Cara menggulung sertifikat perangkat X.509

  • Artikel

Selama siklus hidup solusi IoT Anda, Anda harus menggulung sertifikat. Dua alasan utama untuk menggulung sertifikat adalah pelanggaran keamanan, dan sertifikat kedaluwarsa.

Menggulung sertifikat adalah praktik terbaik keamanan untuk membantu mengamankan sistem Anda jika terjadi pelanggaran. Sebagai bagian dari Assume Breach Methodology, Microsoft menganjurkan perlunya memiliki proses keamanan reaktif bersama dengan langkah-langkah pencegahan. Menggulung sertifikat perangkat Anda harus disertakan sebagai bagian dari proses keamanan ini. Frekuensi Anda menggulung sertifikat akan tergantung pada kebutuhan keamanan solusi Anda. Pelanggan dengan solusi yang melibatkan data yang sangat sensitif dapat menggulung sertifikat setiap hari, sementara yang lain menggulung sertifikat mereka setiap beberapa tahun.

Sertifikat perangkat bergulung akan melibatkan pembaruan sertifikat yang disimpan di perangkat dan hub IoT. Setelah itu, perangkat dapat memprovisikan ulang dirinya sendiri dengan hub IoT menggunakan provisi normal dengan Device Provisioning Service (DPS).

Mendapatkan sertifikat baru

Ada banyak cara untuk mendapatkan sertifikat baru untuk perangkat IoT Anda. Caranya termasuk mendapatkan sertifikat dari pabrik perangkat, membuat sertifikat Anda sendiri, dan meminta pihak ketiga mengelola pembuatan sertifikat untuk Anda.

Sertifikat ditandatangani satu sama lain untuk membentuk rantai kepercayaan dari sertifikat OS akar ke sertifikat daun. Sertifikat penandatanganan adalah sertifikat yang digunakan untuk menandatangani sertifikat daun di akhir rantai kepercayaan. Sertifikat penandatanganan dapat berupa sertifikat OS akar, atau sertifikat perantara dalam rantai kepercayaan. Untuk informasi selengkapnya, lihat sertifikat X.509.

Ada dua cara berbeda untuk mendapatkan sertifikat penandatanganan. Cara pertama, yang direkomendasikan untuk sistem produksi, adalah membeli sertifikat penandatanganan dari otoritas sertifikat (OS) akar. Dengan cara ini rantai keamanan ke sumber terpercaya.

Cara kedua adalah membuat sertifikat X.509 Anda sendiri menggunakan alat seperti OpenSSL. Pendekatan ini sangat bagus untuk menguji sertifikat X.509 tetapi memberikan sedikit jaminan seputar keamanan. Sebaiknya hanya gunakan pendekatan ini untuk pengujian kecuali jika Anda siap untuk bertindak sebagai penyedia OS Anda sendiri.

Menggulung sertifikat pada perangkat

Sertifikat pada perangkat harus selalu disimpan di tempat yang aman seperti modul keamanan perangkat keras (HSM). Cara Anda menggulung sertifikat perangkat akan bergantung pada cara sertifikat tersebut dibuat dan diinstal di perangkat.

Jika Anda mendapatkan sertifikat dari pihak ketiga, Anda harus melihat bagaimana sertifikat tersebut menggulung sertifikatnya. Prosesnya mungkin termasuk dalam pengaturan Anda dengan sertifikat, atau mungkin layanan terpisah yang ditawarkan.

Jika Anda mengelola sertifikat perangkat Anda sendiri, Anda harus membuat alur Anda sendiri untuk memperbarui sertifikat. Pastikan sertifikat daun lama dan baru memiliki nama umum (CN) yang sama. Dengan memiliki CN yang sama, perangkat dapat memprovisikan ulang dirinya sendiri tanpa membuat rekaman pendaftaran duplikat.

Mekanisme menginstal sertifikat baru pada perangkat akan sering melibatkan salah satu pendekatan berikut:

  • Anda dapat memicu perangkat yang terpengaruh untuk mengirim permintaan penandatanganan sertifikat (CSR) baru ke Otoritas Sertifikat (CA) PKI Anda. Dalam hal ini, setiap perangkat kemungkinan akan dapat mengunduh sertifikat perangkat barunya langsung dari CA.

  • Anda dapat mempertahankan CSR dari setiap perangkat dan menggunakannya untuk mendapatkan sertifikat perangkat baru dari CA PKI. Dalam hal ini, Anda harus mendorong sertifikat baru ke setiap perangkat dalam pembaruan firmware menggunakan layanan pembaruan OTA yang aman seperti Device Update for IoT Hub.

Menggulung sertifikat di DPS

Sertifikat perangkat dapat ditambahkan secara manual ke hub IoT. Sertifikat juga dapat diotomatisasi menggunakan instans Device Provisioning Service. Dalam artikel ini, diasumsikan bahwa instans Device Provisioning Service sedang digunakan untuk mendukung provisi otomatis.

Saat perangkat awalnya diprovisikan melalui provisi otomatis, perangkat akan melakukan booting, dan menghubungi layanan provisi. Layanan provisi merespons dengan melakukan pemeriksaan identitas sebelum membuat identitas perangkat di hub IoT menggunakan sertifikat daun perangkat sebagai info masuk. Layanan provisi kemudian memberi tahu perangkat hub IoT mana yang ditetapkan, dan perangkat kemudian menggunakan sertifikat daunnya untuk mengautentikasi dan tersambung ke hub IoT.

Setelah sertifikat daun baru diluncurkan ke perangkat, perangkat tidak dapat lagi tersambung ke hub IoT karena menggunakan sertifikat baru untuk tersambung. Hub IoT hanya mengenali perangkat dengan sertifikat lama. Hasil dari upaya koneksi perangkat akan menjadi kesalahan koneksi "tidak sah". Untuk mengatasi kesalahan ini, Anda harus memperbarui entri pendaftaran perangkat untuk memperhitungkan sertifikat daun baru perangkat. Kemudian layanan provisi dapat memperbarui informasi registri perangkat IoT Hub sesuai kebutuhan saat perangkat diprovisikan ulang.

Satu kemungkinan pengecualian untuk kegagalan koneksi ini adalah skenario di mana Anda telah membuat Grup Pendaftaran untuk perangkat Anda di layanan provisi. Dalam kasus ini, jika Anda tidak menggulung akar atau sertifikat perantara dalam rantai kepercayaan sertifikat perangkat, perangkat akan dikenali jika sertifikat baru merupakan bagian dari rantai kepercayaan yang ditentukan dalam grup pendaftaran. Jika skenario ini muncul sebagai reaksi terhadap pelanggaran keamanan, Anda setidaknya harus melarang sertifikat perangkat tertentu dalam grup yang dianggap dilanggar. Untuk informasi selengkapnya, lihat Melarang perangkat tertentu dalam grup pendaftaran

Cara Anda menangani pembaruan entri pendaftaran akan bergantung pada apakah Anda menggunakan pendaftaran individu, atau pendaftaran grup. Prosedur yang direkomendasikan juga berbeda tergantung pada apakah Anda menggulung sertifikat karena pelanggaran keamanan, atau kedaluwarsa sertifikat. Bagian berikut ini menjelaskan cara menangani pembaruan ini.

Menggulung sertifikat untuk pendaftaran individu

Jika Anda menggulirkan sertifikat sebagai respons terhadap pelanggaran keamanan, Anda harus segera menghapus sertifikat yang disusupi.

Jika Anda menggulirkan sertifikat untuk menangani kedaluwarsa sertifikat, Anda harus menggunakan konfigurasi sertifikat sekunder untuk mengurangi waktu henti bagi perangkat yang mencoba menyediakan. Kemudian, ketika sertifikat sekunder mendekati kedaluwarsa dan perlu digulung, Anda dapat memutar untuk menggunakan konfigurasi utama. Memutar antara sertifikat primer dan sekunder dengan cara ini mengurangi waktu henti untuk perangkat yang mencoba menyediakan.

Memperbarui entri pendaftaran untuk sertifikat yang digulung dilakukan di halaman Kelola pendaftaran. Untuk mengakses halaman tersebut, ikuti langkah-langkah berikut:

  1. Masuk ke portal Azure dan navigasi ke instans Device Provisioning Service yang memiliki entri pendaftaran untuk perangkat Anda.

  2. Pilih Kelola pendaftaran.

    Cuplikan layar yang memperlihatkan halaman Kelola pendaftaran di portal Azure.

  3. Pilih tab Pendaftaran individu, dan pilih entri ID pendaftaran dari daftar.

  4. Centang kotak centang Hapus atau ganti sertifikat primer/sekunder jika Anda ingin menghapus sertifikat yang sudah ada. Pilih ikon folder file untuk menelusuri dan mengunggah sertifikat baru.

    Jika salah satu sertifikat Anda disusupi, Anda harus menghapusnya sesegera mungkin.

    Jika salah satu sertifikat Anda mendekati kedaluwarsanya, Anda dapat menyimpannya selama sertifikat kedua masih akan aktif setelah tanggal tersebut.

    Cuplikan layar yang memperlihatkan cara menghapus sertifikat dan mengunggah sertifikat baru.

  5. Setelah selesai, pilih Simpan.

  6. Jika Anda menghapus sertifikat yang disusupi dari layanan provisi, sertifikat masih dapat digunakan untuk membuat koneksi perangkat ke hub IoT selama pendaftaran perangkat untuk itu ada di sana. Anda dapat mengatasinya dengan dua cara:

    Cara pertama adalah menavigasi secara manual ke hub IoT Anda dan segera menghapus pendaftaran perangkat yang terkait dengan sertifikat yang disusupi. Kemudian ketika perangkat memprovisikan lagi dengan sertifikat yang diperbarui, pendaftaran perangkat baru akan dibuat.

    Cara kedua adalah dengan menggunakan dukungan provisi ulang untuk memprovisikan ulang perangkat ke hub IoT yang sama. Pendekatan ini dapat digunakan untuk mengganti sertifikat untuk pendaftaran perangkat di hub IoT. Untuk informasi selengkapnya, lihat Cara memprovisikan ulang perangkat.

Menggulung sertifikat untuk grup pendaftaran

Untuk memperbarui pendaftaran grup sebagai respons terhadap pelanggaran keamanan, Anda harus segera menghapus CA akar atau sertifikat perantara yang disusupi.

Jika Anda menggulung sertifikat untuk menangani kedaluwarsa sertifikat, Anda harus menggunakan konfigurasi sertifikat sekunder untuk memastikan tidak ada waktu henti bagi perangkat yang mencoba menyediakan. Kemudian, ketika sertifikat sekunder juga mendekati kedaluwarsa dan perlu digulung, Anda dapat memutar untuk menggunakan konfigurasi utama. Memutar antara sertifikat primer dan sekunder dengan cara ini memastikan tidak ada waktu henti untuk perangkat yang mencoba memprovisikan.

Memperbarui sertifikat OS akar

  1. Pilih Sertifikat dari bagian Pengaturan menu navigasi untuk instans Device Provisioning Service Anda.

    Cuplikan layar yang memperlihatkan halaman sertifikat.

  2. Pilih sertifikat yang disusupi atau kedaluwarsa dari daftar, lalu pilih Hapus. Konfirmasi penghapusan dengan memasukkan nama sertifikat dan pilih OK.

  3. Ikuti langkah-langkah yang diuraikan dalam Mengonfigurasi sertifikat OS terverifikasi untuk menambahkan dan memverifikasi sertifikat OS akar baru.

  4. Pilih Kelola pendaftaran dari bagian Pengaturan menu navigasi untuk instans Device Provisioning Service Anda, dan pilih tab Grup pendaftaran.

  5. Pilih nama grup pendaftaran Anda dari daftar.

  6. Di bagian Pengaturan sertifikat X.509, dan pilih sertifikat OS akar baru Anda untuk mengganti sertifikat yang disusupi atau kedaluwarsa, atau untuk ditambahkan sebagai sertifikat sekunder.

    Cuplikan layar yang memperlihatkan memilih sertifikat baru yang diunggah untuk grup pendaftaran.

  7. Pilih Simpan.

  8. Jika Anda menghapus sertifikat yang disusupi dari layanan provisi, sertifikat masih dapat digunakan untuk membuat koneksi perangkat ke hub IoT selama pendaftaran perangkat untuk itu ada di sana. Anda dapat mengatasinya dengan dua cara:

    Cara pertama adalah menavigasi secara manual ke hub IoT Anda dan segera menghapus pendaftaran perangkat yang terkait dengan sertifikat yang disusupi. Kemudian saat perangkat Anda memprovisikan lagi dengan sertifikat yang diperbarui, pendaftaran perangkat baru akan dibuat untuk masing-masing sertifikat.

    Cara kedua adalah menggunakan dukungan provisi ulang untuk memprovisikan ulang perangkat Anda ke hub IoT yang sama. Pendekatan ini dapat digunakan untuk mengganti sertifikat untuk pendaftaran perangkat di hub IoT. Untuk informasi selengkapnya, lihat Cara memprovisikan ulang perangkat.

Memperbarui sertifikat perantara

  1. Pilih Kelola pendaftaran dari bagian Pengaturan menu navigasi untuk instans Device Provisioning Service Anda, dan pilih tab Grup pendaftaran.

  2. Pilih nama grup dari daftar.

  3. Centang kotak centang Hapus atau ganti sertifikat primer/sekunder jika Anda ingin menghapus sertifikat yang sudah ada. Pilih ikon folder file untuk menelusuri dan mengunggah sertifikat baru.

    Jika salah satu sertifikat Anda disusupi, Anda harus menghapusnya sesegera mungkin.

    Jika salah satu sertifikat Anda mendekati kedaluwarsanya, Anda dapat menyimpannya selama sertifikat kedua masih akan aktif setelah tanggal tersebut.

    Setiap sertifikat perantara harus ditandatangani oleh sertifikat OS akar terverifikasi yang telah ditambahkan ke layanan provisi. Untuk informasi selengkapnya, lihat sertifikat X.509.

    Cuplikan layar yang memperlihatkan penggantian sertifikat perantara untuk grup pendaftaran.

  4. Jika Anda menghapus sertifikat yang disusupi dari layanan provisi, sertifikat masih dapat digunakan untuk membuat koneksi perangkat ke hub IoT selama pendaftaran perangkat untuk itu ada di sana. Anda dapat mengatasinya dengan dua cara:

    Cara pertama adalah menavigasi secara manual ke hub IoT Anda dan segera menghapus pendaftaran perangkat yang terkait dengan sertifikat yang disusupi. Kemudian saat perangkat Anda memprovisikan lagi dengan sertifikat yang diperbarui, pendaftaran perangkat baru akan dibuat untuk masing-masing sertifikat.

    Cara kedua adalah menggunakan dukungan provisi ulang untuk memprovisikan ulang perangkat Anda ke hub IoT yang sama. Pendekatan ini dapat digunakan untuk mengganti sertifikat untuk pendaftaran perangkat di hub IoT. Untuk informasi selengkapnya, lihat Cara memprovisikan ulang perangkat.

Memprovisikan ulang perangkat

Setelah sertifikat didaftarkan pada perangkat dan Device Provisioning Service, perangkat dapat memprovisikan ulang dirinya sendiri dengan menghubungi Device Provisioning Service.

Salah satu cara mudah memprogram perangkat untuk memprovisikan ulang adalah dengan memprogram perangkat untuk menghubungi layanan provisi untuk melalui alur provisi jika perangkat menerima kesalahan "tidak sah" dari upaya untuk tersambung ke hub IoT.

Cara lain adalah agar sertifikat lama dan baru valid untuk tumpang tindih singkat, dan menggunakan hub IoT untuk mengirim perintah ke perangkat agar mendaftar ulang melalui layanan provisi untuk memperbarui informasi koneksi IoT Hub-nya. Karena setiap perangkat dapat memproses perintah secara berbeda, Anda harus memprogram perangkat Anda untuk mengetahui apa yang harus dilakukan saat perintah dipanggil. Ada beberapa cara Anda dapat memerintahkan perangkat melalui IoT Hub, dan sebaiknya gunakan metode langsung atau pekerjaan untuk memulai proses.

Setelah provisi ulang selesai, perangkat dapat terhubung ke IoT Hub menggunakan sertifikat baru mereka.

Melarang sertifikat

Sebagai respons atas pelanggaran keamanan, Anda mungkin perlu melarang sertifikat perangkat. Untuk melarang sertifikat perangkat, nonaktifkan entri pendaftaran untuk sertifikat/perangkat target. Untuk informasi selengkapnya, lihat melarang perangkat di artikel Mengelola pembatalan pendaftaran.

Setelah sertifikat disertakan sebagai bagian dari entri pendaftaran yang dinonaktifkan, setiap upaya untuk mendaftar dengan hub IoT menggunakan sertifikat tersebut akan gagal meskipun diaktifkan sebagai bagian dari entri pendaftaran lainnya.

Langkah berikutnya