Cara menggulung sertifikat perangkat X.509

Selama siklus hidup solusi IoT Anda, Anda harus menggulung sertifikat. Dua alasan utama untuk menggulung sertifikat adalah pelanggaran keamanan, dan kedaluwarsa sertifikat.

Menggulung sertifikat adalah praktik terbaik keamanan untuk membantu mengamankan sistem Anda jika terjadi pelanggaran. Sebagai bagian dari Assume Breach Methodology, Microsoft menganjurkan perlunya memiliki proses keamanan reaktif bersama dengan langkah-langkah pencegahan. Menggulung sertifikat perangkat Anda harus disertakan sebagai bagian dari proses keamanan ini. Frekuensi Anda menggulung sertifikat akan tergantung pada kebutuhan keamanan solusi Anda. Pelanggan dengan solusi yang melibatkan data yang sangat sensitif dapat menggulung sertifikat setiap hari, sementara yang lain menggulung sertifikatnya setiap beberapa tahun.

Sertifikat perangkat bergulung akan melibatkan pembaruan sertifikat yang disimpan di perangkat dan hub IoT. Setelah itu, perangkat dapat memprovisikan ulang dirinya sendiri dengan hub IoT menggunakan provisi normal dengan Device Provisioning Service (DPS).

Mendapatkan sertifikat baru

Ada banyak cara untuk mendapatkan sertifikat baru untuk perangkat IoT Anda. Caranya termasuk mendapatkan sertifikat dari pabrik perangkat, membuat sertifikat Anda sendiri, dan meminta pihak ketiga mengelola pembuatan sertifikat untuk Anda.

Sertifikat ditandatangani satu sama lain untuk membentuk rantai kepercayaan dari sertifikat OS akar ke sertifikat daun. Sertifikat penandatanganan adalah sertifikat yang digunakan untuk menandatangani sertifikat daun di akhir rantai kepercayaan. Sertifikat penandatanganan dapat berupa sertifikat OS akar, atau sertifikat perantara dalam rantai kepercayaan. Untuk informasi selengkapnya, lihat sertifikat X.509.

Ada dua cara berbeda untuk mendapatkan sertifikat penandatanganan. Cara pertama, yang direkomendasikan untuk sistem produksi, adalah membeli sertifikat penandatanganan dari otoritas sertifikat (OS) akar. Dengan cara ini rantai keamanan ke sumber terpercaya.

Cara kedua adalah membuat sertifikat X.509 Anda sendiri menggunakan alat seperti OpenSSL. Pendekatan ini sangat bagus untuk menguji sertifikat X.509 tetapi memberikan sedikit jaminan seputar keamanan. Sebaiknya hanya gunakan pendekatan ini untuk pengujian kecuali jika Anda siap untuk bertindak sebagai penyedia OS Anda sendiri.

Menggulung sertifikat pada perangkat

Sertifikat pada perangkat harus selalu disimpan di tempat yang aman seperti modul keamanan perangkat keras (HSM). Cara Anda menggulung sertifikat perangkat akan bergantung pada cara sertifikat tersebut dibuat dan diinstal di perangkat.

Jika Anda mendapatkan sertifikat dari pihak ketiga, Anda harus melihat bagaimana sertifikat tersebut menggulung sertifikatnya. Prosesnya mungkin termasuk dalam pengaturan Anda dengan sertifikat, atau mungkin layanan terpisah yang ditawarkan.

Jika Anda mengelola sertifikat perangkat Anda sendiri, Anda harus membuat alur Anda sendiri untuk memperbarui sertifikat. Pastikan sertifikat daun lama dan baru memiliki nama umum (CN) yang sama. Dengan memiliki CN yang sama, perangkat dapat memprovisikan ulang dirinya sendiri tanpa membuat rekaman pendaftaran duplikat.

Mekanisme menginstal sertifikat baru pada perangkat akan sering melibatkan salah satu pendekatan berikut:

• Anda dapat memicu perangkat yang terpengaruh untuk mengirim permintaan penandatanganan sertifikat (CSR) baru ke Otoritas Sertifikat (CA) PKI Anda. Dalam hal ini, setiap perangkat kemungkinan akan dapat mengunduh sertifikat perangkat barunya langsung dari CA.

• Anda dapat mempertahankan CSR dari setiap perangkat dan menggunakannya untuk mendapatkan sertifikat perangkat baru dari CA PKI. Dalam hal ini, Anda harus mendorong sertifikat baru ke setiap perangkat dalam pembaruan firmware menggunakan layanan pembaruan OTA yang aman seperti Pembaruan Perangkat untuk IoT Hub.

Menggulung sertifikat di hub IoT

Sertifikat perangkat dapat ditambahkan secara manual ke hub IoT. Sertifikat juga dapat diotomatisasi menggunakan instans Device Provisioning Service. Dalam artikel ini, diasumsikan bahwa instans Device Provisioning Service sedang digunakan untuk mendukung provisi otomatis.

Saat perangkat awalnya diprovisikan melalui provisi otomatis, perangkat akan melakukan booting, dan menghubungi layanan provisi. Layanan provisi merespons dengan melakukan pemeriksaan identitas sebelum membuat identitas perangkat di hub IoT menggunakan sertifikat daun perangkat sebagai info masuk. Layanan provisi kemudian memberi tahu perangkat hub IoT mana yang ditetapkan, dan perangkat kemudian menggunakan sertifikat daunnya untuk mengautentikasi dan tersambung ke hub IoT.

Setelah sertifikat daun baru diluncurkan ke perangkat, perangkat tidak dapat lagi tersambung ke hub IoT karena menggunakan sertifikat baru untuk tersambung. Hub IoT hanya mengenali perangkat dengan sertifikat lama. Hasil dari upaya koneksi perangkat akan menjadi kesalahan koneksi "tidak sah". Untuk mengatasi kesalahan ini, Anda harus memperbarui entri pendaftaran perangkat untuk memperhitungkan sertifikat daun baru perangkat. Kemudian layanan provisi dapat memperbarui informasi registri perangkat IoT Hub sesuai kebutuhan saat perangkat diprovisikan ulang.

Satu kemungkinan pengecualian untuk kegagalan koneksi ini adalah skenario di mana Anda telah membuat Grup Pendaftaran untuk perangkat Anda di layanan provisi. Dalam kasus ini, jika Anda tidak menggulung akar atau sertifikat perantara dalam rantai kepercayaan sertifikat perangkat, perangkat akan dikenali jika sertifikat baru merupakan bagian dari rantai kepercayaan yang ditentukan dalam grup pendaftaran. Jika skenario ini muncul sebagai reaksi terhadap pelanggaran keamanan, Anda setidaknya harus melarang sertifikat perangkat tertentu dalam grup yang dianggap dilanggar. Untuk informasi selengkapnya, lihat Melarang perangkat tertentu dalam grup pendaftaran.

Memperbarui entri pendaftaran untuk sertifikat yang digulung dilakukan di halaman Kelola pendaftaran. Untuk mengakses halaman tersebut, ikuti langkah-langkah berikut:

1. Masuk ke portal Azure dan navigasikan ke instans IoT Hub Device Provisioning Service yang memiliki entri pendaftaran untuk perangkat Anda.

2. Klik Kelola pendaftaran.

   

Cara Anda menangani pembaruan entri pendaftaran akan bergantung pada apakah Anda menggunakan pendaftaran individu, atau pendaftaran grup. Prosedur yang direkomendasikan juga berbeda tergantung pada apakah Anda menggulung sertifikat karena pelanggaran keamanan, atau kedaluwarsa sertifikat. Bagian berikut ini menjelaskan cara menangani pembaruan ini.

Pendaftaran individu dan pelanggaran keamanan

Jika Anda menggulung sertifikat sebagai respons atas pelanggaran keamanan, Anda harus menggunakan pendekatan berikut yang segera menghapus sertifikat saat ini:

1. Klik Pendaftaran Individu, dan klik entri ID pendaftaran dalam daftar.

2. Klik tombol Hapus sertifikat saat ini lalu, klik ikon folder untuk memilih sertifikat baru yang akan diunggah untuk entri pendaftaran. Setelah selesai, pilih Simpan.

   Langkah-langkah tersebut harus diselesaikan untuk sertifikat utama dan sekunder, jika keduanya disusupi.

   

3. Setelah sertifikat yang disusupi telah dihapus dari layanan provisi, sertifikat masih dapat digunakan untuk membuat koneksi perangkat ke hub IoT selama pendaftaran perangkat untuknya ada di sana. Anda dapat mengatasinya dengan dua cara:

   Cara pertama adalah menavigasi secara manual ke hub IoT Anda dan segera menghapus pendaftaran perangkat yang terkait dengan sertifikat yang disusupi. Kemudian ketika perangkat memprovisikan lagi dengan sertifikat yang diperbarui, pendaftaran perangkat baru akan dibuat.

   

   Cara kedua adalah dengan menggunakan dukungan provisi ulang untuk memprovisikan ulang perangkat ke hub IoT yang sama. Pendekatan ini dapat digunakan untuk mengganti sertifikat untuk pendaftaran perangkat di hub IoT. Untuk informasi selengkapnya, lihat Cara memprovisikan ulang perangkat.

Pendaftaran individu dan kedaluwarsa sertifikat

Jika Anda menggulung sertifikat untuk menangani kedaluwarsa sertifikat, Anda harus menggunakan konfigurasi sertifikat sekunder sebagai berikut untuk mengurangi waktu henti bagi perangkat yang mencoba memprovisikan.

Kemudian saat sertifikat sekunder juga mendekati kedaluwarsa, dan perlu digulung, Anda dapat memutar untuk menggunakan konfigurasi utama. Memutar antara sertifikat utama dan sekunder dengan cara ini mengurangi waktu henti untuk perangkat yang mencoba memprovisikan.

1. Klik Pendaftaran Individu, dan klik entri ID pendaftaran dalam daftar.

2. Klik Sertifikat Sekunder lalu, klik ikon folder untuk memilih sertifikat baru yang akan diunggah untuk entri pendaftaran. Klik Simpan.

   

3. Nanti saat sertifikat utama telah kedaluwarsa, kembali dan hapus sertifikat utama tersebut dengan mengeklik tombol Hapus sertifikat saat ini.

Grup pendaftaran dan pelanggaran keamanan

Untuk memperbarui pendaftaran grup sebagai respons atas pelanggaran keamanan, Anda harus menggunakan salah satu pendekatan berikut yang akan segera menghapus OS akar saat ini, atau sertifikat perantara.

Memperbarui sertifikat OS akar yang disusupi

1. Klik tab Sertifikat untuk instans Device Provisioning Service Anda.

2. Klik sertifikat yang disusupi dalam daftar, lalu klik tombol Hapus. Konfirmasikan penghapusan dengan memasukkan nama sertifikat dan klik OK. Ulangi proses ini untuk semua sertifikat yang disusupi.

   

3. Ikuti langkah-langkah yang diuraikan dalam Mengonfigurasi sertifikat OS terverifikasi untuk menambahkan dan memverifikasi sertifikat OS akar baru.

4. Klik tab Kelola pendaftaran untuk instans Layanan Device Provisioning Anda, dan klik daftar Grup Pendaftaran. Klik nama grup pendaftaran Anda dalam daftar.

5. Klik Sertifikat OS, dan pilih sertifikat OS akar baru Anda. Lalu klik Simpan.

   

6. Setelah sertifikat yang disusupi telah dihapus dari layanan provisi, sertifikat masih dapat digunakan untuk membuat koneksi perangkat ke hub IoT selama pendaftaran perangkat untuknya ada di sana. Anda dapat mengatasinya dengan dua cara:

   Cara pertama adalah menavigasi secara manual ke hub IoT Anda dan segera menghapus pendaftaran perangkat yang terkait dengan sertifikat yang disusupi. Kemudian saat perangkat Anda memprovisikan lagi dengan sertifikat yang diperbarui, pendaftaran perangkat baru akan dibuat untuk masing-masing sertifikat.

   

   Cara kedua adalah menggunakan dukungan provisi ulang untuk memprovisikan ulang perangkat Anda ke hub IoT yang sama. Pendekatan ini dapat digunakan untuk mengganti sertifikat untuk pendaftaran perangkat di hub IoT. Untuk informasi selengkapnya, lihat Cara memprovisikan ulang perangkat.

Memperbarui sertifikat perantara yang disusupi

1. Klik Grup Pendaftaran, lalu klik nama grup dalam daftar.

2. Klik Sertifikat Perantara, dan Hapus sertifikat saat ini. Klik ikon folder untuk menavigasi ke sertifikat perantara baru yang akan diunggah untuk grup pendaftaran. Klik Simpan setelah selesai. Langkah-langkah tersebut harus diselesaikan untuk sertifikat utama dan sekunder, jika keduanya disusupi.

   Sertifikat perantara baru ini harus ditandatangani oleh sertifikat OS akar terverifikasi yang telah ditambahkan ke layanan provisi. Untuk informasi selengkapnya, lihat sertifikat X.509.

   

3. Setelah sertifikat yang disusupi telah dihapus dari layanan provisi, sertifikat masih dapat digunakan untuk membuat koneksi perangkat ke hub IoT selama pendaftaran perangkat untuknya ada di sana. Anda dapat mengatasinya dengan dua cara:

   Cara pertama adalah menavigasi secara manual ke hub IoT Anda dan segera menghapus pendaftaran perangkat yang terkait dengan sertifikat yang disusupi. Kemudian saat perangkat Anda memprovisikan lagi dengan sertifikat yang diperbarui, pendaftaran perangkat baru akan dibuat untuk masing-masing sertifikat.

   

   Cara kedua adalah menggunakan dukungan provisi ulang untuk memprovisikan ulang perangkat Anda ke hub IoT yang sama. Pendekatan ini dapat digunakan untuk mengganti sertifikat untuk pendaftaran perangkat di hub IoT. Untuk informasi selengkapnya, lihat Cara memprovisikan ulang perangkat.

Grup pendaftaran dan kedaluwarsa sertifikat

Jika Anda menggulung sertifikat untuk menangani kedaluwarsa sertifikat, Anda harus menggunakan konfigurasi sertifikat sekunder sebagai berikut untuk memastikan tidak ada waktu henti untuk perangkat yang mencoba memprovisikan.

Kemudian saat sertifikat sekunder juga mendekati kedaluwarsa, dan perlu digulung, Anda dapat memutar untuk menggunakan konfigurasi utama. Memutar antara sertifikat primer dan sekunder dengan cara ini memastikan tidak ada waktu henti untuk perangkat yang mencoba memprovisikan.

Memperbarui sertifikat OS akar yang kedaluwarsa

1. Ikuti langkah-langkah yang diuraikan dalam Mengonfigurasi sertifikat OS terverifikasi untuk menambahkan dan memverifikasi sertifikat OS akar baru.

2. Klik tab Kelola pendaftaran untuk instans Layanan Device Provisioning Anda, dan klik daftar Grup Pendaftaran. Klik nama grup pendaftaran Anda dalam daftar.

3. Klik Sertifikat OS, dan pilih sertifikat OS akar baru Anda di bawah konfigurasi Sertifikat Sekunder. Lalu klik Simpan.

   

4. Nanti saat sertifikat utama telah kedaluwarsa, klik tab Sertifikat untuk instans Device Provisioning Service Anda. Klik sertifikat yang kedaluwarsa dalam daftar, lalu klik tombol Hapus. Konfirmasikan penghapusan dengan memasukkan nama sertifikat, dan klik OK.

   

Memperbarui sertifikat perantara yang kedaluwarsa

1. Klik Grup Pendaftaran, dan klik nama grup dalam daftar.

2. Klik Sertifikat Sekunder lalu, klik ikon folder untuk memilih sertifikat baru yang akan diunggah untuk entri pendaftaran. Klik Simpan.

   Sertifikat perantara baru ini harus ditandatangani oleh sertifikat OS akar terverifikasi yang telah ditambahkan ke layanan provisi. Untuk informasi selengkapnya, lihat sertifikat X.509.

   

3. Nanti saat sertifikat utama telah kedaluwarsa, kembali dan hapus sertifikat utama tersebut dengan mengeklik tombol Hapus sertifikat saat ini.

Memprovisikan ulang perangkat

Setelah sertifikat didaftarkan pada perangkat dan Device Provisioning Service, perangkat dapat memprovisikan ulang dirinya sendiri dengan menghubungi Device Provisioning Service.

Salah satu cara mudah memprogram perangkat untuk memprovisikan ulang adalah dengan memprogram perangkat untuk menghubungi layanan provisi untuk melalui alur provisi jika perangkat menerima kesalahan "tidak sah" dari upaya untuk tersambung ke hub IoT.

Cara lain adalah agar sertifikat lama dan baru valid untuk tumpang tindih singkat, dan menggunakan hub IoT untuk mengirim perintah ke perangkat agar mendaftar ulang melalui layanan provisi untuk memperbarui informasi koneksi IoT Hub-nya. Karena setiap perangkat dapat memproses perintah secara berbeda, Anda harus memprogram perangkat Anda untuk mengetahui apa yang harus dilakukan ketika perintah dipanggil. Ada beberapa cara Anda dapat memerintahkan perangkat melalui IoT Hub, dan sebaiknya gunakan metode langsung atau pekerjaan untuk memulai proses.

Setelah provisi ulang selesai, perangkat akan dapat tersambung ke IoT Hub menggunakan sertifikat barunya.

Melarang sertifikat

Sebagai respons atas pelanggaran keamanan, Anda mungkin perlu melarang sertifikat perangkat. Untuk melarang sertifikat perangkat, nonaktifkan entri pendaftaran untuk sertifikat/perangkat target. Untuk informasi selengkapnya, lihat melarang perangkat di artikel Mengelola pembatalan pendaftaran.

Setelah sertifikat disertakan sebagai bagian dari entri pendaftaran yang dinonaktifkan, setiap upaya untuk mendaftar dengan hub IoT menggunakan sertifikat tersebut akan gagal meskipun diaktifkan sebagai bagian dari entri pendaftaran lainnya.

Langkah berikutnya

• Untuk mempelajari selengkapnya tentang sertifikat X.509 di Device Provisioning Service, lihat Pengesahan sertifikat X.509
• Untuk mempelajari tentang cara melakukan pembuktian kepemilikan untuk sertifikat OS X.509 dengan Azure IoT Hub Device Provisioning Service, lihat Cara memverifikasi sertifikat
• Untuk mempelajari tentang cara menggunakan portal untuk membuat grup pendaftaran, lihat Mengelola pendaftaran perangkat dengan portal Azure.