Bagikan melalui

Cara menggulung sertifikat perangkat X.509

Selama siklus hidup solusi IoT Anda, Anda perlu menggulung sertifikat. Dua alasan utama untuk menggulung sertifikat adalah pelanggaran keamanan, dan sertifikat kedaluwarsa.

Sertifikat bergulir adalah praktik terbaik keamanan untuk membantu mengamankan sistem Anda jika ada pelanggaran. Sebagai bagian dari Metodologi Asumsi Pelanggaran, Microsoft menganjurkan pentingnya memiliki proses keamanan reaktif bersama dengan langkah-langkah pencegahan. Memperbarui sertifikat perangkat Anda harus disertakan sebagai bagian dari proses keamanan ini. Frekuensi Anda menggulung sertifikat bergantung pada kebutuhan keamanan solusi Anda. Pelanggan dengan solusi yang melibatkan data yang sangat sensitif mungkin menggulung sertifikat setiap hari, sementara yang lain menggulirkan sertifikat mereka setiap beberapa tahun.

Sertifikat perangkat bergulir melibatkan pembaruan sertifikat yang disimpan di perangkat dan hub IoT. Setelah itu, perangkat dapat memprovisikan ulang dirinya dengan hub IoT menggunakan provisi normal dengan Device Provisioning Service (DPS).

Mendapatkan sertifikat baru

Ada banyak cara untuk mendapatkan sertifikat baru untuk perangkat IoT Anda, termasuk mendapatkan sertifikat dari pabrik perangkat, membuat sertifikat Anda sendiri, dan meminta penyedia non-Microsoft mengelola pembuatan sertifikat untuk Anda.

Sertifikat dapat menandatangani satu sama lain untuk membentuk rantai kepercayaan dari sertifikat OS akar ke sertifikat daun. Sertifikat penandatangan adalah sertifikat yang digunakan untuk menandatangani sertifikat daun di akhir rantai kepercayaan. Sertifikat penandatanganan dapat berupa sertifikat OS akar, atau sertifikat perantara dalam rantai kepercayaan. Untuk informasi selengkapnya, lihat Pengesahan sertifikat X.509.

Ada dua cara berbeda untuk mendapatkan sertifikat penandatanganan. Cara pertama, yang direkomendasikan untuk sistem produksi, adalah membeli sertifikat penandatanganan dari otoritas sertifikat root (CA). Dengan cara ini menautkan keamanan ke sumber tepercaya.

Cara kedua adalah membuat sertifikat X.509 Anda sendiri menggunakan alat seperti OpenSSL. Pendekatan ini sangat bagus untuk menguji sertifikat X.509 tetapi memberikan sedikit jaminan terkait keamanan. Kami sarankan Anda hanya menggunakan pendekatan ini untuk pengujian kecuali Anda siap untuk bertindak sebagai penyedia CA Anda sendiri.

Menggulung sertifikat pada perangkat

Sertifikat pada perangkat harus selalu disimpan di tempat yang aman seperti modul keamanan perangkat keras (HSM). Cara Anda menggulung sertifikat perangkat bergantung pada cara sertifikat dibuat dan diinstal di perangkat terlebih dahulu.

Jika Anda mendapatkan sertifikat dari penyedia non-Microsoft, Anda harus memeriksa bagaimana sertifikat tersebut didistribusikan. Proses ini mungkin disertakan dalam pengaturan Anda dengan mereka, atau mungkin merupakan layanan terpisah yang mereka tawarkan.

Jika Anda mengelola sertifikat perangkat Anda sendiri, Anda harus membangun alur Anda sendiri untuk memperbarui sertifikat. Pastikan sertifikat daun lama dan baru memiliki nama umum (CN) yang sama. Dengan memiliki CN yang sama, perangkat dapat memprovisikan ulang dirinya sendiri tanpa membuat catatan pendaftaran duplikat.

Mekanisme menginstal sertifikat baru pada perangkat sering melibatkan salah satu pendekatan berikut:

  • Anda dapat memicu perangkat yang terpengaruh untuk mengirim permintaan penandatanganan sertifikat (CSR) baru ke Otoritas Sertifikat (CA) PKI Anda. Dalam hal ini, setiap perangkat kemungkinan dapat mengunduh sertifikat perangkat barunya langsung dari CA.

  • Anda dapat mempertahankan CSR dari setiap perangkat dan menggunakannya untuk mendapatkan sertifikat perangkat baru dari CA PKI. Dalam hal ini, Anda perlu mendorong sertifikat baru ke setiap perangkat dalam pembaruan firmware menggunakan layanan pembaruan OTA yang aman seperti Device Update for IoT Hub.

Menggulung sertifikat di DPS

Sertifikat perangkat dapat ditambahkan secara manual ke hub IoT. Sertifikat juga dapat diotomatisasi menggunakan instans Device Provisioning Service. Dalam artikel ini, kami menganggap instans Device Provisioning Service sedang digunakan untuk mendukung provisi otomatis.

Ketika perangkat awalnya diprovisikan melalui provisi otomatis, perangkat melakukan booting, dan menghubungi layanan provisi. Layanan provisi merespons dengan melakukan pemeriksaan identitas sebelum membuat identitas perangkat di hub IoT, menggunakan sertifikat daun perangkat sebagai kredensial. Layanan provisi kemudian memberi tahu perangkat hub IoT mana yang ditetapkan, dan perangkat kemudian menggunakan sertifikat daunnya untuk mengautentikasi dan tersambung ke hub IoT.

Setelah sertifikat daun baru diimplementasikan ke perangkat, perangkat tidak dapat lagi terhubung ke hub IoT karena menggunakan sertifikat baru untuk terhubung. Hub IoT hanya mengenali perangkat dengan sertifikat lama. Hasil dari upaya koneksi perangkat adalah kesalahan koneksi "tidak sah". Untuk mengatasi kesalahan ini, Anda harus memperbarui entri pendaftaran untuk perangkat guna mengakomodasi sertifikat daun baru perangkat. Kemudian layanan provisi dapat memperbarui informasi registri perangkat IoT Hub sesuai kebutuhan saat perangkat diprovisikan ulang.

Salah satu kemungkinan pengecualian untuk kegagalan koneksi ini adalah skenario di mana Anda membuat grup pendaftaran untuk perangkat Anda di layanan provisi. Pada kasus ini, jika Anda tidak memperbarui sertifikat akar atau sertifikat menengah dalam rantai kepercayaan sertifikat perangkat, maka perangkat akan dikenali jika sertifikat baru menjadi bagian dari rantai kepercayaan yang ditentukan dalam grup pendaftaran. Jika skenario ini muncul sebagai reaksi terhadap pelanggaran keamanan, Anda setidaknya harus melarang sertifikat perangkat tertentu dalam grup yang dianggap dilanggar. Untuk informasi selengkapnya, lihat Melarang perangkat tertentu dari grup pendaftaran X.509

Cara Anda menangani pembaruan entri pendaftaran bergantung pada apakah Anda menggunakan pendaftaran individual, atau pendaftaran grup. Prosedur yang direkomendasikan juga berbeda tergantung pada apakah Anda menggulung sertifikat karena pelanggaran keamanan, atau kedaluwarsa sertifikat. Bagian berikut menjelaskan cara menangani pembaruan ini.

Menerbitkan sertifikat untuk pendaftaran individu

Jika Anda menggulirkan sertifikat sebagai respons terhadap pelanggaran keamanan, Anda harus segera menghapus sertifikat yang disusupi.

Jika Anda memperbarui sertifikat untuk menangani kedaluwarsa sertifikat, Anda harus menggunakan konfigurasi sertifikat sekunder untuk mengurangi waktu henti pada perangkat yang mencoba melakukan provisioning. Kemudian, ketika sertifikat sekunder mendekati kedaluwarsa dan perlu digulung, Anda dapat memutar untuk menggunakan konfigurasi utama. Memutar antara sertifikat utama dan sekunder dengan cara ini mengurangi waktu henti untuk perangkat yang mencoba menyediakan.

Memperbarui entri pendaftaran untuk sertifikat bergulir dilakukan pada halaman Kelola pendaftaran. Untuk mengakses halaman tersebut, ikuti langkah-langkah berikut:

  1. Masuk ke portal Microsoft Azure dan navigasikan ke instans Device Provisioning Service yang memiliki entri pendaftaran untuk perangkat Anda.

  2. Pilih Kelola pendaftaran.

    Cuplikan layar yang memperlihatkan halaman Kelola pendaftaran di portal Microsoft Azure.

  3. Pilih tab pendaftaran individu, dan pilih entri ID pendaftaran dari daftar.

  4. Centang kotak centang Hapus atau ganti sertifikat primer/sekunder jika Anda ingin menghapus sertifikat yang sudah ada. Pilih ikon folder file untuk menelusuri dan mengunggah sertifikat baru.

    Jika salah satu sertifikat Anda disusupi, Anda harus menghapusnya sesegera mungkin.

    Jika salah satu sertifikat Anda mendekati kedaluwarsanya, Anda dapat menyimpannya selama sertifikat kedua masih akan aktif setelah tanggal tersebut.

    Cuplikan layar yang memperlihatkan cara menghapus sertifikat dan mengunggah sertifikat baru.

  5. Setelah selesai, pilih Simpan.

  6. Jika Anda menghapus sertifikat yang disusupi dari layanan provisi, sertifikat masih dapat digunakan untuk membuat koneksi perangkat ke hub IoT selama pendaftaran perangkat untuk itu ada di sana. Anda dapat mengatasi dua cara ini:

    Cara pertama adalah menavigasi secara manual ke hub IoT Anda dan segera menghapus pendaftaran perangkat yang terkait dengan sertifikat yang disusupi. Kemudian ketika perangkat mengkonfigurasi ulang dengan sertifikat yang diperbarui, pendaftaran perangkat baru dibuat.

    Cara kedua adalah menggunakan dukungan penyediaan ulang untuk menyediakan ulang perangkat ke hub IoT yang sama. Pendekatan ini dapat digunakan untuk mengganti sertifikat untuk pendaftaran perangkat di hub IoT. Untuk informasi selengkapnya, lihat Cara menyediakan ulang perangkat.

Menerbitkan sertifikat untuk grup pendaftaran

Untuk memperbarui pendaftaran grup sebagai respons terhadap pelanggaran keamanan, Anda harus segera menghapus CA akar atau sertifikat perantara yang disusupi.

Jika Anda menggulung sertifikat untuk menangani kedaluwarsa sertifikat, Anda harus menggunakan konfigurasi sertifikat sekunder untuk memastikan tidak ada waktu henti bagi perangkat yang mencoba menyediakan. Kemudian, ketika sertifikat sekunder juga mendekati kedaluwarsa dan perlu digulung, Anda dapat memutar untuk menggunakan konfigurasi utama. Memutar antara sertifikat utama dan sekunder dengan cara ini memastikan tidak ada waktu henti untuk perangkat yang mencoba menyediakan.

Memperbarui sertifikat CA akar

  1. Pilih Sertifikat dari bagian Pengaturan menu navigasi untuk instans Device Provisioning Service Anda.

    Cuplikan layar yang memperlihatkan halaman Sertifikat di portal Microsoft Azure.

  2. Pilih sertifikat yang disusupi atau kedaluwarsa dari daftar, lalu pilih Hapus. Konfirmasi penghapusan dengan memasukkan nama sertifikat dan pilih OK.

  3. Ikuti langkah-langkah yang diuraikan dalam Cara memverifikasi sertifikat CA X.509 dengan Device Provisioning Service Anda untuk menambahkan dan memverifikasi sertifikat OS akar baru.

  4. Pilih Kelola pendaftaran dari bagian Pengaturan menu navigasi untuk instans Device Provisioning Service Anda, dan pilih tab Grup pendaftaran .

  5. Pilih nama grup pendaftaran Anda dari daftar.

  6. Di bagian Pengaturan sertifikat X.509 , dan pilih sertifikat OS akar baru Anda untuk mengganti sertifikat yang disusupi atau kedaluwarsa, atau untuk ditambahkan sebagai sertifikat sekunder.

    Cuplikan layar yang memperlihatkan memilih sertifikat baru yang diunggah untuk grup pendaftaran.

  7. Pilih Simpan.

  8. Jika Anda menghapus sertifikat yang disusupi dari layanan provisi, sertifikat masih dapat digunakan untuk membuat koneksi perangkat ke hub IoT selama pendaftaran perangkat untuk itu ada di sana. Anda dapat mengatasi dua cara ini:

    Cara pertama adalah menavigasi secara manual ke hub IoT Anda dan segera menghapus pendaftaran perangkat yang terkait dengan sertifikat yang disusupi. Kemudian saat perangkat Anda melakukan provisi ulang dengan sertifikat yang diperbarui, pendaftaran perangkat baru dibuat untuk setiap perangkat.

    Cara kedua adalah menggunakan dukungan penyediaan ulang untuk menyiapkan ulang perangkat Anda ke hub IoT yang sama. Pendekatan ini dapat digunakan untuk menggantikan sertifikat untuk pendaftaran perangkat di hub IoT. Untuk informasi selengkapnya, lihat Cara menyediakan ulang perangkat.

Memperbarui sertifikat perantara

  1. Pilih Kelola pendaftaran dari bagian Pengaturan menu navigasi untuk instans Device Provisioning Service Anda, dan pilih tab Grup pendaftaran .

  2. Pilih nama grup dari daftar.

  3. Centang kotak centang Hapus atau ganti sertifikat primer/sekunder jika Anda ingin menghapus sertifikat yang sudah ada. Pilih ikon folder file untuk menelusuri dan mengunggah sertifikat baru.

    Jika salah satu sertifikat Anda disusupi, Anda harus menghapusnya sesegera mungkin.

    Jika salah satu sertifikat Anda mendekati kedaluwarsanya, Anda dapat menyimpannya selama sertifikat kedua masih akan aktif setelah tanggal tersebut.

    Anda harus menandatangani setiap sertifikat perantara dengan sertifikat root CA terverifikasi yang sudah ditambahkan ke layanan penyediaan. Untuk informasi selengkapnya, lihat Pengesahan sertifikat X.509.

    Cuplikan layar yang memperlihatkan penggantian sertifikat perantara untuk grup pendaftaran.

  4. Jika Anda menghapus sertifikat yang disusupi dari layanan provisi, sertifikat masih dapat digunakan untuk membuat koneksi perangkat ke hub IoT selama pendaftaran perangkat untuk itu ada di sana. Anda dapat mengatasi dua cara ini:

    Cara pertama adalah menavigasi secara manual ke hub IoT Anda dan segera menghapus pendaftaran perangkat yang terkait dengan sertifikat yang disusupi. Kemudian saat perangkat Anda diatur ulang dengan sertifikat yang diperbarui, pendaftaran perangkat baru dibuat untuk setiap perangkat.

    Cara kedua adalah menggunakan dukungan penyediaan ulang untuk menyiapkan ulang perangkat Anda ke hub IoT yang sama. Pendekatan ini dapat digunakan untuk menggantikan sertifikat untuk pendaftaran perangkat di hub IoT. Untuk informasi selengkapnya, lihat Cara menyediakan ulang perangkat.

Provisi ulang perangkat

Setelah sertifikat diperbarui pada perangkat dan Layanan Penyediaan Perangkat, perangkat dapat memprovisikan ulang secara otomatis dengan menghubungi Layanan Penyediaan Perangkat.

Salah satu cara mudah untuk memprogram perangkat agar dapat melakukan penyediaan ulang adalah dengan memprogram perangkat tersebut untuk menghubungi layanan penyediaan dan mengikuti proses penyediaan jika perangkat menerima pesan kesalahan "tidak sah" ketika mencoba terhubung ke hub IoT.

Cara lain adalah agar sertifikat lama dan baru valid untuk tumpang tindih singkat, dan menggunakan hub IoT untuk mengirim perintah ke perangkat agar mereka mendaftar ulang melalui layanan provisi untuk memperbarui informasi koneksi IoT Hub mereka. Karena setiap perangkat dapat memproses perintah secara berbeda, Anda harus memprogram perangkat Anda untuk mengetahui apa yang harus dilakukan saat perintah dipanggil. Ada beberapa cara untuk memerintahkan perangkat Anda melalui IoT Hub, dan sebaiknya gunakan metode atau pekerjaan langsung untuk memulai proses.

Setelah provisi ulang selesai, perangkat dapat terhubung ke IoT Hub menggunakan sertifikat baru mereka.

Menonaktifkan sertifikat

Sebagai respons terhadap pelanggaran keamanan, Anda mungkin perlu melarang sertifikat perangkat. Untuk menolak sertifikat perangkat, nonaktifkan entri pendaftaran untuk perangkat/sertifikat target. Untuk informasi selengkapnya, lihat Cara membatalkan pendaftaran atau mencabut perangkat dari Azure IoT Hub Device Provisioning Service.

Setelah sertifikat disertakan sebagai bagian dari entri pendaftaran yang dinonaktifkan, setiap upaya untuk mendaftar dengan hub IoT menggunakan sertifikat tersebut gagal bahkan jika sertifikat diaktifkan sebagai bagian dari entri pendaftaran lain.

Langkah berikutnya

  • Last updated on