X.509 hitelesítésszolgáltatói tanúsítványok ellenőrzése a Device Provisioning Service szolgáltatással
Az igazolt X.509 hitelesítésszolgáltatói (CA-) tanúsítvány olyan hitelesítésszolgáltatói tanúsítvány, amelyet feltöltöttek és regisztráltak a kiépítési szolgáltatásba, majd automatikusan vagy a szolgáltatással való birtoklás igazolásával ellenőrizték.
Az ellenőrzött tanúsítványok fontos szerepet játszanak a regisztrációs csoportok használatakor. A tanúsítvány tulajdonjogának ellenőrzése további biztonsági réteget biztosít azáltal, hogy a tanúsítvány feltöltője rendelkezik a tanúsítvány titkos kulcsával. Az ellenőrzés megakadályozza, hogy egy rosszindulatú szereplő megszenvedje a forgalmat egy köztes tanúsítvány kinyeréséből, és ezzel a tanúsítvánnyal hozzon létre egy regisztrációs csoportot a saját kiépítési szolgáltatásában, és hatékonyan eltérítse az eszközöket. A főtanúsítvány vagy egy köztes tanúsítvány tulajdonjogának igazolásával igazolja, hogy rendelkezik engedéllyel levéltanúsítványok létrehozására azokhoz az eszközökhöz, amelyek a regisztrációs csoport részeként fognak regisztrálni. Ezért a regisztrációs csoportban konfigurált főtanúsítványnak vagy köztes tanúsítványnak ellenőrzött tanúsítványnak kell lennie, vagy egy hitelesített tanúsítványt kell létrehoznia a tanúsítványláncban, amelyet az eszköz a szolgáltatással való hitelesítéskor mutat be. Az X.509-tanúsítványigazolásról további információt az X.509-tanúsítványok című témakörben talál.
Előfeltételek
A cikk lépéseinek megkezdése előtt készítse elő a következő előfeltételeket:
- Az Azure-előfizetésben létrehozott DPS-példány.
- Egy .cer vagy .pem tanúsítványfájl.
Köztes vagy legfelső szintű hitelesítésszolgáltató automatikus ellenőrzése önigazolással
Ha olyan köztes vagy legfelső szintű hitelesítésszolgáltatót használ, amelyben megbízik, és tudja, hogy a tanúsítvány teljes tulajdonjoga van, önigazolhatja, hogy igazolta a tanúsítványt.
Automatikusan ellenőrzött tanúsítvány hozzáadásához kövesse az alábbi lépéseket:
Az Azure Portalon keresse meg a kiépítési szolgáltatást, és válassza a tanúsítványok lehetőséget a bal oldali menüben.
Új tanúsítvány hozzáadásához válassza a Hozzáadás lehetőséget.
Adjon meg egy rövid megjelenítendő nevet a tanúsítványnak.
Keresse meg az X.509-tanúsítvány nyilvános részét képviselő .cer vagy .pem fájlt. Kattintson a Feltöltés gombra.
Jelölje be a tanúsítvány állapotának ellenőrzése a feltöltéskor jelölőnégyzetet.
Válassza a Mentés lehetőséget.
A tanúsítvány az Ellenőrzött állapotú tanúsítvány lapon jelenik meg.
Köztes vagy legfelső szintű hitelesítésszolgáltató manuális ellenőrzése
Az automatikus ellenőrzés akkor ajánlott, ha új köztes vagy fő hitelesítésszolgáltatói tanúsítványokat tölt fel a DPS-be. Ha azonban az IoT-forgatókönyvnek van értelme, továbbra is elvégezheti a birtoklási igazolást.
A birtoklás igazolása a következő lépésekkel jár:
- Szerezze be az X.509 hitelesítésszolgáltatói tanúsítvány kiépítési szolgáltatása által létrehozott egyedi ellenőrzési kódot. Ezt az Azure Portalon teheti meg.
- Hozzon létre egy X.509 ellenőrző tanúsítványt az ellenőrző kóddal, és írja alá a tanúsítványt az X.509 hitelesítésszolgáltatói tanúsítványhoz társított titkos kulccsal.
- Töltse fel az aláírt ellenőrző tanúsítványt a szolgáltatásba. A szolgáltatás a hitelesítésszolgáltatói tanúsítvány nyilvános részével ellenőrzi az ellenőrző tanúsítványt, így igazolja, hogy Ön rendelkezik a hitelesítésszolgáltatói tanúsítvány titkos kulcsával.
X.509-tanúsítvány nyilvános részének regisztrálása és ellenőrző kód lekérése
Ha regisztrálni szeretne egy hitelesítésszolgáltatói tanúsítványt a kiépítési szolgáltatásban, és be szeretne szerezni egy ellenőrző kódot, amelyet a birtoklás igazolása során használhat, kövesse az alábbi lépéseket.
Az Azure Portalon keresse meg a kiépítési szolgáltatást, és nyissa meg a tanúsítványok lehetőséget a bal oldali menüből.
Új tanúsítvány hozzáadásához válassza a Hozzáadás lehetőséget.
Írja be a tanúsítvány rövid megjelenítendő nevét a Tanúsítványnév mezőbe.
Válassza ki a mappa ikont, majd keresse meg az X.509-tanúsítvány nyilvános részét képviselő .cer vagy .pem fájlt. Válassza a Megnyitás lehetőséget.
Miután értesítést kap a tanúsítvány sikeres feltöltéséről, válassza a Mentés lehetőséget.
A tanúsítvány megjelenik a Tanúsítványkezelő listában. Vegye figyelembe, hogy a tanúsítvány állapota nem ellenőrzött.
Válassza ki az előző lépésben hozzáadott tanúsítványt annak részleteinek megnyitásához.
A tanúsítvány részletei között figyelje meg, hogy egy üres Ellenőrzőkód mező található. Válassza az Ellenőrzési kód létrehozása gombot.
A kiépítési szolgáltatás létrehoz egy ellenőrző kódot , amellyel ellenőrizheti a tanúsítvány tulajdonjogát. Másolja a kódot a vágólapra.
Az ellenőrző kód digitális aláírása ellenőrző tanúsítvány létrehozásához
Most alá kell írnia az ellenőrző kódot a DPS-ből az X.509 hitelesítésszolgáltatói tanúsítványhoz társított titkos kulccsal, amely létrehoz egy aláírást. Ez a lépés a birtoklás igazolása, és egy aláírt ellenőrző tanúsítványt eredményez.
A Microsoft olyan eszközöket és mintákat biztosít, amelyek segíthetnek egy aláírt ellenőrző tanúsítvány létrehozásában:
- Az Azure IoT Hub C SDK PowerShell(Windows) és Bash (Linux) szkripteket biztosít, amelyekkel ca- és levéltanúsítványokat hozhat létre a fejlesztéshez, és ellenőrzési kóddal végezheti el a birtoklási igazolást. A rendszer szempontjából releváns fájlokat letöltheti egy munkamappába, és a hitelesítésszolgáltatói tanúsítványok olvasási útmutatójában szereplő utasításokat követve elvégezheti a hitelesítésszolgáltatói tanúsítványon való birtoklás igazolását.
- Az Azure IoT Hub C# SDK tartalmazza a csoporttanúsítvány-ellenőrzési mintát, amellyel igazolást készíthet a birtoklásról.
A dokumentációban és az SDK-kban megadott PowerShell- és Bash-szkriptek az OpenSSL-en alapulnak. Az OpenSSL-t vagy más külső eszközöket is használhat a tulajdonjog igazolásához. Az SDK-khoz biztosított eszközhasználatra vonatkozó példa: X.509-tanúsítványlánc létrehozása.
Az aláírt ellenőrző tanúsítvány feltöltése
Töltse fel az így kapott aláírást ellenőrző tanúsítványként a kiépítési szolgáltatásba az Azure Portalon.
Az Azure Portal tanúsítványadatai között, ahonnan az ellenőrző kódot másolta, válassza az Ellenőrző tanúsítvány .pem vagy .cer fájlmező melletti mappaikont. Keresse meg a rendszer aláírt ellenőrző tanúsítványát, és válassza a Megnyitás lehetőséget.
A tanúsítvány sikeres feltöltése után válassza az Ellenőrzés lehetőséget. A tanúsítvány állapota Ellenőrzött állapotúra változik a Tanúsítványok listában. Válassza a Frissítés lehetőséget, ha az nem frissül automatikusan.
Következő lépések
- Ha tudni szeretné, hogyan hozhat létre regisztrációs csoportot a portálon, olvassa el az Eszközregisztrációk kezelése az Azure Portalon című témakört.
- Ha tudni szeretné, hogyan hozhat létre regisztrációs csoportot a szolgáltatás SDK-kkal, olvassa el az Eszközregisztrációk kezelése szolgáltatás SDK-kkal című témakört.