a regisztrált eszköz regisztrációs rekordjai között a regisztrációs csoportban. Egyéni regisztrációk esetén az eszközazonosító a regisztrációs bejegyzésben állítható be. Ha nincs beállítva a regisztrációs bejegyzésben, akkor a rendszer a tulajdonos köznapi nevét (CN) használja.

További információ: X.509 hitelesítésszolgáltatói tanúsítványokkal aláírt eszközök hitelesítése.

A kiépítési szolgáltatáshoz való eszközhozzáférés szabályozása X.509-tanúsítványokkal

A kiépítési szolgáltatás két regisztrációs típust tesz elérhetővé, amelyekkel szabályozhatja az eszközök hozzáférését az X.509 igazolási mechanizmussal:

  • Az egyes regisztrációs bejegyzések egy adott eszközhöz társított eszköztanúsítvánnyal vannak konfigurálva. Ezek a bejegyzések bizonyos eszközök regisztrációit szabályozzák.
  • A regisztrációs csoport bejegyzései egy adott köztes vagy fő hitelesítésszolgáltatói tanúsítvánnyal vannak társítva. Ezek a bejegyzések minden olyan eszköz regisztrációját szabályozzák, amely rendelkezik ezzel a közbenső vagy főtanúsítvánnyal a tanúsítványláncban.

A tanúsítvány csak egy regisztrációs bejegyzésben adható meg a DPS-példányban.

Kölcsönös TLS-támogatás

Ha a DPS-regisztrációk X.509-igazoláshoz vannak konfigurálva, a DPS támogatja a kölcsönös TLS-t (mTLS).

A DPS-eszközlánc követelményei

Ha egy eszköz regisztrációs csoporttal próbál regisztrálni a DPS-ben, az eszköznek a levéltanúsítványból egy hitelesített tanúsítványba kell küldenie a tanúsítványláncot. Ellenkező esetben a hitelesítés sikertelen lesz.

Ha például csak a főtanúsítványt ellenőrzi a rendszer, és egy köztes tanúsítványt tölt fel a regisztrációs csoportba, az eszköznek a levéltanúsítványtól egészen az ellenőrzött főtanúsítványig be kell mutatnia a tanúsítványláncot. Ez a tanúsítványlánc magában foglal minden köztes tanúsítványt a kettő között. A hitelesítés sikertelen lesz, ha a DPS nem tudja átvezetni a tanúsítványláncot egy ellenőrzött tanúsítványra.

Vegyük például azt a vállalatot, amely az alábbi eszközláncot használja egy eszközhöz.

Example device certificate chain

Ebben a példában a rendszer csak a főtanúsítványt ellenőrzi, a köztes2 tanúsítványt pedig feltölti a regisztrációs csoportba.

Example root verified

Ha az eszköz csak a következő eszközláncot küldi a kiépítés során, a hitelesítés sikertelen lesz. Mivel a DPS nem tudja megkísérelni a hitelesítést a köztes1 tanúsítvány érvényességét feltételezve

Example failing certificate chain

Ha az eszköz a kiépítés során az alábbiak szerint küldi el a teljes eszközláncot, a DPS megkísérelheti az eszköz hitelesítését.

Example device certificate chain

DPS-műveletek sorrendje tanúsítványokkal

Amikor egy eszköz csatlakozik a kiépítési szolgáltatáshoz, a szolgáltatás végigvezeti a tanúsítványláncát az eszköz (levél) tanúsítványától kezdve, és megkeresi a megfelelő regisztrációs bejegyzést. A láncban talált első bejegyzés alapján határozza meg, hogy kiépíteni kívánja-e az eszközt. Ha az eszköz tanúsítványához (levéltanúsítványhoz) egyéni regisztráció tartozik, a kiépítési szolgáltatás alkalmazza ezt a bejegyzést. Ha nincs egyéni regisztráció az eszközhöz, a szolgáltatás olyan regisztrációs csoportot keres, amely megfelel az első köztes tanúsítványnak. Ha talál egyet, alkalmazza ezt a bejegyzést; ellenkező esetben egy regisztrációs csoportot keres a következő köztes tanúsítványhoz, és így tovább a gyökérláncon.

A szolgáltatás a talált első bejegyzést alkalmazza a következő módon:

  • Ha az első regisztrációs bejegyzés engedélyezve van, a szolgáltatás kiépíti az eszközt.
  • Ha az első regisztrációs bejegyzés le van tiltva, a szolgáltatás nem építi ki az eszközt.
  • Ha az eszköz tanúsítványláncában lévő tanúsítványok egyikéhez sem található regisztrációs bejegyzés, a szolgáltatás nem építi ki az eszközt.

Vegye figyelembe, hogy az eszköz tanúsítványláncának minden tanúsítványa megadható egy regisztrációs bejegyzésben, de a DPS-példányban csak egy bejegyzésben adható meg.

Ez a mechanizmus és a tanúsítványláncok hierarchikus struktúrája nagy rugalmasságot biztosít az egyes eszközök és eszközcsoportok hozzáférésének szabályozásában. Képzeljen el például öt eszközt a következő tanúsítványláncokkal:

  • 1. eszköz: főtanúsítvány –> A tanúsítvány –> 1. eszköz tanúsítványa
  • 2. eszköz: főtanúsítvány –> A tanúsítvány –> 2. eszköz tanúsítványa
  • 3. eszköz: főtanúsítvány –> A tanúsítvány –> 3. eszköz tanúsítványa
  • 4. eszköz: főtanúsítvány –> B tanúsítvány –> 4. eszköz tanúsítványa
  • 5. eszköz: főtanúsítvány –> B tanúsítvány –> 5. eszköz tanúsítványa

Kezdetben létrehozhat egyetlen engedélyezett csoportregisztrációs bejegyzést a főtanúsítványhoz, hogy mind az öt eszközhöz engedélyezze a hozzáférést. Ha a B tanúsítvány később sérül, létrehozhat egy letiltott regisztrációs csoportbejegyzést a B tanúsítványhoz, hogy megakadályozza a 4 . eszköz és az 5 . eszköz regisztrálását. Ha később a 3 . eszköz biztonsága sérül, létrehozhat egy letiltott egyéni regisztrációs bejegyzést a tanúsítványához. Ez visszavonja a 3. eszközhöz való hozzáférést, de továbbra is engedélyezi az 1. és a 2. eszköz regisztrálását.