Cara memverifikasi sertifikat CA X.509 dengan Device Provisioning Service Anda

Sertifikat otoritas sertifikat (CA) X.509 terverifikasi adalah sertifikat CA yang telah diunggah dan didaftarkan ke layanan provisi Anda dan kemudian diverifikasi, baik secara otomatis atau melalui bukti kepemilikan dengan layanan.

Sertifikat terverifikasi memainkan peran penting saat menggunakan grup pendaftaran. Memverifikasi kepemilikan sertifikat menyediakan lapisan keamanan tambahan dengan memastikan bahwa pengunggah sertifikat memiliki kunci privat sertifikat. Verifikasi mencegah aktor jahat mengendus lalu lintas Anda dari mengekstraksi sertifikat menengah dan menggunakan sertifikat itu untuk membuat grup pendaftaran dalam layanan penyediaan mereka sendiri, secara efektif membajak perangkat Anda. Dengan membuktikan kepemilikan akar atau sertifikat perantara dalam rantai sertifikat, Anda membuktikan bahwa Anda memiliki izin untuk menghasilkan sertifikat daun untuk perangkat yang akan mendaftar sebagai bagian dari kelompok pendaftaran tersebut. Untuk alasan ini, sertifikat akar atau menengah yang dikonfigurasi dalam grup pendaftaran harus berupa sertifikat terverifikasi atau harus digulung ke sertifikat terverifikasi dalam rantai sertifikat yang disajikan perangkat ketika mengautentikasi dengan layanan. Untuk mempelajari lebih lanjut tentang pengesahan sertifikat X.509, lihat sertifikat X.509dan akses perangkat Kontrol ke layanan penyediaan dengan sertifikat X.509.

Prasyarat

Sebelum Anda memulai langkah-langkah dalam artikel ini, siapkan prasyarat berikut:

• Instans DPS yang dibuat di langganan Azure Anda.
• File sertifikat .cer atau .pem.

Verifikasi otomatis CA menengah atau root melalui pengesahan sendiri

Jika Anda menggunakan CA perantara atau akar yang Anda percayai dan tahu bahwa Anda memiliki kepemilikan penuh atas sertifikat, Anda dapat membuktikan sendiri bahwa Anda telah memverifikasi sertifikat.

Untuk menambahkan sertifikat yang terverifikasi otomatis, ikuti langkah berikut:

1. Di portal Azure, navigasikan ke layanan provisi Anda dan pilih Sertifikat dari menu sebelah kiri.

2. Pilih Tambahkan untuk menambahkan sertifikat baru.

3. Masukkan nama tampilan yang ramah untuk sertifikat Anda.

4. Telusuri ke file .cer atau .pem yang mewakili bagian publik dari sertifikat X.509 Anda. Klik Unggah.

5. Centang kotak di samping Atur status sertifikat menjadi terverifikasi saat pengunggahan.

   

6. Pilih Simpan.

7. Sertifikat Anda ditampilkan dalam tab sertifikat dengan status Diverifikasi.

   

Verifikasi manual CA menengah atau root

Verifikasi otomatis disarankan saat Anda mengunggah sertifikat OS menengah atau akar baru ke DPS. Namun, Anda masih dapat melakukan bukti kepemilikan jika masuk akal untuk skenario IoT Anda.

Bukti kepemilikan melibatkan langkah-langkah berikut:

1. Dapatkan kode verifikasi unik yang dihasilkan oleh layanan penyediaan untuk sertifikat X.509 CA Anda. Anda dapat melakukan ini dari portal Microsoft Azure.
2. Buat sertifikat verifikasi X.509 dengan kode verifikasi sebagai subjeknya dan tanda tangani sertifikat dengan kunci privat yang terkait dengan sertifikat CA X.509 Anda.
3. Unggah sertifikat verifikasi yang ditandatangani ke layanan. Layanan ini memvalidasi sertifikat verifikasi menggunakan bagian publik sertifikat CA untuk diverifikasi, sehingga membuktikan bahwa Anda memiliki kunci privat sertifikat CA.

Daftarkan bagian publik dari sertifikat X.509 dan dapatkan kode verifikasi

Untuk mendaftarkan sertifikat CA dengan layanan penyediaan Anda dan mendapatkan kode verifikasi yang dapat Anda gunakan selama bukti kepemilikan, ikuti langkah-langkah ini.

1. Di portal Microsoft Azure, navigasi ke layanan penyediaan Anda dan buka Sertifikat dari menu sebelah kiri.

2. Pilih Tambahkan untuk menambahkan sertifikat baru.

3. Masukkan nama tampilan yang mudah diingat untuk sertifikat Anda di bidang Nama sertifikat.

4. Pilih ikon folder, lalu telusuri ke file .cer atau .pem yang mewakili bagian publik sertifikat X.509 Anda. Pilih Buka.

5. Setelah Anda mendapatkan pemberitahuan bahwa sertifikat Anda berhasil diunggah, pilih Simpan.

   

   Sertifikat Anda akan ditampilkan di daftar Penjelajah Sertifikat. Perhatikan bahwa status sertifikat ini Tidak Diverifikasi.

6. Pilih pada sertifikat yang Anda tambahkan di langkah sebelumnya untuk membuka detailnya.

7. Dalam detail sertifikat, perhatikan bahwa ada bidang kode Verifikasi kosong. Pilih tombol Buat kode verifikasi.

   

8. Layanan provisi membuat kode Verifikasi yang dapat Anda gunakan untuk memvalidasi kepemilikan sertifikat. Salin kode ke clipboard Anda.

Menandatangani kode verifikasi secara digital untuk membuat sertifikat verifikasi

Sekarang, Anda perlu menandatangani kode verifikasi dari DPS dengan kunci privat yang terkait dengan sertifikat CA X.509 Anda, yang menghasilkan tanda tangan. Langkah ini dikenal sebagai Bukti kepemilikan dan menghasilkan sertifikat verifikasi yang ditandatangani.

Microsoft menyediakan alat dan sampel yang bisa membantu Anda membuat sertifikat verifikasi bertanda tangan:

• Azure IoT Hub C SDK menyediakan skrip PowerShell (Windows) dan Bash (Linux) untuk membantu Anda membuat sertifikat CA dan daun untuk pengembangan dan melakukan bukti kepemilikan menggunakan kode verifikasi. Anda dapat mengunduh file yang relevan dengan sistem Anda ke folder kerja dan mengikuti petunjuk dalam readme Mengelola Sertifikat CA untuk melakukan bukti kepemilikan pada sertifikat CA.
• Azure IoT Hub C# SDK berisi sampel verifikasi sertifikat Grup, yang dapat Anda gunakan untuk melakukan bukti kepemilikan.

Skrip PowerShell dan Bash yang disediakan dalam dokumentasi dan SDK mengandalkan OpenSSL. Anda juga dapat menggunakan OpenSSL atau alat pihak ketiga lainnya untuk membantu Anda melakukan bukti kepemilikan. Misalnya menggunakan perkakas yang disediakan dengan SDK, lihat Membuat rantai sertifikat X.509.

Unggah sertifikat verifikasi yang ditandatangani ke layanan

Unggah tanda tangan yang dihasilkan sebagai sertifikat verifikasi ke layanan provisi Anda di portal Azure.

1. Dalam detail sertifikat pada portal Azure, tempat Anda menyalin kode verifikasi, pilih ikon folder di samping bidang Sertifikat verifikasi .pem atau file .cer. Telusuri ke sertifikat verifikasi yang ditandatangani dari sistem Anda dan pilih Buka.

2. Setelah sertifikat berhasil diunggah, pilih Verifikasi. Status sertifikat Anda berubah menjadi Diverifikasi di daftar Sertifikat. Pilih Refresh jika tidak diperbarui secara otomatis.

Langkah berikutnya

• Untuk mempelajari tentang cara menggunakan portal untuk membuat grup pendaftaran, lihat Mengelola pendaftaran perangkat dengan portal Azure.
• Untuk mempelajari tentang cara menggunakan SDK layanan untuk membuat grup pendaftaran, lihat Mengelola pendaftaran perangkat dengan SDK layanan.