Ca-certificaten voor tenants configureren voor cloudservices
Belangrijk
Dit is de Documentatie voor Azure Sphere (verouderd). Azure Sphere (verouderd) wordt op 27 september 2027 buiten gebruik gesteld en gebruikers moeten tegen deze tijd migreren naar Azure Sphere (geïntegreerd). Gebruik de versiekiezer boven de inhoudsweergave om de Documentatie van Azure Sphere (geïntegreerd) weer te geven.
Een tenant-CA-certificaat wordt uitgegeven door de Azure Sphere-beveiligingsservice wanneer een tenant wordt gemaakt. Elk ca-tenantcertificaat heeft een levensduur van twee jaar en de begin- en einddatum worden vastgelegd in het certificaat.
Wanneer het apparaat verbinding maakt met Azure IoT Hub, Azure IoT Central of een back-endservice, moet de service kunnen controleren of het apparaat deel uitmaakt van uw Azure Sphere-tenant en of de tenant zelf legitiem is. Om deze verificatie uit te voeren, vereist de service een geldige CA-certificaatketen voor Azure Sphere-tenants die wordt gebruikt om certificaten te ondertekenen die apparaten ontvangen als onderdeel van dagelijkse attestation en verificatie. Zie Certificaatgebruik met Azure Sphere voor meer informatie.
Wanneer het huidige CA-certificaat van een tenant bijna verloopt, wordt er ongeveer 90 dagen voordat het certificaat verloopt automatisch een nieuw tenant-CA-certificaat uitgegeven.
U moet de beheerde Azure IoT-services of back-endservice configureren om beide tenant-CA-certificaten te vertrouwen. Als beide certificaten worden vertrouwd, kan de service het nieuwe certificaat gebruiken zodra het geldig is en wordt onderbreking van de communicatie voorkomen wanneer de Azure Sphere-beveiligingsservice overschakelt naar het gebruik van het nieuwe ca-certificaat van de tenant.
Tenant-CA-certificaat aanbieden aan cloudservices
Het proces voor het configureren van een cloudservice voor het vertrouwen van het ca-certificaat van de tenant omvat:
- Stap 1: tenant-CA-certificaten weergeven en identificeren
- Stap 2: Tenant-CA-certificaat downloaden
- Stap 3: tenant-CA-certificaat uploaden en de verificatiecode genereren
- Stap 4: Tenant-identiteit verifiëren
Stap 1: tenant-CA-certificaten weergeven en identificeren
Voer azsphere ca-certificate list uit om een lijst met beschikbare certificaten voor de huidige tenant op te halen.
Wanneer het huidige certificaat moet worden vernieuwd, genereert de Azure Sphere-beveiligingsservice automatisch het volgende certificaat, dat samen met het huidige (actieve) certificaat wordt weergegeven.
In de lijst met certificaten wordt de status van het huidige tenant-CA-certificaat weergegeven als Actief en wordt de status van de andere certificaten weergegeven als Inactief.
De volgende tabel bevat details van de status voor de certificaten:
| -Status | Beschrijving |
|---|---|
| Actief | Het huidige ca-certificaat van de tenant. |
| Inactief | De status kan een van de volgende zaken betekenen: Nieuw tenant-CA-certificaat: er wordt een nieuw tenant-CA-certificaat uitgegeven wanneer het huidige tenant-CA-certificaat bijna is verlopen. De status van het nieuwe certificaat wordt ongeveer 45 dagen nadat het is uitgegeven, weergegeven als inactief. Buiten gebruik gesteld certificaat: de geldigheidsperiode voor het huidige actieve certificaat en het verlopen van certificaten overlappen om onderbreking of verlies van connectiviteit te voorkomen wanneer de certificaten worden overgeschakeld. Wanneer de status van het nieuwe certificaat wordt gewijzigd in actief, verandert de status van het oude certificaat in inactief. Verlopen certificaat: de status van het certificaat dat is verlopen. |
| Ingetrokken | Een niet-vertrouwd certificaat. |
Stap 2: Tenant-CA-certificaat downloaden
Voer azsphere ca-certificate download uit om het vereiste certificaat te downloaden als een '.cer'-bestand.
Voorbeeld van het opgeven van een index voor het downloaden van een vereist certificaat:
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
Voorbeeld voor het opgeven van vingerafdruk voor het downloaden van een vereist certificaat:
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
Notitie
Zorg ervoor dat u het --index vereiste certificaat opgeeft of --thumbprint downloadt. Als er geen index of vingerafdruk is opgegeven, wordt het actieve certificaat standaard gedownload.
Stap 3: Ca-certificaat voor tenant uploaden en verificatiecode genereren
Upload voor beheerde Azure IoT-services het tenant-CA-certificaat naar Azure IoT Hub
Als u een back-endservice gebruikt, raadpleegt u de documentatie van de service.
Stap 4: Tenant-identiteit verifiëren
Voor beheerde Azure IoT-services is registratie een proces in twee stappen. De eerste stap is het uploaden van het nieuwe ca-certificaat van de tenant in Azure IoT. Het geüploade tenant-CA-certificaat moet worden geverifieerd om het eigendom van de Azure Sphere-tenant te bewijzen. In de volgende stap biedt de Azure Sphere-beveiligingsservice een bewijs van bezit. Zodra het bewijs van eigendom is geüpload naar Azure IoT, is het certificaatregistratieproces voltooid. Zie Een Azure IoT Hub instellen of Azure IoT Central instellen voor meer informatie over het controleren van het ca-certificaat van de tenant.
Als u een back-endservice gebruikt, raadpleegt u de documentatie van de service. Zie Een Azure IoT Hub instellen of een Azure IoT Hub instellen voor Azure Sphere met Device Provisioning Service voor meer informatie.
Tijdlijn voor het vernieuwen van ca-certificaten voor tenant
Wanneer een ca-tenantcertificaat bijna verloopt, wordt de verlengingsprocedure automatisch gestart door de Azure Sphere-beveiligingsservice.
In de volgende afbeelding ziet u de fasen van certificaatvernieuwing:
| Bijschrift | Fase |
|---|---|
| 1 | Het huidige ca-certificaat van de tenant (certificaat A) is twee jaar geldig en is gemarkeerd als Actief. |
| 2 | Het verlengingsproces begint ongeveer 90 dagen voordat certificaat A verloopt. Er wordt een nieuw tenant-CA-certificaat (certificaat B) gemaakt en gemarkeerd als Inactief. Op dit moment is certificaat B beschikbaar voor downloaden, maar Certificaat A blijft ongeveer 45 dagen actief. U moet binnen de periode van 45 dagen actie ondernemen, zodat uw apparaten zich correct blijven verifiëren bij uw cloudservices. |
| 3 | Certificaat B wordt ongeveer 45 dagen nadat het is uitgegeven het actieve certificaat. In deze fase wordt certificaat A gemarkeerd als Inactief en wordt certificaat B het actieve certificaat. Certificaat B wordt gebruikt om uw apparaten te herkennen en te verifiëren. Zorg ervoor dat uw cloudservices zijn geconfigureerd met zowel certificaat A als certificaat B voor de juiste bewerking. |
| 4 | Certificaat A is verlopen. U kunt certificaat A nu verwijderen uit uw cloudservices. |
| 5 | Certificaat B is 2 jaar geldig. |
Tip
De datums in de afbeelding zijn alleen ter illustratie opgegeven en variëren van klant tot klant.
Mogelijk moet u certificaten implementeren om het verlopen van certificaten af te handelen. Zie beheerde Azure IoT-services voor meer informatie over rolling certificaten of raadpleeg de documentatie van uw favoriete back-endservice.