Share via

X.509-CA-certificaten verifiëren met device provisioning Service

  • Artikel

Een geverifieerd X.509-certificaat (CA) is een CA-certificaat dat is geüpload en geregistreerd bij uw inrichtingsservice en vervolgens automatisch of via bewijs van bezit met de service is geverifieerd.

Geverifieerde certificaten spelen een belangrijke rol bij het gebruik van inschrijvingsgroepen. Controleren of het certificaateigendom een extra beveiligingslaag biedt door ervoor te zorgen dat de uploader van het certificaat in het bezit is van de persoonlijke sleutel van het certificaat. Met verificatie voorkomt u dat een kwaadwillende actor uw verkeer ophaalt uit een tussenliggend certificaat en dat certificaat gebruikt om een inschrijvingsgroep te maken in hun eigen inrichtingsservice, waardoor uw apparaten effectief worden gekaapt. Door het eigendom van het basiscertificaat of een tussenliggend certificaat in een certificaatketen te bewijzen, bewijst u dat u gemachtigd bent om leaf-certificaten te genereren voor de apparaten die worden geregistreerd als onderdeel van die inschrijvingsgroep. Daarom moet het basis- of tussencertificaat dat is geconfigureerd in een inschrijvingsgroep een geverifieerd certificaat zijn of moet het worden samengevoegd tot een geverifieerd certificaat in de certificaatketen dat een apparaat presenteert wanneer het wordt geverifieerd met de service. Zie X.509-certificaten voor meer informatie over X.509-certificaatattest.

Vereisten

Voordat u met de stappen in dit artikel begint, moet u de volgende vereisten voorbereiden:

  • Een DPS-exemplaar dat is gemaakt in uw Azure-abonnement.
  • Een .cer- of PEM-certificaatbestand.

Automatische verificatie van tussenliggende of basis-CA via self-attestation

Als u een tussenliggende of basis-CA gebruikt die u vertrouwt en weet dat u volledig eigendom van het certificaat hebt, kunt u zelf attesten dat u het certificaat hebt geverifieerd.

Voer de volgende stappen uit om een automatisch geverifieerd certificaat toe te voegen:

  1. Navigeer in Azure Portal naar uw inrichtingsservice en selecteer Certificaten in het menu aan de linkerkant.

  2. Selecteer Toevoegen om een nieuw certificaat toe te voegen.

  3. Voer een beschrijvende weergavenaam in voor uw certificaat.

  4. Blader naar het .cer- of PEM-bestand dat het openbare deel van uw X.509-certificaat vertegenwoordigt. Klik op Uploaden.

  5. Schakel het selectievakje in naast De certificaatstatus instellen op geverifieerd bij uploaden.

    Schermopname van het uploaden van een certificaat en het instellen van de status op geverifieerd.

  6. Selecteer Opslaan.

  7. Uw certificaat wordt weergegeven op het tabblad Certificaat met de status Geverifieerd.

    Schermopname van het geverifieerde certificaat na het uploaden.

Handmatige verificatie van tussenliggende of basis-CA

Automatische verificatie wordt aanbevolen wanneer u nieuwe tussenliggende of basis-CA-certificaten uploadt naar DPS. U kunt echter nog steeds bewijs van bezit uitvoeren als dit zinvol is voor uw IoT-scenario.

Bewijs van bezit omvat de volgende stappen:

  1. Haal een unieke verificatiecode op die is gegenereerd door de inrichtingsservice voor uw X.509 CA-certificaat. U kunt dit doen vanuit Azure Portal.
  2. Maak een X.509-verificatiecertificaat met de verificatiecode als onderwerp en onderteken het certificaat met de persoonlijke sleutel die is gekoppeld aan uw X.509 CA-certificaat.
  3. Upload het ondertekende verificatiecertificaat naar de service. De service valideert het verificatiecertificaat met behulp van het openbare gedeelte van het CA-certificaat dat moet worden geverifieerd, zodat wordt aangetoond dat u de persoonlijke sleutel van het CA-certificaat hebt.

Het openbare deel van een X.509-certificaat registreren en een verificatiecode ophalen

Als u een CA-certificaat wilt registreren bij uw inrichtingsservice en een verificatiecode wilt ophalen die u tijdens het bewijs van bezit kunt gebruiken, volgt u deze stappen.

  1. Navigeer in Azure Portal naar uw inrichtingsservice en open Certificaten in het menu aan de linkerkant.

  2. Selecteer Toevoegen om een nieuw certificaat toe te voegen.

  3. Voer een beschrijvende weergavenaam in voor uw certificaat in het veld Certificaatnaam .

  4. Selecteer het mappictogram en blader naar het .cer- of PEM-bestand dat het openbare deel van uw X.509-certificaat vertegenwoordigt. Selecteer Openen.

  5. Zodra u een melding krijgt dat uw certificaat is geüpload, selecteert u Opslaan.

    Schermopname van het uploaden van een certificaat zonder automatische verificatie.

    Uw certificaat wordt weergegeven in de lijst Met Certificaatverkenner . Houd er rekening mee dat de status van dit certificaat niet is geverifieerd.

  6. Selecteer het certificaat dat u in de vorige stap hebt toegevoegd om de details ervan te openen.

  7. In de certificaatdetails ziet u dat er een leeg verificatiecodeveld is. Selecteer de knop Verificatiecode genereren.

    Schermopname van het genereren van een verificatiecode voor bewijs van bezit.

  8. De inrichtingsservice maakt een verificatiecode die u kunt gebruiken om het certificaateigendom te valideren. Kopieer de code naar het Klembord.

De verificatiecode digitaal ondertekenen om een verificatiecertificaat te maken

Nu moet u de verificatiecode van DPS ondertekenen met de persoonlijke sleutel die is gekoppeld aan uw X.509 CA-certificaat, waarmee een handtekening wordt gegenereerd. Deze stap staat bekend als Bewijs van bezit en resulteert in een ondertekend verificatiecertificaat.

Microsoft biedt hulpprogramma's en voorbeelden waarmee u een ondertekend verificatiecertificaat kunt maken:

  • De Azure IoT Hub C SDK biedt PowerShell-scripts (Windows) en Bash (Linux) om u te helpen ca- en leafcertificaten te maken voor ontwikkeling en om bewijs van bezit uit te voeren met behulp van een verificatiecode. U kunt de bestanden die relevant zijn voor uw systeem downloaden naar een werkmap en de instructies volgen in het leesmij-leesmij-bestand voor ca-certificaten beheren om bewijs van bezit uit te voeren op een CA-certificaat.
  • De Azure IoT Hub C#-SDK bevat het voorbeeld van groepscertificaatverificatie, dat u kunt gebruiken om bewijs van bezit uit te voeren.

De PowerShell- en Bash-scripts in de documentatie en SDK's zijn afhankelijk van OpenSSL. U kunt ook OpenSSL of andere hulpprogramma's van derden gebruiken om u te helpen bewijs van bezit te doen. Zie Een X.509-certificaatketen maken voor een voorbeeld van hulpprogramma's die bij de SDK's worden geleverd.

Het ondertekende verificatiecertificaat uploaden

Upload de resulterende handtekening als een verificatiecertificaat naar uw inrichtingsservice in Azure Portal.

  1. Selecteer in de certificaatdetails in Azure Portal, waaruit u de verificatiecode hebt gekopieerd, het mappictogram naast het pem- of .cer bestandsveld van het verificatiecertificaat. Blader naar het ondertekende verificatiecertificaat van uw systeem en selecteer Openen.

  2. Zodra het certificaat is geüpload, selecteert u Verifiëren. De status van uw certificaat wordt gewijzigd in Geverifieerd in de lijst Certificaten . Selecteer Vernieuwen als deze niet automatisch wordt bijgewerkt.

Volgende stappen