Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La gestione dei certificati è una funzionalità facoltativa di Registro dispositivi di Azure che consente di rilasciare e gestire i certificati X.509 per i dispositivi IoT. Configura un'infrastruttura a chiave pubblica (PKI) dedicata basata sul cloud per ogni spazio dei nomi DIR, senza richiedere server, connettori o hardware locali. Gestisce il certificato di rilascio e rinnovo per tutti i dispositivi IoT di cui è stato effettuato il provisioning nello spazio dei nomi ADR. Questi certificati X.509 possono essere usati per i dispositivi IoT per l'autenticazione con l'hub IoT.
L'uso della gestione dei certificati richiede anche l'uso dell'hub IoT, del Registro dei dispositivi di Azure (ADR) e del servizio Device Provisioning (DPS). La gestione dei certificati è attualmente disponibile in anteprima pubblica.
Importante
L'hub IoT di Azure con l'integrazione di ADR e la gestione dei certificati X.509 supportata da Microsoft è disponibile in anteprima pubblica e non è consigliata per i carichi di lavoro di produzione. Per altre informazioni, vedere domande frequenti: Novità dell'hub IoT.
Panoramica delle funzionalità
Le funzionalità seguenti sono supportate con la gestione dei certificati per i dispositivi dell'hub IoT in anteprima:
| Caratteristica / Funzionalità | Description |
|---|---|
| Creare più autorità di certificazione (CA) all'interno di un namespace ADR | Creare una gerarchia PKI a due livelli con ca radice ed emittente nel cloud. |
| Creare una root CA univoca per ogni spazio dei nomi ADR | Creare un massimo di una CA radice, nota anche come credenziale, nello spazio dei nomi ADR |
| Creare fino a una CA emittente per ogni politica | Creare un'autorità di certificazione emittente, conosciuta anche come policy, nello spazio dei nomi ADR e personalizzare i periodi di validità per i certificati rilasciati. |
| Algoritmi di firma e crittografia | La gestione dei certificati supporta ECC (ECDSA) e la curva NIST P-384 |
| Algoritmi hash | La gestione dei certificati supporta SHA-384 |
| Chiavi HSM (firma e crittografia) | Il provisioning delle chiavi viene eseguito tramite Il modulo di sicurezza hardware gestito di Azure (HSM gestito di Azure). Le CA create nello spazio dei nomi ADR usano automaticamente moduli HSM per la firma e la crittografia. Non è necessaria alcuna sottoscrizione di Azure per Il modulo di protezione hardware di Azure. |
| Rilascio e rinnovo del certificato di entità finale | I certificati di entità finale, noti anche come certificati foglia o certificati del dispositivo, vengono firmati dalla CA emittente e recapitati al dispositivo. I certificati terminali possono anche essere rinnovati dalla CA emittente. |
| Provisioning su larga scala dei certificati fogliare | I criteri definiti nello spazio dei nomi ADR sono collegati direttamente a una registrazione del servizio Device Provisioning da usare al momento del provisioning dei certificati. |
| Sincronizzazione dei certificati della CA con hub IoT | I criteri definiti nel namespace ADR verranno sincronizzati con l'hub IoT appropriato. Ciò consentirà all'hub IoT di considerare attendibili tutti i dispositivi che eseguono l'autenticazione con un certificato di entità finale. |
Onboarding e credenziali operative
Attualmente, la gestione dei certificati supporta il rilascio e il rinnovo per i certificati operativi dell'entità finale.
Credenziali di onboarding: Per usare la gestione dei certificati, è necessario effettuare il provisioning dei dispositivi tramite il servizio Device Provisioning (DPS). Affinché un dispositivo possa eseguire il provisioning con dps, deve eseguire l'onboarding e l'autenticazione usando uno dei tipi supportati di credenziali di onboarding, che include certificati X.509 (acquistati da una CA di terze parti), chiavi simmetriche e moduli TPM (Trusted Platform Modules). Queste credenziali vengono installate convenzionalmente nel dispositivo prima di essere spedite.
Certificato operativo: Un certificato operativo dell'entità finale è un tipo di credenziale operativa. Questo certificato viene rilasciato al dispositivo da una CA emittente una volta che il dispositivo è stato gestito da DPS. A differenza delle credenziali di onboarding, questi certificati sono in genere di breve durata e rinnovati frequentemente o in base alle esigenze durante l'operazione del dispositivo. Il dispositivo può usare la catena di certificati operativi per l'autenticazione diretta con l'hub IoT ed eseguire operazioni tipiche. Attualmente, la gestione dei certificati fornisce solo il certificato operativo.
Funzionamento della gestione dei certificati
La gestione dei certificati è costituita da diversi componenti integrati che interagiscono per semplificare la distribuzione dell'infrastruttura a chiave pubblica (PKI) nei dispositivi IoT. Per usare la gestione dei certificati, è necessario configurare:
- Hub IoT (anteprima)
- Namespace del Registro dispositivi di Azure
- Istanza del Servizio Device Provisioning (DPS)
Integrazione dell'hub IoT (anteprima)
Gli hub IoT collegati a uno spazio dei nomi ADR possono sfruttare le funzionalità di gestione dei certificati. È possibile sincronizzare i certificati DELLA CA dallo spazio dei nomi DIR a tutti gli hub IoT, in modo che ogni hub IoT possa autenticare qualsiasi dispositivo IoT che tenta di connettersi con la catena di certificati rilasciata.
Integrazione di Registro dispositivi di Azure
La gestione dei certificati usa Registro dispositivi di Azure (ADR) per gestire i certificati della CA. Si integra con l'hub IoT e il servizio Device Provisioning (DPS) per offrire un'esperienza semplice per la gestione delle identità dei dispositivi e dei certificati della CA.
L'immagine seguente illustra la gerarchia di certificati X.509 usata per autenticare i dispositivi IoT nell'hub IoT di Azure tramite lo spazio dei nomi ADR.
- Ogni spazio dei nomi ADR con una gestione dei certificati abilitata avrà una credenziale univoca (CA radice) gestita da Microsoft. Questa credenziale rappresenta l'autorità di certificazione più importante nella catena.
- Ogni criterio all'interno dello spazio dei nomi ADR definisce una CA emittente (ICA) che è firmata dalla CA radice. Ogni criterio può condividere solo il certificato della CA con gli Hub collegati allo spazio dei nomi. Inoltre, ogni politica può rilasciare solo certificati foglia ai dispositivi registrati all'interno di tale spazio dei nomi. È possibile configurare il periodo di validità dei certificati rilasciati per ogni criterio. Il periodo di validità minimo è 1 giorno e il periodo di validità massimo è 90 giorni.
- Dopo aver creato le credenziali e i criteri, è possibile sincronizzare questi certificati della CA direttamente con l'hub IoT. L'hub IoT sarà ora in grado di autenticare i dispositivi che presentano questa catena di certificati.
Integrazione del servizio di provisioning dei dispositivi
Per consentire ai dispositivi di ricevere certificati foglia, è necessario che vengano forniti tramite il Device Provisioning Service (DPS). È necessario configurare una registrazione singola o di gruppo, che include la definizione di:
- Tipo specifico di credenziali di onboarding per la registrazione. I metodi supportati sono Trusted Platform Module (TPM), chiavi simmetriche o certificati X.509.
- La politica specifica creata all'interno dello spazio dei nomi ADR. Questo criterio firma e rilascia certificati di tipo leaf ai dispositivi forniti tramite questa registrazione.
Ora, il servizio di provisioning dei dispositivi accetta la richiesta di firma del certificato (CSR) durante il provisioning. Il CSR viene inviato al servizio Device Provisioning e all'infrastruttura a chiave pubblica (PKI), che convalida la richiesta e la inoltra all'autorità di certificazione emittente appropriata (ICA) per rilasciare il certificato X.509 firmato.
La gestione dei certificati supporta attualmente i protocolli seguenti durante il provisioning: HTTP e MQTT. Per altre informazioni sulla richiesta di firma del certificato DPS, vedere alcuni degli esempi di SDK per dispositivi DPS.
Annotazioni
Anche se un'infrastruttura a chiave pubblica è configurata per ognuno degli spazi dei nomi DIR, non viene esposta come risorsa esterna di Azure.
Provisioning di dispositivi end-to-end con gestione dei certificati (esperienza di runtime)
Il diagramma seguente illustra il processo end-to-end del provisioning dei dispositivi con la gestione dei certificati:
- Il dispositivo IoT si connette all'endpoint dps ed esegue l'autenticazione con il servizio usando le credenziali di onboarding preconfigurato. Come parte di questa chiamata di registrazione, il dispositivo invia una richiesta di firma del certificato (CSR). Il csr contiene informazioni sul dispositivo, ad esempio la chiave pubblica e altri dettagli di identificazione.
- DPS assegna il dispositivo IoT a un hub IoT in base agli hub collegati nel suo DPS enrollment.
- L'identità del dispositivo viene creata nell'hub IoT e registrata nello spazio dei nomi ADR appropriato.
- DPS utilizza il CSR per richiedere un certificato operativo dal PKI. L'infrastruttura a chiave pubblica convalida la richiesta di firma del certificato e la inoltra alla policy (CA emittente) collegata alla registrazione DPS.
- La politica firma e rilascia il certificato operativo.
- DPS invia di nuovo al dispositivo i dettagli di connessione del certificato operativo e dell'hub IoT.
- Il dispositivo può ora eseguire l'autenticazione con l'hub IoT inviando la catena di certificati emittente completa all'hub IoT.
Rinnovo dei certificati foglia
I certificati foglia di entità finale possono essere rinnovati utilizzando lo stesso meccanismo usato per il rilascio iniziale dei certificati. Quando il dispositivo rileva la necessità di rinnovare il certificato operativo, deve avviare un'altra chiamata di registrazione al servizio Device Provisioning, inviando una nuova richiesta di firma del certificato. Ancora una volta, il CSR viene inviato all'autorità di certificazione emittente appropriata (ICA) per richiedere un certificato finale rinnovato. Dopo l'approvazione, il certificato operativo rinnovato viene restituito al dispositivo da usare per le comunicazioni sicure.
Ogni dispositivo è responsabile del monitoraggio della data di scadenza del certificato operativo e dell'avvio di un rinnovo del certificato quando necessario. Come procedura consigliata, è consigliabile rinnovare un certificato prima della data di scadenza per garantire comunicazioni ininterrotte. Il certificato operativo include le date Valid from e Valid until , che il dispositivo può monitorare per determinare quando è necessario un rinnovo. Durante questa anteprima, è consigliabile che i dispositivi usino le proprietà segnalate di Device Twin per segnalare le date di rilascio e scadenza del certificato. Queste proprietà possono quindi essere usate per l'osservabilità, ad esempio la creazione di dashboard.
Disabilitare un dispositivo
La gestione dei certificati non supporta la revoca dei certificati durante l'anteprima pubblica. Per rimuovere la connessione di un dispositivo che usa un certificato operativo X.509, è possibile disabilitare il dispositivo nell'hub IoT. Per disabilitare un dispositivo, vedere Disabilitare o eliminare un dispositivo.
Limiti e quote
Per informazioni sui limiti e sulle quote più recenti per la gestione dei certificati con l'hub IoT, vedere Sottoscrizione di Azure e limiti dei servizi .