Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La gestione dei certificati nell'hub IoT di Azure è progettata per semplificare la gestione dei certificati X.509 per i dispositivi IoT. Questo articolo presenta i concetti fondamentali relativi alla gestione dei certificati e all'autenticazione basata su certificati nell'hub IoT. Per altre informazioni, vedere Che cos'è la gestione dei certificati (anteprima)?.
Importante
L'hub IoT di Azure con l'integrazione di ADR e la gestione dei certificati X.509 supportata da Microsoft è disponibile in anteprima pubblica e non è consigliata per i carichi di lavoro di produzione. Per altre informazioni, vedere domande frequenti: Novità dell'hub IoT.
Infrastruttura a chiave pubblica (PKI)
L'infrastruttura a chiave pubblica è un sistema che usa certificati digitali per autenticare e crittografare i dati tra dispositivi e servizi. I certificati PKI sono essenziali per proteggere vari scenari, ad esempio l'identità Web e del dispositivo. Nelle impostazioni IoT la gestione dei certificati PKI può risultare complessa, costosa e complessa, soprattutto per le organizzazioni con un numero elevato di dispositivi e requisiti di sicurezza rigorosi. È possibile usare la gestione dei certificati per migliorare la sicurezza dei dispositivi e accelerare la trasformazione digitale in un servizio PKI cloud completamente gestito.
Microsoft e PKI di terze parti
Anche se l'hub IoT supporta due tipi di provider PKI per l'autenticazione con certificati X.509, la gestione dei certificati supporta attualmente solo l'infrastruttura a chiave pubblica (first-party) gestita da Microsoft. Per informazioni sull'uso di provider PKI di terze parti, vedere Autenticare i dispositivi con certificati CA X.509.
| Provider PKI | Integrazione richiesta | Registro dispositivi di Azure obbligatorio | Endpoint del servizio Device Provisioning obbligatorio |
|---|---|---|---|
| Infrastruttura a chiave pubblica gestita da Microsoft | No. Configurare le autorità di certificazione direttamente in Registro dispositivi di Azure. | Yes | Yes |
| PKI di terze parti (DigiCert, GlobalSign e così via) | Sì. Integrazione manuale richiesta. | NO | NO |
Certificati X.509
Un certificato X.509 è un documento digitale che associa una chiave pubblica all'identità di un'entità, ad esempio un dispositivo, un utente o un servizio. L'autenticazione basata su certificati offre diversi vantaggi rispetto a metodi meno sicuri:
- I certificati usano la crittografia a chiave pubblica/privata. La chiave pubblica viene condivisa liberamente, mentre la chiave privata rimane nel dispositivo e può risiedere all'interno di TPM (Trusted Platform Modules) o elementi sicuri. Ciò impedisce agli attaccanti di falsificare il dispositivo.
- I certificati vengono rilasciati e convalidati tramite una gerarchia di autorità di certificazione (CA), consentendo alle organizzazioni di considerare attendibili milioni di dispositivi tramite una singola CA senza gestire i segreti per ogni dispositivo.
- I dispositivi eseguono l'autenticazione nel cloud e il cloud esegue l'autenticazione nel dispositivo, abilitando l'autenticazione TLS (Transport Layer Security).
- I certificati hanno definito periodi di validità e possono essere rinnovati o revocati centralmente.
Esistono due categorie generali di certificati X.509:
Certificati CA: Questi certificati vengono rilasciati da un'autorità di certificazione (CA) e vengono usati per firmare altri certificati. I certificati CA includono certificati radice e intermedi.
CA radice: Un certificato radice è un certificato di primo livello autofirmato da una CA attendibile che può essere usata per firmare ca intermedie.
CA intermedia o emittente: Un certificato intermedio è un certificato CA firmato da un certificato radice attendibile. I certificati intermedi possono anche emettere ca, a condizione che vengano usati per firmare i certificati di entità finale.
Annotazioni
Può essere utile usare certificati intermedi diversi per set o gruppi di dispositivi diversi, ad esempio dispositivi di produttori diversi o modelli diversi di dispositivi. Il motivo dell'uso di certificati diversi consiste nel ridurre l'impatto totale sulla sicurezza se un determinato certificato viene compromesso.
Certificati di entità finale: Questi certificati, che possono essere certificati singoli o foglia del dispositivo, sono firmati dai certificati della CA e vengono rilasciati a utenti, server o dispositivi.
Richiesta di firma del certificato
Una richiesta di firma del certificato (CSR) è un messaggio firmato digitalmente che un client, ad esempio un dispositivo IoT, genera per richiedere un certificato firmato da un'autorità di certificazione (CA). La richiesta di firma del certificato include la chiave pubblica del dispositivo e le informazioni di identificazione, ad esempio l'ID di registrazione, e viene firmata con la chiave privata del dispositivo per dimostrare la proprietà della chiave.
Una richiesta csr deve rispettare i requisiti dei criteri dell'infrastruttura a chiave pubblica, inclusi algoritmi chiave approvati, dimensioni delle chiavi e formati di campo oggetto. Quando un dispositivo genera una nuova chiave privata, genera anche una nuova richiesta di firma del certificato. Dopo che la CA verifica e approva la richiesta di firma del certificato, rilascia un certificato X.509 che associa l'identità del dispositivo alla chiave pubblica. Questo processo garantisce che solo i dispositivi possano dimostrare il possesso della chiave privata ricevono certificati attendibili.
Requisiti di richiesta di firma del certificato nel servizio Device Provisioning
Nella gestione dei certificati, i dispositivi inviano CSR durante il processo di provisioning o reprovisioning. Il servizio di provisioning dei dispositivi (DPS) prevede i CSR in formato DER (Distinguished Encoding Rules) con codifica Base64, seguendo la specifica PKCS (Public Key Cryptography Standards) #10. L'invio esclude intestazioni e piè di pagina di posta con migliorata privacy. Il campo nome comune (CN) nel csr deve corrispondere esattamente all'ID di registrazione del dispositivo.
Autenticazione e autorizzazione
L'autenticazione significa dimostrare l'identità dell'hub IoT. Verifica che un utente o un dispositivo sia chi dichiara di essere. Questo processo viene spesso chiamato AuthN.
L'autorizzazione significa confermare ciò che un utente o un dispositivo autenticato può accedere o eseguire nell'hub IoT. Definisce le autorizzazioni per le risorse e i comandi. L'autorizzazione viene talvolta denominata AuthZ.
I certificati X.509 vengono usati solo per l'autenticazione nell'hub IoT, non per l'autorizzazione. A differenza di Microsoft Entra ID e firme di accesso condiviso, non è possibile personalizzare le autorizzazioni con certificati X.509.