Share via

X.509 hitelesítésszolgáltatói tanúsítványok ellenőrzése a Device Provisioning Service szolgáltatással

  • Cikk

Az igazolt X.509 hitelesítésszolgáltatói (CA-) tanúsítvány olyan hitelesítésszolgáltatói tanúsítvány, amelyet feltöltöttek és regisztráltak a kiépítési szolgáltatásba, majd automatikusan vagy a szolgáltatással való birtoklás igazolásával ellenőrizték.

Az ellenőrzött tanúsítványok fontos szerepet játszanak a regisztrációs csoportok használatakor. A tanúsítvány tulajdonjogának ellenőrzése további biztonsági réteget biztosít azáltal, hogy a tanúsítvány feltöltője rendelkezik a tanúsítvány titkos kulcsával. Az ellenőrzés megakadályozza, hogy egy rosszindulatú szereplő megszenvedje a forgalmat egy köztes tanúsítvány kinyeréséből, és ezzel a tanúsítvánnyal hozzon létre egy regisztrációs csoportot a saját kiépítési szolgáltatásában, és hatékonyan eltérítse az eszközöket. A főtanúsítvány vagy egy köztes tanúsítvány tulajdonjogának igazolásával igazolja, hogy rendelkezik engedéllyel levéltanúsítványok létrehozására azokhoz az eszközökhöz, amelyek a regisztrációs csoport részeként fognak regisztrálni. Ezért a regisztrációs csoportban konfigurált főtanúsítványnak vagy köztes tanúsítványnak ellenőrzött tanúsítványnak kell lennie, vagy egy hitelesített tanúsítványt kell létrehoznia a tanúsítványláncban, amelyet az eszköz a szolgáltatással való hitelesítéskor mutat be. Az X.509-tanúsítványigazolásról további információt az X.509-tanúsítványok című témakörben talál.

Előfeltételek

A cikk lépéseinek megkezdése előtt készítse elő a következő előfeltételeket:

  • Az Azure-előfizetésben létrehozott DPS-példány.
  • Egy .cer vagy .pem tanúsítványfájl.

Köztes vagy legfelső szintű hitelesítésszolgáltató automatikus ellenőrzése önigazolással

Ha olyan köztes vagy legfelső szintű hitelesítésszolgáltatót használ, amelyben megbízik, és tudja, hogy a tanúsítvány teljes tulajdonjoga van, önigazolhatja, hogy igazolta a tanúsítványt.

Automatikusan ellenőrzött tanúsítvány hozzáadásához kövesse az alábbi lépéseket:

  1. Az Azure Portalon keresse meg a kiépítési szolgáltatást, és válassza a tanúsítványok lehetőséget a bal oldali menüben.

  2. Új tanúsítvány hozzáadásához válassza a Hozzáadás lehetőséget.

  3. Adjon meg egy rövid megjelenítendő nevet a tanúsítványnak.

  4. Keresse meg az X.509-tanúsítvány nyilvános részét képviselő .cer vagy .pem fájlt. Kattintson a Feltöltés gombra.

  5. Jelölje be a tanúsítvány állapotának ellenőrzése a feltöltéskor jelölőnégyzetet.

    Képernyőkép egy tanúsítvány feltöltéséről és az ellenőrzött állapot beállításáról.

  6. Válassza a Mentés lehetőséget.

  7. A tanúsítvány az Ellenőrzött állapotú tanúsítvány lapon jelenik meg.

    Képernyőkép az ellenőrzött tanúsítványról a feltöltés után.

Köztes vagy legfelső szintű hitelesítésszolgáltató manuális ellenőrzése

Az automatikus ellenőrzés akkor ajánlott, ha új köztes vagy fő hitelesítésszolgáltatói tanúsítványokat tölt fel a DPS-be. Ha azonban az IoT-forgatókönyvnek van értelme, továbbra is elvégezheti a birtoklási igazolást.

A birtoklás igazolása a következő lépésekkel jár:

  1. Szerezze be az X.509 hitelesítésszolgáltatói tanúsítvány kiépítési szolgáltatása által létrehozott egyedi ellenőrzési kódot. Ezt az Azure Portalon teheti meg.
  2. Hozzon létre egy X.509 ellenőrző tanúsítványt az ellenőrző kóddal, és írja alá a tanúsítványt az X.509 hitelesítésszolgáltatói tanúsítványhoz társított titkos kulccsal.
  3. Töltse fel az aláírt ellenőrző tanúsítványt a szolgáltatásba. A szolgáltatás a hitelesítésszolgáltatói tanúsítvány nyilvános részével ellenőrzi az ellenőrző tanúsítványt, így igazolja, hogy Ön rendelkezik a hitelesítésszolgáltatói tanúsítvány titkos kulcsával.

X.509-tanúsítvány nyilvános részének regisztrálása és ellenőrző kód lekérése

Ha regisztrálni szeretne egy hitelesítésszolgáltatói tanúsítványt a kiépítési szolgáltatásban, és be szeretne szerezni egy ellenőrző kódot, amelyet a birtoklás igazolása során használhat, kövesse az alábbi lépéseket.

  1. Az Azure Portalon keresse meg a kiépítési szolgáltatást, és nyissa meg a tanúsítványok lehetőséget a bal oldali menüből.

  2. Új tanúsítvány hozzáadásához válassza a Hozzáadás lehetőséget.

  3. Írja be a tanúsítvány rövid megjelenítendő nevét a Tanúsítványnév mezőbe.

  4. Válassza ki a mappa ikont, majd keresse meg az X.509-tanúsítvány nyilvános részét képviselő .cer vagy .pem fájlt. Válassza a Megnyitás lehetőséget.

  5. Miután értesítést kap a tanúsítvány sikeres feltöltéséről, válassza a Mentés lehetőséget.

    A tanúsítvány automatikus ellenőrzés nélküli feltöltését bemutató képernyőkép.

    A tanúsítvány megjelenik a Tanúsítványkezelő listában. Vegye figyelembe, hogy a tanúsítvány állapota nem ellenőrzött.

  6. Válassza ki az előző lépésben hozzáadott tanúsítványt annak részleteinek megnyitásához.

  7. A tanúsítvány részletei között figyelje meg, hogy egy üres Ellenőrzőkód mező található. Válassza az Ellenőrzési kód létrehozása gombot.

    Képernyőkép a birtoklás igazolására szolgáló ellenőrző kód generálásáról.

  8. A kiépítési szolgáltatás létrehoz egy ellenőrző kódot , amellyel ellenőrizheti a tanúsítvány tulajdonjogát. Másolja a kódot a vágólapra.

Az ellenőrző kód digitális aláírása ellenőrző tanúsítvány létrehozásához

Most alá kell írnia az ellenőrző kódot a DPS-ből az X.509 hitelesítésszolgáltatói tanúsítványhoz társított titkos kulccsal, amely létrehoz egy aláírást. Ez a lépés a birtoklás igazolása, és egy aláírt ellenőrző tanúsítványt eredményez.

A Microsoft olyan eszközöket és mintákat biztosít, amelyek segíthetnek egy aláírt ellenőrző tanúsítvány létrehozásában:

  • Az Azure IoT Hub C SDK PowerShell(Windows) és Bash (Linux) szkripteket biztosít, amelyekkel ca- és levéltanúsítványokat hozhat létre a fejlesztéshez, és ellenőrzési kóddal végezheti el a birtoklási igazolást. A rendszer szempontjából releváns fájlokat letöltheti egy munkamappába, és a hitelesítésszolgáltatói tanúsítványok olvasási útmutatójában szereplő utasításokat követve elvégezheti a hitelesítésszolgáltatói tanúsítványon való birtoklás igazolását.
  • Az Azure IoT Hub C# SDK tartalmazza a csoporttanúsítvány-ellenőrzési mintát, amellyel igazolást készíthet a birtoklásról.

A dokumentációban és az SDK-kban megadott PowerShell- és Bash-szkriptek az OpenSSL-en alapulnak. Az OpenSSL-t vagy más külső eszközöket is használhat a tulajdonjog igazolásához. Az SDK-khoz biztosított eszközhasználatra vonatkozó példa: X.509-tanúsítványlánc létrehozása.

Az aláírt ellenőrző tanúsítvány feltöltése

Töltse fel az így kapott aláírást ellenőrző tanúsítványként a kiépítési szolgáltatásba az Azure Portalon.

  1. Az Azure Portal tanúsítványadatai között, ahonnan az ellenőrző kódot másolta, válassza az Ellenőrző tanúsítvány .pem vagy .cer fájlmező melletti mappaikont. Keresse meg a rendszer aláírt ellenőrző tanúsítványát, és válassza a Megnyitás lehetőséget.

  2. A tanúsítvány sikeres feltöltése után válassza az Ellenőrzés lehetőséget. A tanúsítvány állapota Ellenőrzött állapotúra változik a Tanúsítványok listában. Válassza a Frissítés lehetőséget, ha az nem frissül automatikusan.

Következő lépések

  • Ha tudni szeretné, hogyan hozhat létre regisztrációs csoportot a portálon, olvassa el az Eszközregisztrációk kezelése az Azure Portalon című témakört.
  • Ha tudni szeretné, hogyan hozhat létre regisztrációs csoportot a szolgáltatás SDK-kkal, olvassa el az Eszközregisztrációk kezelése szolgáltatás SDK-kkal című témakört.