Identitások hitelesítése X.509-tanúsítványokkal

  • Cikk

Az IoT Hub X.509-tanúsítványokat használ az eszközök hitelesítéséhez. Az X.509-hitelesítés lehetővé teszi egy IoT-eszköz hitelesítését a fizikai rétegen a Transport Layer Security (TLS) standard kapcsolati létesítmény részeként.

Az X.509 hitelesítésszolgáltatói tanúsítvány olyan digitális tanúsítvány, amely más tanúsítványokat is aláírhat. A digitális tanúsítvány X.509-tanúsítványnak minősül, ha megfelel az IETF RFC 5280 szabványában előírt tanúsítványformázási szabványnak. A hitelesítésszolgáltató (CA) azt jelenti, hogy jogosultja más tanúsítványokat is aláírhat.

Ez a cikk azt ismerteti, hogyan használhat X.509 hitelesítésszolgáltatói (CA-) tanúsítványokat az IoT Hubhoz csatlakozó eszközök hitelesítésére, amely a következő lépéseket tartalmazza:

  • X.509 hitelesítésszolgáltatói tanúsítvány lekérése
  • Az X.509 CA-tanúsítvány regisztrálása az IoT Hubon
  • Eszközök aláírása X.509 hitelesítésszolgáltatói tanúsítványokkal
  • Az X.509 hitelesítésszolgáltatóval aláírt eszközök hitelesítése

Fontos

Az X.509 hitelesítésszolgáltatói (CA) hitelesítést használó eszközökhöz az alábbi funkciók még nem érhetők el általánosan, és engedélyezni kell az előzetes verziós módot:

  • HTTPS, MQTT over WebSockets, és AMQP over WebSockets protokollok.
  • Fájlfeltöltések (minden protokoll).

Ezek a funkciók általánosan elérhetők az X.509 ujjlenyomat-hitelesítést használó eszközökön. Az IoT Hub x.509-hitelesítésével kapcsolatos további információkért lásd a támogatott X.509-tanúsítványokat.

Az X.509 hitelesítésszolgáltatói funkció lehetővé teszi az eszközhitelesítést az IoT Hubon hitelesítésszolgáltató (CA) használatával. Leegyszerűsíti a kezdeti eszközregisztrációs folyamatot és az ellátási lánc logisztikát az eszközgyártás során.

Authentication and authorization

A hitelesítés annak bizonyítása, hogy Ön az, akinek mondja magát. A hitelesítés ellenőrzi egy felhasználó vagy eszköz identitását az IoT Hubon. Néha rövidítve van AuthN-ra. Az engedélyezés egy hitelesített felhasználó vagy eszköz engedélyeinek megerősítésének folyamata az IoT Hubon. Meghatározza, hogy milyen erőforrásokhoz és parancsokhoz férhet hozzá, és mit tehet ezekkel az erőforrásokkal és parancsokkal. Az engedélyezés néha rövidítve van az AuthZ-hez.

Ez a cikk X.509-tanúsítványokkal végzett hitelesítést ismerteti. Bármely X.509-tanúsítványsal hitelesítheti az eszközt az IoT Hubbal, ha feltölt egy tanúsítvány-ujjlenyomatot vagy egy hitelesítésszolgáltatót (CA) az Azure IoT Hubba.

Az X.509-tanúsítványokat az IoT Hubban való hitelesítéshez használják, nem az engedélyezéshez. A Microsoft Entra-azonosítótól és a közös hozzáférésű jogosultságkódoktól eltérően nem szabhatja testre az engedélyeket X.509-tanúsítványokkal.

X.509-hitelesítés kényszerítése

További biztonság érdekében az IoT Hub úgy konfigurálható, hogy ne engedélyezze az SAS-hitelesítést az eszközökhöz és modulokhoz, így az X.509 marad az egyetlen elfogadott hitelesítési lehetőség. Ez a funkció jelenleg nem érhető el az Azure Portalon. Az IoT Hub-erőforrás tulajdonságainak konfigurálása, beállítása disableDeviceSAS és disableModuleSAS beállítása true :

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --set properties.disableDeviceSAS=true properties.disableModuleSAS=true

Az X.509 hitelesítésszolgáltatói tanúsítványhitelesítés előnyei

Az X.509 hitelesítésszolgáltatói (CA) hitelesítés egy olyan módszer, amellyel az eszközök hitelesítése az IoT Hubra olyan módszerrel történik, amely jelentősen leegyszerűsíti az eszközidentitás létrehozását és az életciklus-kezelést az ellátási láncban.

Az X.509 hitelesítésszolgáltatói hitelesítés megkülönböztető attribútuma az egy-a-többhöz kapcsolat, amelyet a hitelesítésszolgáltatói tanúsítvány az alsóbb rétegbeli eszközeivel hoz létre. Ez a kapcsolat lehetővé teszi tetszőleges számú eszköz regisztrálását az IoT Hubra egy X.509-es hitelesítésszolgáltatói tanúsítvány egyszeri regisztrálásával. Ellenkező esetben az egyedi tanúsítványokat minden eszköz esetében elő kell regisztrálni, mielőtt az eszköz csatlakozni tudna. Ez az egy-a-többhöz kapcsolat az eszköztanúsítványok életciklus-kezelési műveleteit is leegyszerűsíti.

Az X.509 CA hitelesítésének egy másik fontos attribútuma az ellátási lánc logisztikának egyszerűsítése. Az eszközök biztonságos hitelesítéséhez minden eszköznek rendelkeznie kell egy egyedi titkos kóddal, például egy kulccsal a megbízhatóság alapjaként. A tanúsítványalapú hitelesítésben ez a titkos kulcs egy titkos kulcs. Egy tipikus eszközgyártási folyamat több lépésből és gondnokból áll. Az eszköz titkos kulcsának biztonságos kezelése több letétkezelő között, és a bizalom fenntartása nehéz és költséges. A hitelesítésszolgáltatók használata úgy oldja meg ezt a problémát, hogy az egyes letétkezelőket egy titkosítási bizalmi láncba íratja be ahelyett, hogy az eszköz titkos kulcsaival bízza meg őket. Minden gondnok a gyártási folyamat megfelelő lépésében aláírja az eszközöket. Az összesített eredmény egy optimális ellátási lánc, amely beépített elszámoltathatósággal rendelkezik a titkosítási bizalmi lánc használatával.

Ez a folyamat a legnagyobb biztonságot nyújtja, ha az eszközök védik egyedi titkos kulcsaikat. Ennek érdekében javasoljuk a hardveres biztonságos modulok (HSM) használatát, amelyek képesek belsőleg generálni a titkos kulcsokat.

Az Azure IoT Hub Device Provisioning Service (DPS) segítségével egyszerűen kiépíthet eszközcsoportokat a központokba. További információ : Oktatóanyag: Több X.509-eszköz üzembe helyezése regisztrációs csoportok használatával.

X.509 hitelesítésszolgáltatói tanúsítvány lekérése

Az X.509 hitelesítésszolgáltatói tanúsítvány az egyes eszközök tanúsítványláncának tetején található. A használat módjától függően vásárolhat vagy hozhat létre egyet.

Éles környezetekben javasoljuk, hogy vásároljon egy X.509-es hitelesítésszolgáltatói tanúsítványt egy professzionális tanúsítványszolgáltatótól. A hitelesítésszolgáltatói tanúsítvány vásárlása annak az előnye, hogy a legfelső szintű hitelesítésszolgáltató megbízható harmadik félként jár el az eszközök legitimitásának védelme érdekében. Ezt a lehetőséget akkor érdemes megfontolni, ha az eszközök egy nyílt IoT-hálózat részei, ahol külső termékekkel vagy szolgáltatásokkal kommunikálnak.

Tesztelési célból önaláírt X.509 CA-tanúsítványt is létrehozhat. További információ a tanúsítványok teszteléshez való létrehozásáról: Tanúsítványok létrehozása és feltöltése teszteléshez.

Megjegyzés:

Nem javasoljuk az önaláírt tanúsítványok használatát éles környezetekben.

Az X.509 hitelesítésszolgáltatói tanúsítvány beszerzésétől függetlenül ügyeljen arra, hogy a megfelelő titkos kulcs titkos maradjon, és mindig védve legyen. Ez az elővigyázatosság szükséges az X.509 hitelesítésszolgáltatói hitelesítés megbízhatóságának kiépítéséhez.

Eszközök aláírása a megbízhatósági tanúsítványláncba

Az X.509 hitelesítésszolgáltatói tanúsítvány tulajdonosa kriptográfiailag aláírhat egy köztes hitelesítésszolgáltatót, amely egy másik köztes hitelesítésszolgáltatót is aláírhat, és így tovább, amíg az utolsó köztes hitelesítésszolgáltató egy eszköztanúsítvány aláírásával leállítja ezt a folyamatot. Az eredmény a tanúsítványok kaszkádolt lánca, amelyet megbízhatósági tanúsítványláncnak neveznek. Ez a bizalmi delegálás azért fontos, mert kriptográfiailag változó felügyeleti láncot hoz létre, és elkerüli az aláírókulcsok megosztását.

Diagram that shows the certificates in a chain of trust.

Az eszköztanúsítványnak (más néven levéltanúsítványnak) az IoT-eszköz Azure IoT Hubban való regisztrálásakor használt eszközazonosítóra (CN) kell beállítania a közös nevét (CN=deviceIdCN). Ez a beállítás szükséges a hitelesítéshez.

Az X.509-hitelesítést használó modulok esetében a modul tanúsítványának a köznapi neve (CN) formátuma szerint CN=deviceId/moduleIdkell lennie.

Megtudhatja, hogyan hozhat létre tanúsítványláncot az eszközök aláírása során.

Az X.509 hitelesítésszolgáltatói tanúsítvány regisztrálása az IoT Hubon

Regisztrálja az X.509 hitelesítésszolgáltatói tanúsítványt az IoT Hubon, amely az eszközök hitelesítésére használja a regisztráció és a kapcsolat során. Az X.509 hitelesítésszolgáltatói tanúsítvány regisztrálása egy kétlépéses folyamat, amely magában foglalja a tanúsítványfájl feltöltését, majd a birtoklás igazolását.

A feltöltési folyamat magában foglalja a tanúsítványt tartalmazó fájl feltöltését. Ennek a fájlnak soha nem szabad titkos kulcsokat tartalmaznia.

A birtoklás igazolása lépés magában foglalja az Ön és az IoT Hub közötti titkosítási kihívást és válaszfolyamatot. Tekintettel arra, hogy a digitális tanúsítvány tartalma nyilvános, ezért érzékeny a lehallgatásra, az IoT Hubnak ellenőriznie kell, hogy valóban a hitelesítésszolgáltatói tanúsítvány tulajdonosa-e. Dönthet úgy, hogy automatikusan vagy manuálisan ellenőrzi a tulajdonjogot. A manuális ellenőrzéshez az Azure IoT Hub véletlenszerű kihívást generál, amelyet a ca-tanúsítvány megfelelő titkos kulcsával ír alá. Ha megtartotta a titkos kulcs titkos kulcsát, és az ajánlott módon védett, akkor csak Ön rendelkezik a lépés végrehajtásához megfelelő tudással. Ebben a módszerben a titkos kulcsok titkossága a bizalom forrása. A feladat aláírása után végezze el ezt a lépést, és manuálisan ellenőrizze a tanúsítványt az eredményeket tartalmazó fájl feltöltésével.

Megtudhatja, hogyan regisztrálhatja a hitelesítésszolgáltatói tanúsítványt.

X.509 hitelesítésszolgáltatói tanúsítvánnyal aláírt eszközök hitelesítése

Minden IoT Hub rendelkezik egy identitásregisztrációs adatbázissal, amely információkat tárol a csatlakozáshoz engedélyezett eszközökről és modulokról. Ahhoz, hogy egy eszköz vagy modul csatlakozni tud, az IoT Hub identitásjegyzékében kell lennie egy bejegyzésnek az adott eszközhöz vagy modulhoz. Egy eszköz vagy modul az identitásjegyzékben tárolt hitelesítő adatok alapján hitelesíti az IoT Hubot.

Az X.509 hitelesítésszolgáltatói tanúsítvány regisztrálva van, és az eszközök bejelentkezve egy megbízhatósági tanúsítványláncba, az utolsó lépés az eszköz hitelesítése, amikor az eszköz csatlakozik. Amikor egy X.509 hitelesítésszolgáltató által aláírt eszköz csatlakozik, feltölti a tanúsítványláncát az ellenőrzéshez. A lánc tartalmazza az összes köztes hitelesítésszolgáltatót és eszköztanúsítványt. Ezekkel az információkkal az IoT Hub két lépésben hitelesíti az eszközt. Az IoT Hub kriptográfiailag ellenőrzi a tanúsítványláncot a belső konzisztenciához, majd kiadja az eszköz birtoklási igazolási problémáját. Az IoT Hub hitelesnek nyilvánítja az eszközt az eszközről kapott sikeres birtoklási igazolási válaszon. Ez a deklaráció feltételezi, hogy az eszköz titkos kulcsa védett, és hogy csak az eszköz tud sikeresen válaszolni erre a kihívásra. Javasoljuk, hogy a titkos kulcsok védelme érdekében biztonságos chipeket, például hardveres biztonsági modulokat (HSM) használjon az eszközökön.

Az IoT Hubhoz való sikeres eszközkapcsolat befejezi a hitelesítési folyamatot, és a megfelelő beállításra is utal. Minden alkalommal, amikor egy eszköz csatlakozik, az IoT Hub újratárgyalja a TLS-munkamenetet, és ellenőrzi az eszköz X.509-tanúsítványát.

Eszköztanúsítvány visszavonása

Az IoT Hub nem ellenőrzi a tanúsítvány-visszavonási listákat a hitelesítésszolgáltatótól, amikor tanúsítványalapú hitelesítéssel rendelkező eszközöket hitelesít. Ha olyan eszköze van, amelyet egy potenciálisan feltört tanúsítvány miatt le kell tiltani az IoT Hubhoz való csatlakozástól, tiltsa le az eszközt az identitásjegyzékben. További információ: Eszköz letiltása vagy törlése egy IoT Hubon.

Példaforgatókönyv

A Company-X olyan Smart-X-widgeteket készít, amelyek professzionális telepítésre vannak tervezve. A Company-X kiszervezi a gyártást és a telepítést is. A Factory-Y gyártja a Smart-X-Widgeteket, és a Technician-Z telepíti őket. A Company-X azt szeretné, hogy a Smart-X-widget közvetlenül a Factory-Y-ből a Technician-Z-be legyen szállítva telepítésre, majd hogy közvetlenül csatlakozzon az X vállalat IoT Hub-példányához. Ennek érdekében a Company-X-nek végre kell hajtania néhány egyszeri beállítási műveletet a Smart-X-Widget automatikus csatlakoztatásához. Ez a végpontok közötti forgatókönyv a következő lépéseket tartalmazza:

  1. Az X.509 hitelesítésszolgáltatói tanúsítvány beszerzése

  2. Az X.509 hitelesítésszolgáltatói tanúsítvány regisztrálása az IoT Hubon

  3. Eszközök aláírása megbízhatósági tanúsítványláncba

  4. az eszközök Csatlakozás

Ezeket a lépéseket a következő oktatóanyag mutatja be: Tanúsítványok létrehozása és feltöltése teszteléshez.

A tanúsítvány beszerzése

Az X vállalat megvásárolhat egy X.509-es hitelesítésszolgáltatói tanúsítványt egy nyilvános főtanúsítvány-szolgáltatótól, vagy létrehozhat egyet egy önaláírt folyamaton keresztül. Mindkét lehetőség két alapvető lépéssel jár: egy nyilvános/titkos kulcspár létrehozása és a nyilvános kulcs tanúsítványba való aláírása.

A lépések végrehajtásának részletei különböznek a különböző szolgáltatóktól.

Diagram showing the flow for generating an X.509 CA certificate.

Tanúsítvány vásárlása

A hitelesítésszolgáltatói tanúsítvány megvásárlásának előnye, hogy egy jól ismert legfelső szintű hitelesítésszolgáltató megbízható harmadik félként működik, hogy az eszközök csatlakozásakor az IoT-eszközök legitimitását érvényesíteni tudja. Akkor válassza ezt a lehetőséget, ha az eszközei külső termékekkel vagy szolgáltatásokkal kommunikálnak.

X.509 hitelesítésszolgáltatói tanúsítvány vásárlásához válasszon egy főtanúsítvány-szolgáltatót. A legfelső szintű hitelesítésszolgáltató bemutatja, hogyan hozhatja létre a nyilvános/titkos kulcspárokat, és hogyan hozhat létre tanúsítvány-aláírási kérést (CSR) a szolgáltatásaikhoz. A CSR a hitelesítésszolgáltatótól származó tanúsítvány igénylésének hivatalos folyamata. A vásárlás eredménye egy hitelesítésszolgáltatói tanúsítványként használható tanúsítvány. Az X.509-tanúsítványok elterjedtsége miatt a tanúsítvány valószínűleg megfelelően lett formázva az IETF RFC 5280 szabványához.

Önaláírt tanúsítvány létrehozása

Az önaláírt X.509 hitelesítésszolgáltatói tanúsítvány létrehozásának folyamata hasonló a vásárláshoz, azzal a kivétellel, hogy nem jár olyan külső aláíróval, mint a főtanúsítvány-szolgáltató. A példánkban a Company-X főtanúsítvány helyett a szolgáltatói tanúsítványt írja alá.

Ezt a lehetőséget választhatja a teszteléshez, amíg nem áll készen egy hatósági tanúsítvány megvásárlására. Önaláírt X.509 hitelesítésszolgáltatói tanúsítványt is használhat éles környezetben, ha az eszközei nem csatlakoznak az IoT Hubon kívüli külső szolgáltatásokhoz.

A tanúsítvány regisztrálása az IoT Hubon

A Company-X-nek regisztrálnia kell az X.509 hitelesítésszolgáltatót az IoT Hubon, ahol a smart-X-widgetek hitelesítésére szolgál a csatlakozáskor. Ez az egyszeri folyamat lehetővé teszi tetszőleges számú Smart-X-Widget-eszköz hitelesítését és kezelését. A hitelesítésszolgáltatói tanúsítvány és az eszköztanúsítványok közötti egy-a-többhöz kapcsolat az X.509 hitelesítésszolgáltatói hitelesítési módszer használatának egyik fő előnye. Az alternatív megoldás az lenne, ha minden Smart-X-Widget-eszközhöz külön tanúsítvány-ujjlenyomatokat töltene fel, ezáltal növelve az üzemeltetési költségeket.

Az X.509 hitelesítésszolgáltatói tanúsítvány regisztrálása két lépésből áll: töltse fel a tanúsítványt, majd adja meg a birtoklási igazolást.

Diagram showing the process flow for registering an X.509 CA certificate.

A tanúsítvány feltöltése

Az X.509 hitelesítésszolgáltatói tanúsítvány feltöltési folyamata csak ennyi: a ca-tanúsítvány feltöltése az IoT Hubra. Az IoT Hub egy fájlban várja a tanúsítványt.

A tanúsítványfájl semmilyen körülmények között nem tartalmazhat titkos kulcsokat. A nyilvános kulcsú infrastruktúrát (PKI) szabályozó szabványok ajánlott eljárásai arra kötelezik, hogy az X vállalat titkos kulcsának ismerete kizárólag a Company-X-ben található.

Tulajdonjog igazolása

Az X.509 hitelesítésszolgáltatói tanúsítvány, mint minden digitális tanúsítvány, nyilvános információ, amely hajlamos a lehallgatásra. Így egy lehallgató elfoghat egy tanúsítványt, és megpróbálhatja sajátként feltölteni. Példánkban az IoT Hubnak meg kell győződnie arról, hogy a feltöltött Company-X hitelesítésszolgáltatói tanúsítvány valóban a Company-X-hez tartozik. Ezt úgy teszi, hogy a Company-X-et arra kér, hogy bizonyítsa, hogy rendelkezik a tanúsítvánnyal egy birtoklási igazolási (PoP) folyamaton keresztül.

A birtoklás igazolási folyamatához az IoT Hub véletlenszerű számot hoz létre, amelyet a Company-X aláír a titkos kulcsával. Ha a Company-X követte a PKI ajánlott eljárásait, és védte a titkos kulcsát, akkor csak ők tudnak megfelelően válaszolni a tulajdonjog igazolásával kapcsolatos kihívásra. Az IoT Hub folytatja az X.509 hitelesítésszolgáltatói tanúsítvány regisztrálását a tulajdonjog-igazolási feladat sikeres válasza esetén.

Az IoT Hub igazolási kihívására adott sikeres válasz befejezi az X.509 hitelesítésszolgáltató regisztrációját.

Eszközök aláírása megbízhatósági tanúsítványláncba

Az IoT minden csatlakoztatott eszközhöz egyedi identitást igényel. A tanúsítványalapú hitelesítéshez ezek az identitások tanúsítványok formájában vannak. Példánkban a tanúsítványalapú hitelesítés azt jelenti, hogy minden Smart-X-Widgetnek egyedi eszköztanúsítvánnyal kell rendelkeznie.

Az egyedi tanúsítványok minden eszközön való biztosításának érvényes, de nem hatékony módja a Smart-X-Widgetek tanúsítványainak előre generálása, valamint az ellátási lánc partnereinek a megfelelő titkos kulcsokkal való megbízhatósága. Az X vállalat esetében ez azt jelenti, hogy a Factory-Y és a Technician-Z feladatokat is megbízzák. Ez a módszer olyan kihívásokkal jár, amelyeket meg kell oldani a bizalom biztosítása érdekében, az alábbiak szerint:

  • Ha meg kell osztania az eszköz titkos kulcsait az ellátási lánc partnereivel, amellett, hogy figyelmen kívül hagyja a PKI ajánlott eljárásait, hogy soha ne ossza meg a titkos kulcsokat, költségessé teszi az ellátási láncba vetett bizalom kiépítését. Ehhez olyan rendszerekre van szükség, mint a biztonságos szobák az eszköz titkos kulcsainak és az olyan folyamatoknak, mint a rendszeres biztonsági auditok. Mindkettő hozzáadja a költségeket az ellátási lánchoz.

  • Az ellátási láncban lévő eszközök biztonságos könyvelése és később az üzembe helyezésük során történő kezelése minden kulcs–eszköz pár egy-egy feladatává válik az eszköz egyedi tanúsítványának (és titkos kulcsának) létrehozása és az eszközök kivonása között. Ez kizárja az eszközök csoportkezelését, kivéve, ha a csoportok fogalma valamilyen módon kifejezetten bele van építve a folyamatba. A biztonságos könyvelés és az eszközök életciklusának kezelése ezért komoly üzemeltetési terhet jelent.

Az X.509 hitelesítésszolgáltatói tanúsítványhitelesítés elegáns megoldásokat kínál ezekre a kihívásokra tanúsítványláncok használatával. A tanúsítványlánc egy olyan köztes hitelesítésszolgáltató aláírásából ered, amely egy másik köztes hitelesítésszolgáltatót ír alá, és így tovább, amíg egy végső köztes hitelesítésszolgáltató nem ír alá egy eszközt. A példánkban a Company-X a Factory-Y-t írja elő, amely pedig a Technician-Z jelzéseket, amelyek végül a Smart-X-Widgetet aláírják.

Diagram showing an example of a certificate chain hierarchy.

A láncban lévő tanúsítványok kaszkádolása a jogosultság logikai átadását jelenti. Számos ellátási lánc követi ezt a logikai átadást, amely során minden köztes hitelesítésszolgáltató bejelentkezik a láncba, miközben megkapja az összes felsőbb szintű hitelesítésszolgáltatói tanúsítványt, és az utolsó köztes hitelesítésszolgáltató végül aláírja az egyes eszközöket, és a lánc összes hatósági tanúsítványát az eszközbe injektálja. Ez az átadás akkor gyakori, ha a gyártói hierarchiával rendelkező szerződéses gyártó vállalat megbíz egy adott gyárat a gyártás elvégzéséhez. Bár a hierarchia több szinten is mély lehet (például földrajzi/terméktípus/gyártósor szerint), csak a végén lévő gyár használhatja az eszközt, de a lánc a hierarchia tetejéről tartható fenn.

Az alternatív láncok eltérő köztes hitelesítésszolgáltatókkal kommunikálhatnak az eszközzel, ebben az esetben az eszközzel kommunikáló hitelesítésszolgáltató ezen a ponton injektálja a tanúsítványlánc tartalmát. Hibrid modellek is lehetségesek, ha csak néhány hitelesítésszolgáltató rendelkezik fizikai interakcióval az eszközzel.

Az alábbi ábra bemutatja, hogyan jön létre a megbízhatósági tanúsítványlánc a Smart-X-Widget-példában.

Diagram showing the certificate chain of trust from the certificates of one company to the certificates of another company.

  1. A Company-X soha nem kommunikál fizikailag a Smart-X-Widgetek egyikével sem. A Factory-Y köztes hitelesítésszolgáltató tanúsítványának aláírásával kezdeményezi a tanúsítványláncot.
  2. A Factory-Y már rendelkezik saját köztes hitelesítésszolgáltatói tanúsítvánnyal és az X vállalattól származó aláírással. Átadja ezeknek az elemeknek a másolatait az eszköznek. Emellett a köztes hitelesítésszolgáltatói tanúsítványával aláírja a Technician-Z köztes hitelesítésszolgáltatói tanúsítványát és a Smart-X-Widget eszköztanúsítványt.
  3. A Technician-Z már rendelkezik saját köztes hitelesítésszolgáltatói tanúsítvánnyal és a Factory-Y aláírásával. Átadja ezeknek az elemeknek a másolatait az eszköznek. Emellett a köztes hitelesítésszolgáltatói tanúsítványával is aláírja a Smart-X-Widget eszköztanúsítványt.
  4. Minden Smart-X-Widget-eszköz rendelkezik saját egyedi eszköztanúsítvánnyal, valamint a nyilvános kulcsok és aláírások másolataival minden olyan köztes hitelesítésszolgáltatói tanúsítványból, amellyel az ellátási lánc során kommunikált. Ezek a tanúsítványok és aláírások visszavezethetők az eredeti Company-X gyökérre.

A hitelesítésszolgáltatói hitelesítési módszer biztonságos elszámoltathatóságot biztosít az eszközgyártási ellátási láncba. A tanúsítványlánc folyamata miatt a lánc minden tagjának műveletei kriptográfiailag rögzítve és ellenőrizhetők.

Ez a folyamat arra a feltételezésre támaszkodik, hogy az egyedi eszköz nyilvános/titkos kulcs párja egymástól függetlenül jön létre, és hogy a titkos kulcs mindig az eszközön belül van védve. Szerencsére a biztonságos szilícium chipek hardveres biztonságos modulok (HSM) formájában léteznek, amelyek képesek a kulcsok belső generálására és a titkos kulcsok védelmére. A Company-X-nek csak egy ilyen biztonságos chipet kell hozzáadnia a Smart-X-Widget összetevő anyagjegyzékéhez.

Eszközök hitelesítése

Ha a legfelső szintű hitelesítésszolgáltatói tanúsítvány regisztrálva van az IoT Hubon, és az eszközök egyedi tanúsítványokkal rendelkeznek, hogyan csatlakoznak? Ha egyszer regisztrál egy X.509-es hitelesítésszolgáltatói tanúsítványt az IoT Hubon, hogyan csatlakozhat és hitelesíthető az első alkalommal több millió eszköz? Az X.509 CA-tanúsítvány regisztrálásával korábban tapasztalt tanúsítványfeltöltési és birtoklási igazolási folyamaton keresztül.

Az X.509 CA-hitelesítéshez gyártott eszközök egyedi eszköztanúsítványokkal és a hozzájuk tartozó gyártási ellátási lánc tanúsítványláncával vannak felszerelve. Az eszközkapcsolat még az első alkalommal is kétlépéses folyamat során történik: a tanúsítványlánc feltöltése és a birtoklás igazolása.

A tanúsítványlánc feltöltése során az eszköz feltölti az egyedi tanúsítványát és tanúsítványláncát az IoT Hubba. Az előre regisztrált X.509 hitelesítésszolgáltatói tanúsítvány használatával az IoT Hub ellenőrzi, hogy a feltöltött tanúsítványlánc belsőleg konzisztens-e, és hogy a láncot az X.509 hitelesítésszolgáltatói tanúsítvány érvényes tulajdonosa hozta-e létre. Az X.509 hitelesítésszolgáltató regisztrációs folyamatához hasonlóan az IoT Hub is egy igazolási kérdés-válasz eljárással állapítja meg, hogy a lánc, és így az eszköztanúsítvány az azt feltöltő eszközhöz tartozik. A sikeres válasz aktiválja az IoT Hubot, hogy hitelesként fogadja el az eszközt, és kapcsolatot létesítsen vele.

Példánkban minden Smart-X-Widget a Factory-Y és a Technician-Z X.509 CA tanúsítványokkal együtt feltölti az eszköz egyedi tanúsítványát, majd válaszol az IoT Hub birtoklási igazolási feladatára.

Diagram showing the flow for validating a device certificate.

A bizalom alapja a titkos kulcsok védelme, beleértve az eszköz titkos kulcsait is. Ezért nem tudjuk eléggé hangsúlyozni a biztonságos szilícium chipek fontosságát hardveres biztonságos modulok (HSM) formájában az eszköz titkos kulcsainak védelme érdekében, és az általános ajánlott eljárás, hogy soha ne ossza meg a titkos kulcsokat, például az egyik gyár a másikat bízza meg a titkos kulcsával.

Következő lépések

A Device Provisioning Service használatával több X.509-eszközt építhet ki regisztrációs csoportok használatával.

Az X.509-tanúsítványt alkotó mezőkkel kapcsolatos további információkért lásd az X.509-tanúsítványokat.

Ha rendelkezik legfelső szintű hitelesítésszolgáltatói tanúsítvánnyal vagy alárendelt hitelesítésszolgáltatói tanúsítvánnyal, és fel szeretné tölteni az IoT Hubra, ellenőriznie kell, hogy a tanúsítvány tulajdonosa-e. További információ: Oktatóanyag: Tanúsítványok létrehozása és feltöltése teszteléshez.