클라우드 서비스에 대한 테넌트 CA 인증서 구성
Important
Azure Sphere(레거시) 설명서입니다. Azure Sphere(레거시)는 2027년 9월 27일에 사용 중지되며 사용자는 이 시간까지 Azure Sphere(통합)로 마이그레이션해야 합니다. TOC 위에 있는 버전 선택기를 사용하여 Azure Sphere(통합) 설명서를 볼 수 있습니다.
테넌트를 만들 때 Azure Sphere Security Service에서 테넌트 CA 인증서를 발급합니다. 각 테넌트 CA 인증서의 수명은 2년이며 시작 날짜와 종료 날짜는 인증서에 캡처됩니다.
디바이스가 Azure IoT Hub, Azure IoT Central 또는 백 엔드 서비스에 연결하는 경우 서비스는 디바이스가 Azure Sphere 테넌트에 속하고 테넌트 자체가 합법적인지 확인할 수 있어야 합니다. 이 인증을 수행하려면 디바이스가 매일 증명 및 인증의 일부로 수신하는 인증서에 서명하는 데 사용되는 유효한 Azure Sphere 테넌트 CA 인증서 체인이 필요합니다. 자세한 내용은 Azure Sphere에서 인증서 사용을 참조 하세요.
테넌트의 현재 CA 인증서가 만료에 가까워지면 인증서가 만료되기 약 90일 전에 새 테넌트 CA 인증서가 자동으로 발급됩니다.
두 테넌트 CA 인증서를 모두 신뢰하도록 Azure IoT 관리 서비스 또는 백 엔드 서비스를 구성해야 합니다. 두 인증서를 모두 신뢰할 수 있는 경우 서비스는 유효해지는 즉시 새 인증서를 사용할 수 있으므로 Azure Sphere 보안 서비스가 새 테넌트 CA 인증서를 사용하도록 전환할 때 통신이 중단되지 않도록 방지합니다.
클라우드 서비스에 테넌트 CA 인증서 제공
테넌트 CA 인증서를 신뢰하도록 클라우드 서비스를 구성하는 프로세스에는 다음이 포함됩니다.
1단계: 테넌트 CA 인증서 나열 및 식별
azsphere ca-certificate 목록을 실행하여 현재 테넌트에 사용 가능한 인증서 목록을 가져옵니다.
현재 인증서를 갱신할 예정이면 Azure Sphere Security Service는 현재(활성) 인증서와 함께 표시되는 다음 인증서를 자동으로 생성합니다.
인증서 목록에서 현재 테넌트 CA 인증서의 상태가 활성으로 표시되고 다른 인증서의 상태가 비활성으로 표시됩니다.
다음 표에서는 인증서의 상태에 대한 세부 정보를 제공합니다.
| Status | 설명 |
|---|---|
| Active | 현재 테넌트 CA 인증서입니다. |
| 비활성 | 상태는 다음 중 어느 것을 의미할 수 있습니다. 새 테넌트 CA 인증서: 현재 테넌트 CA 인증서가 만료에 가까워지면 새 테넌트 CA 인증서가 발급됩니다. 새 인증서의 상태는 발급된 후 약 45일 동안 비활성 상태로 표시됩니다. 사용 중지된 인증서: 인증서가 전환될 때 연결 중단 또는 손실을 방지하기 위해 현재 활성 인증서 및 만료 인증서의 유효 기간이 겹칩니다. 새 인증서의 상태가 활성 상태로 변경되면 이전 인증서의 상태가 비활성 상태로 변경됩니다. 만료된 인증서: 만료된 인증서의 상태입니다. |
| 해지됨 | 신뢰할 수 없는 인증서입니다. |
2단계: 테넌트 CA 인증서 다운로드
azsphere ca-certificate 다운로드를 실행하여 필요한 인증서를 '.cer' 파일로 다운로드합니다.
필수 인증서를 다운로드하는 인덱스 지정 예제:
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
필요한 인증서를 다운로드하기 위해 지문을 지정하는 예제:
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
참고 항목
필요한 인증서를 --index 제공하거나 --thumbprint 다운로드해야 합니다. 인덱스 또는 지문이 제공되지 않으면 활성 인증서가 기본적으로 다운로드됩니다.
3단계: 테넌트 CA 인증서 업로드 및 확인 코드 생성
Azure IoT 관리 서비스의 경우 Azure IoT Hub에 테넌트 CA 인증서를 업로드합니다.
백 엔드 서비스를 사용하는 경우 서비스에서 제공하는 설명서를 참조하세요.
4단계: 테넌트 ID 확인
Azure IoT 관리 서비스의 경우 등록은 2단계 프로세스입니다. 첫 번째 단계는 Azure IoT에서 새 테넌트 CA 인증서를 업로드하는 것입니다. 업로드된 테넌트 CA 인증서를 확인하여 Azure Sphere 테넌트 소유권을 증명해야 합니다. 다음 단계에서 Azure Sphere 보안 서비스는 소유 증명 인증서를 제공합니다. 소유 증명 인증서가 Azure IoT에 업로드되면 인증서 등록 프로세스가 완료됩니다. 테넌트 CA 인증서를 확인하는 방법에 대한 자세한 내용은 Azure IoT Hub 설정 또는 Azure IoT Central 설정을 참조하세요.
백 엔드 서비스를 사용하는 경우 서비스에서 제공하는 설명서를 참조하세요. 자세한 내용은 Device Provisioning Service를 사용하여 Azure IoT Hub 설정 또는 Azure Sphere용 Azure IoT Hub 설정을 참조하세요.
테넌트 CA 인증서 갱신 타임라인
테넌트 CA 인증서가 만료될 때 갱신 절차는 Azure Sphere Security Service에서 자동으로 시작됩니다.
다음 그림에서는 인증서 갱신 단계를 보여 줍니다.
| 설명선 제목 | 단계 |
|---|---|
| 1 | 현재 테넌트 CA 인증서(인증서 A)는 2년 동안 유효하며 활성으로 표시됩니다. |
| 2 | 갱신 프로세스는 인증서 A가 만료되기 약 90일 전에 시작됩니다. 새 테넌트 CA 인증서(인증서 B)가 만들어지고 비활성으로 표시됩니다. 이 시점에서 인증서 B는 다운로드할 수 있지만 인증서 A는 약 45일 동안 활성 인증서로 유지됩니다. 디바이스가 클라우드 서비스에 계속 올바르게 인증되도록 45일 이내에 조치를 취해야 합니다. |
| 3 | 인증서 B는 발급된 지 약 45일 후에 활성 인증서가 됩니다. 이 단계에서 인증서 A는 비활성으로 표시되고 인증서 B는 활성 인증서가 됩니다. 인증서 B는 디바이스를 인식하고 인증하는 데 사용됩니다. 올바른 작업을 위해 클라우드 서비스가 인증서 A와 인증서 B를 모두 사용하여 구성되었는지 확인합니다. |
| 4 | 인증서 A가 만료되었습니다. 이제 클라우드 서비스에서 인증서 A를 제거할 수 있습니다. |
| 5 | 인증서 B는 2년 동안 유효합니다. |
팁
이미지의 날짜는 그림에 대해서만 제공되며 고객마다 다릅니다.
인증서 만료를 처리하기 위해 인증서를 롤해야 할 수 있습니다. 롤링 인증서에 대한 자세한 내용은 Azure IoT 관리 서비스를 참조하거나 선호하는 백 엔드 서비스에서 제공하는 설명서를 참조하세요.