Share via

X.509-eszköztanúsítványok rollolása

  • Cikk

Az IoT-megoldás életciklusa során tanúsítványokat kell üzembe helyeznie. A gördülő tanúsítványok két fő oka a biztonsági incidens és a tanúsítvány lejárata.

A gördülő tanúsítványok ajánlott biztonsági eljárások, amelyekkel biztonságossá teheti a rendszert egy biztonsági incidens esetén. A Jogsértések feltételezése módszertan részeként a Microsoft támogatja a reaktív biztonsági folyamatok és a megelőző intézkedések szükségességét. Az eszköztanúsítványok gördülését ezen biztonsági folyamatok részeként kell tartalmaznia. A tanúsítványok gördítésének gyakorisága a megoldás biztonsági igényeitől függ. A rendkívül bizalmas adatokat tartalmazó megoldásokkal rendelkező ügyfelek naponta tanúsítványokat dobhatnak, míg mások néhány évente összesíthetik tanúsítványaikat.

A gördülő eszköztanúsítványok magukban foglalják az eszközön és az IoT Hubon tárolt tanúsítvány frissítését. Ezt követően az eszköz újra kiépítheti magát az IoT Hubbal a Device Provisioning Service (DPS) normál kiépítésével .

Új tanúsítványok beszerzése

Az IoT-eszközökhöz számos módon szerezhet be új tanúsítványokat. Ezek közé tartozik a tanúsítványok beszerzése az eszköz-előállítótól, a saját tanúsítványok létrehozása, valamint egy harmadik féltől származó tanúsítványlétrehozás kezelése.

A tanúsítványokat egymás írták alá, hogy megbízhatósági láncot képezhessenek a legfelső szintű hitelesítésszolgáltatói tanúsítványtól a levéltanúsítványig. Az aláíró tanúsítvány a levéltanúsítványnak a megbízhatósági lánc végén való aláírására használt tanúsítvány. Az aláíró tanúsítvány lehet fő hitelesítésszolgáltatói tanúsítvány, vagy egy köztes tanúsítvány a megbízhatósági láncban. További információ: X.509-tanúsítványok.

Az aláíró tanúsítvány beszerzésének két különböző módja van. Az éles rendszerekhez ajánlott első módszer egy aláíró tanúsítvány megvásárlása főtanúsítvány-szolgáltatótól (CA). Így a biztonság egy megbízható forráshoz lesz láncolható.

A második módszer a saját X.509-tanúsítványok létrehozása egy olyan eszközzel, mint az OpenSSL. Ez a módszer kiválóan alkalmas az X.509-tanúsítványok tesztelésére, de kevés garanciát nyújt a biztonságra vonatkozóan. Azt javasoljuk, hogy csak akkor használja ezt a módszert tesztelésre, ha nem készül fel arra, hogy saját hitelesítésszolgáltatóként működjön.

A tanúsítvány tekercselése az eszközön

Az eszközön lévő tanúsítványokat mindig biztonságos helyen, például hardveres biztonsági modulban (HSM) kell tárolni. Az eszköztanúsítványok gördítésének módja elsősorban attól függ, hogyan lettek létrehozva és telepítve az eszközökre.

Ha a tanúsítványait egy harmadik féltől szerezte be, meg kell vizsgálnia, hogy miként forgatják a tanúsítványaikat. A folyamat belefoglalható a velük való egyeztetésbe, vagy lehet, hogy egy külön szolgáltatás, amelyet kínálnak.

Ha saját eszköztanúsítványokat kezel, saját folyamatot kell létrehoznia a tanúsítványok frissítéséhez. Győződjön meg arról, hogy a régi és az új levéltanúsítvány is ugyanazzal a köznapi névvel (CN) rendelkezik. Ha ugyanazzal a CN-sel rendelkezik, az eszköz újra létrehozhatja magát anélkül, hogy duplikált regisztrációs rekordot hoz létre.

Az új tanúsítvány eszközre való telepítésének mechanikája gyakran az alábbi módszerek egyikét foglalja magában:

  • Aktiválhatja az érintett eszközöket, hogy új tanúsítvány-aláírási kérelmet (CSR) küldjön a PKI-hitelesítésszolgáltatónak (CA). Ebben az esetben minden eszköz valószínűleg közvetlenül a hitelesítésszolgáltatótól töltheti le az új eszköztanúsítványát.

  • Minden eszközről megtarthat egy CSR-t, és ezzel új eszköztanúsítványt kérhet le a PKI-hitelesítésszolgáltatótól. Ebben az esetben le kell küldenie az új tanúsítványt egy belső vezérlőprogram-frissítés minden eszközére egy biztonságos OTA-frissítési szolgáltatással, például az IoT Hub eszközfrissítésével.

A tanúsítvány tekercselése a DPS-ben

Az eszköztanúsítvány manuálisan is hozzáadható egy IoT Hubhoz. A tanúsítvány egy Device Provisioning Service-példány használatával is automatizálható. Ebben a cikkben feltételezzük, hogy egy Device Provisioning Service-példányt használnak az automatikus kiépítés támogatására.

Amikor egy eszköz kezdetben automatikus kiépítéssel van kiépítve, elindul, és kapcsolatba lép a kiépítési szolgáltatással. A kiépítési szolgáltatás egy identitásellenőrzés végrehajtásával válaszol, mielőtt létrehoz egy eszközidentitást egy IoT Hubban az eszköz levéltanúsítványával hitelesítő adatként. A kiépítési szolgáltatás ezután közli az eszközt, hogy melyik IoT Hubhoz van hozzárendelve, majd az eszköz a levéltanúsítványával hitelesíti és csatlakozik az IoT Hubhoz.

Miután egy új levéltanúsítványt az eszközre gördített, már nem tud csatlakozni az IoT Hubhoz, mert új tanúsítványt használ a csatlakozáshoz. Az IoT Hub csak a régi tanúsítvánnyal ismeri fel az eszközt. Az eszköz kapcsolati kísérletének eredménye "jogosulatlan" kapcsolati hiba lesz. A hiba megoldásához frissítenie kell az eszköz regisztrációs bejegyzését az eszköz új levéltanúsítványának figyelembe vételéhez. Ezután a kiépítési szolgáltatás szükség szerint frissítheti az IoT Hub eszközregisztrációs adatait az eszköz újraépítésekor.

A kapcsolati hiba egyik lehetséges kivétele az a forgatókönyv, amikor létrehozott egy regisztrációs csoportot az eszközéhez a kiépítési szolgáltatásban. Ebben az esetben, ha nem az eszköz tanúsítványláncában futtatja a főtanúsítványokat vagy a köztes tanúsítványokat, akkor a rendszer felismeri az eszközt, ha az új tanúsítvány a regisztrációs csoportban definiált megbízhatósági lánc része. Ha ez a forgatókönyv biztonsági incidensre adott reakcióként merül fel, legalább tiltsa le a csoport azon eszköztanúsítványait, amelyek sérültnek minősülnek. További információ: Adott eszközök tiltása egy regisztrációs csoportban

A regisztrációs bejegyzés frissítésének kezelése attól függ, hogy egyéni regisztrációkat vagy csoportos regisztrációkat használ-e. Az ajánlott eljárások is eltérnek attól függően, hogy biztonsági incidens vagy tanúsítvány lejárata miatt gördít-e tanúsítványokat. A következő szakaszok ismertetik, hogyan kezelheti ezeket a frissítéseket.

Tanúsítványok összesítése egyéni regisztrációkhoz

Ha biztonsági incidensre reagálva gördít tanúsítványokat, azonnal törölje a sérült tanúsítványokat.

Ha tanúsítványokat gördít a tanúsítványlejáratok kezeléséhez, a másodlagos tanúsítványkonfigurációval csökkentheti a kiépíteni próbáló eszközök állásidejét. Később, amikor a másodlagos tanúsítvány lejár, és hengerelni kell, elforgathatja az elsődleges konfigurációt. Az elsődleges és a másodlagos tanúsítványok közötti váltás így csökkenti a kiépíteni kívánt eszközök állásidejét.

A hengerelt tanúsítványok regisztrációs bejegyzéseinek frissítése a Regisztrációk kezelése lapon történik. Az oldal eléréséhez kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra , és keresse meg azt a Device Provisioning Service-példányt, amely rendelkezik az eszköz regisztrációs bejegyzésével.

  2. Válassza a Regisztrációk kezelése lehetőséget.

    Képernyőkép az Azure Portal Regisztrációk kezelése lapjáról.

  3. Válassza az Egyéni regisztrációk lapot, és válassza ki a regisztrációs azonosító bejegyzést a listából.

  4. Ha törölni szeretne egy meglévő tanúsítványt, jelölje be az Elsődleges/másodlagos tanúsítvány eltávolítása vagy cseréje jelölőnégyzetet. Válassza ki a fájlmappa ikont az új tanúsítványok megkereséséhez és feltöltéséhez.

    Ha bármelyik tanúsítványa sérült, a lehető leghamarabb távolítsa el őket.

    Ha az egyik tanúsítványa a lejáratához közeledik, megtarthatja a helyén, amíg a második tanúsítvány az adott dátum után is aktív marad.

    A tanúsítvány eltávolítását és újak feltöltését bemutató képernyőkép.

  5. Ha végzett, válassza a Mentés lehetőséget.

  6. Ha eltávolított egy feltört tanúsítványt a kiépítési szolgáltatásból, a tanúsítvány továbbra is használható az IoT Hubhoz való eszközkapcsolatok létesítésére, feltéve, hogy ott létezik eszközregisztráció. Ezt a két módszert kezelheti:

    Az első módszer az, ha manuálisan navigál az IoT Hubra, és azonnal eltávolítja a feltört tanúsítványhoz társított eszközregisztrációt. Ezután, amikor az eszköz újra kiépít egy frissített tanúsítványt, létrejön egy új eszközregisztráció.

    A második módszer az újraépítési támogatás használata az eszköz ugyanazon IoT Hubra való újbóli leépítéséhez. Ez a módszer az IoT Hubon az eszközregisztráció tanúsítványának cseréjére használható. További információ: Eszközök újraépítése.

Tanúsítványok rollálása regisztrációs csoportokhoz

Ha biztonsági incidensre reagálva szeretne frissíteni egy csoportregisztrációt, azonnal törölnie kell a feltört legfelső szintű hitelesítésszolgáltatót vagy a köztes tanúsítványt.

Ha a tanúsítványlejáratok kezelésére gördít tanúsítványokat, a másodlagos tanúsítványkonfigurációval biztosíthatja, hogy az üzembe helyezést megkísérlő eszközök ne legyenek üzemidők. Később, amikor a másodlagos tanúsítvány is lejár, és hengerelni kell, elforgathatja az elsődleges konfigurációt. Az elsődleges és a másodlagos tanúsítványok közötti váltás így nem biztosít leállást a kiépíteni próbáló eszközök számára.

Fő hitelesítésszolgáltatói tanúsítványok frissítése

  1. A Device Provisioning Service-példány navigációs menüjének Gépház szakaszában válassza a Tanúsítványoklehetőséget.

    Képernyőkép a tanúsítványok oldalról.

  2. Válassza ki a sérült vagy lejárt tanúsítványt a listából, majd válassza a Törlés lehetőséget. Erősítse meg a törlést a tanúsítvány nevének megadásával, és válassza az OK gombot.

  3. Kövesse az ellenőrzött hitelesítésszolgáltatói tanúsítványok konfigurálása című cikkben ismertetett lépéseket az új fő hitelesítésszolgáltatói tanúsítványok hozzáadásához és ellenőrzéséhez.

  4. A Device Provisioning Service-példány navigációs menüjének Gépház szakaszában válassza a Regisztrációkkezelése lehetőséget, majd válassza a Regisztrációs csoportok lapot.

  5. Válassza ki a regisztrációs csoport nevét a listából.

  6. Az X.509 tanúsítványbeállítások szakaszában válassza ki az új legfelső szintű hitelesítésszolgáltatói tanúsítványt a sérült vagy lejárt tanúsítvány cseréjéhez, vagy másodlagos tanúsítványként való hozzáadásához.

    Képernyőkép egy regisztrációs csoport új feltöltött tanúsítványának kiválasztásáról.

  7. Válassza a Mentés lehetőséget.

  8. Ha eltávolított egy sérült tanúsítványt a kiépítési szolgáltatásból, a tanúsítvány továbbra is használható az IoT Hubhoz való eszközkapcsolatok létesítésére, amíg az eszközregisztrációk ott léteznek. Ezt a két módszert kezelheti:

    Az első módszer az, ha manuálisan navigál az IoT Hubra, és azonnal eltávolítja a feltört tanúsítványhoz társított eszközregisztrációkat. Ezután, amikor az eszközök újra kiépítenek frissített tanúsítványokat, mindegyikhez létrejön egy új eszközregisztráció.

    A második módszer az újraépítési támogatás használata az eszközök ugyanarra az IoT Hubra történő újbóli leépítésére. Ez a módszer az IoT Hubon található eszközregisztrációk tanúsítványainak cseréjére használható. További információ: Eszközök újraépítése.

Köztes tanúsítványok frissítése

  1. A Device Provisioning Service-példány navigációs menüjének Gépház szakaszában válassza a Regisztrációkkezelése lehetőséget, majd válassza a Regisztrációs csoportok lapot.

  2. Válassza ki a csoport nevét a listából.

  3. Ha törölni szeretne egy meglévő tanúsítványt, jelölje be az Elsődleges/másodlagos tanúsítvány eltávolítása vagy cseréje jelölőnégyzetet. Válassza ki a fájlmappa ikont az új tanúsítványok megkereséséhez és feltöltéséhez.

    Ha bármelyik tanúsítványa sérült, a lehető leghamarabb távolítsa el őket.

    Ha az egyik tanúsítványa a lejáratához közeledik, megtarthatja a helyén, amíg a második tanúsítvány az adott dátum után is aktív marad.

    Minden köztes tanúsítványt hiteles fő hitelesítésszolgáltatói tanúsítvánnyal kell aláírni, amelyet már hozzáadtak a kiépítési szolgáltatáshoz. További információ: X.509-tanúsítványok.

    Egy regisztrációs csoport köztes tanúsítványának cseréjét bemutató képernyőkép.

  4. Ha eltávolított egy sérült tanúsítványt a kiépítési szolgáltatásból, a tanúsítvány továbbra is használható az IoT Hubhoz való eszközkapcsolatok létesítésére, amíg az eszközregisztrációk ott léteznek. Ezt a két módszert kezelheti:

    Az első módszer az, ha manuálisan navigál az IoT Hubra, és azonnal eltávolítja a feltört tanúsítványhoz társított eszközregisztrációt. Ezután, amikor az eszközök újra kiépítenek frissített tanúsítványokat, mindegyikhez létrejön egy új eszközregisztráció.

    A második módszer az újraépítési támogatás használata az eszközök ugyanarra az IoT Hubra történő újbóli leépítésére. Ez a módszer az IoT Hubon található eszközregisztrációk tanúsítványainak cseréjére használható. További információ: Eszközök újraépítése.

Az eszköz újraépítése

Miután a tanúsítványt az eszközön és a Device Provisioning Service-en is üzembe helyezi, az eszköz újra kiépítheti magát az Eszközkiépítési szolgáltatással való kapcsolatfelvétel útján.

Az eszközök újrafejlesztésének egyik egyszerű módja, ha az eszközt úgy programozza, hogy kapcsolatba lépjen a kiépítési szolgáltatással, hogy végighaladjon a kiépítési folyamaton, ha az eszköz "jogosulatlan" hibaüzenetet kap az IoT Hubhoz való csatlakozás kísérletétől.

Egy másik módszer, hogy a régi és az új tanúsítványok is érvényesek legyenek egy rövid átfedésre, és az IoT Hub használatával küldjön egy parancsot az eszközöknek, hogy újra regisztrálják őket a kiépítési szolgáltatáson keresztül az IoT Hub kapcsolati adatainak frissítéséhez. Mivel minden eszköz más-más módon tudja feldolgozni a parancsokat, be kell programozza az eszközt, hogy tudja, mit kell tennie a parancs meghívásakor. Az IoT Hubon keresztül többféleképpen is vezérelheti az eszközt, és javasoljuk, hogy a folyamat elindításához közvetlen módszereket vagy feladatokat használjon.

Az újraépítés befejezése után az eszközök új tanúsítványaik használatával csatlakozhatnak az IoT Hubhoz.

Tanúsítványok letiltása

Biztonsági incidens esetén előfordulhat, hogy le kell tiltania az eszköztanúsítványt. Az eszköztanúsítvány letiltásához tiltsa le a céleszköz/tanúsítvány regisztrációs bejegyzését. További információkért tekintse meg az eszközök letiltását a Regisztráció kezelése című cikkben.

Ha egy tanúsítvány egy letiltott regisztrációs bejegyzés részeként szerepel, az IoT Hubon a tanúsítványokkal való regisztrálási kísérletek akkor is sikertelenek lesznek, ha egy másik regisztrációs bejegyzés részeként engedélyezve van.

Következő lépések

  • Az X.509-tanúsítványokról az Eszközkiépítési szolgáltatásban az X.509-tanúsítványigazolással kapcsolatos további információkért lásd : X.509-tanúsítványigazolás
  • Az X.509-es hitelesítésszolgáltatói tanúsítványok birtoklási igazolásának az Azure IoT Hub Device Provisioning Service szolgáltatással történő hitelesítéséről a Tanúsítványok ellenőrzése című témakörben olvashat .
  • Ha tudni szeretné, hogyan hozhat létre regisztrációs csoportot a portálon, olvassa el az Eszközregisztrációk kezelése az Azure Portalon című témakört.