Jak zweryfikować certyfikaty X.509 urzędu certyfikacji za pomocą usługi Device Provisioning Service

Zweryfikowany certyfikat urzędu certyfikacji X.509 to certyfikat urzędu certyfikacji, który został przekazany i zarejestrowany w usłudze aprowizacji, a następnie zweryfikowany automatycznie lub za pośrednictwem dowodu posiadania w usłudze.

Zweryfikowane certyfikaty odgrywają ważną rolę podczas korzystania z grup rejestracji. Weryfikowanie własności certyfikatu zapewnia dodatkową warstwę zabezpieczeń, zapewniając, że moduł przekazujący certyfikat jest w posiadaniu klucza prywatnego certyfikatu. Weryfikacja uniemożliwia złośliwemu aktorowi wąchanie ruchu przed wyodrębnieniem certyfikatu pośredniego i użyciem tego certyfikatu do utworzenia grupy rejestracji we własnej usłudze aprowizacji, co skutecznie przejmuje urządzenia. Udowadniając własność certyfikatu głównego lub pośredniego w łańcuchu certyfikatów, okazuje się, że masz uprawnienia do generowania certyfikatów liści dla urządzeń, które będą rejestrowane w ramach tej grupy rejestracji. Z tego powodu certyfikat główny lub pośredni skonfigurowany w grupie rejestracji musi być zweryfikowanym certyfikatem lub musi zostać zbiorczy do zweryfikowanego certyfikatu w łańcuchu certyfikatów, który urządzenie przedstawia podczas uwierzytelniania w usłudze. Aby dowiedzieć się więcej na temat zaświadczania certyfikatów X.509, zobacz X.509 certificates (Certyfikaty X.509).

Wymagania wstępne

Przed rozpoczęciem kroków opisanych w tym artykule przygotowano następujące wymagania wstępne:

• Wystąpienie usługi DPS utworzone w ramach subskrypcji platformy Azure.
• Plik certyfikatu .cer lub pem.

Automatyczna weryfikacja pośredniego lub głównego urzędu certyfikacji za pomocą zaświadczania samodzielnego

Jeśli używasz zaufanego pośredniego lub głównego urzędu certyfikacji i wiesz, że masz pełną własność certyfikatu, możesz potwierdzić, że certyfikat został zweryfikowany.

Aby dodać certyfikat zweryfikowany automatycznie, wykonaj następujące kroki:

1. W witrynie Azure Portal przejdź do usługi aprowizacji i wybierz pozycję Certyfikaty z menu po lewej stronie.

2. Wybierz pozycję Dodaj , aby dodać nowy certyfikat.

3. Wprowadź przyjazną nazwę wyświetlaną certyfikatu.

4. Przejdź do pliku .cer lub pem reprezentującego publiczną część certyfikatu X.509. Kliknij polecenie Przekaż.

5. Zaznacz pole wyboru obok pozycji Ustaw stan certyfikatu na zweryfikowane podczas przekazywania.

   

6. Wybierz pozycję Zapisz.

7. Certyfikat jest wyświetlany na karcie certyfikatu ze stanem Zweryfikowano.

   

Ręczna weryfikacja pośredniego lub głównego urzędu certyfikacji

Automatyczna weryfikacja jest zalecana podczas przekazywania nowych certyfikatów pośredniego lub głównego urzędu certyfikacji do usługi DPS. Jednak nadal można wykonać weryfikację posiadania, jeśli ma to sens w przypadku scenariusza IoT.

Dowód posiadania obejmuje następujące kroki:

1. Pobierz unikatowy kod weryfikacyjny wygenerowany przez usługę aprowizacji dla certyfikatu urzędu certyfikacji X.509. Możesz to zrobić w witrynie Azure Portal.
2. Utwórz certyfikat weryfikacji X.509 z kodem weryfikacyjnym jako podmiotem i podpisz certyfikat kluczem prywatnym skojarzonym z certyfikatem urzędu certyfikacji X.509.
3. Przekaż podpisany certyfikat weryfikacji do usługi. Usługa weryfikuje certyfikat weryfikacji przy użyciu publicznej części certyfikatu urzędu certyfikacji do zweryfikowania, co oznacza, że posiadasz klucz prywatny certyfikatu urzędu certyfikacji.

Rejestrowanie publicznej części certyfikatu X.509 i uzyskiwanie kodu weryfikacyjnego

Aby zarejestrować certyfikat urzędu certyfikacji w usłudze aprowizacji i uzyskać kod weryfikacyjny, którego można użyć podczas weryfikacji posiadania, wykonaj następujące kroki.

1. W witrynie Azure Portal przejdź do usługi aprowizacji i otwórz pozycję Certyfikaty z menu po lewej stronie.

2. Wybierz pozycję Dodaj , aby dodać nowy certyfikat.

3. Wprowadź przyjazną nazwę wyświetlaną certyfikatu w polu Nazwa certyfikatu.

4. Wybierz ikonę folderu, a następnie przejdź do pliku .cer lub pem reprezentującego publiczną część certyfikatu X.509. Wybierz Otwórz.

5. Po otrzymaniu powiadomienia o pomyślnym przekazaniu certyfikatu wybierz pozycję Zapisz.

   

   Certyfikat zostanie wyświetlony na liście Eksplorator certyfikatów. Należy pamiętać, że stan tego certyfikatu jest niezweryfikowany.

6. Wybierz certyfikat dodany w poprzednim kroku, aby otworzyć jego szczegóły.

7. W szczegółach certyfikatu zwróć uwagę, że istnieje puste pole Kod weryfikacyjny. Wybierz przycisk Generuj kod weryfikacyjny.

   

8. Usługa aprowizacji tworzy kod weryfikacyjny, którego można użyć do zweryfikowania własności certyfikatu. Skopiuj kod do schowka.

Podpisz cyfrowo kod weryfikacyjny w celu utworzenia certyfikatu weryfikacji

Teraz musisz podpisać kod weryfikacyjny z usługi DPS przy użyciu klucza prywatnego skojarzonego z certyfikatem X.509 urzędu certyfikacji, który generuje podpis. Ten krok jest znany jako Dowód posiadania i powoduje podpisanie certyfikatu weryfikacji.

Firma Microsoft udostępnia narzędzia i przykłady, które mogą pomóc w utworzeniu podpisanego certyfikatu weryfikacji:

• Zestaw SDK języka C usługi Azure IoT Hub udostępnia skrypty programu PowerShell (Windows) i powłoki Bash (Linux), które ułatwiają tworzenie certyfikatów urzędu certyfikacji i liści na potrzeby programowania oraz przeprowadzanie weryfikacji przy użyciu kodu weryfikacyjnego. Pliki istotne dla systemu można pobrać do folderu roboczego i postępować zgodnie z instrukcjami w pliku readme Zarządzanie certyfikatami urzędu certyfikacji, aby przeprowadzić weryfikację posiadania certyfikatu urzędu certyfikacji.
• Zestaw SDK języka C# usługi Azure IoT Hub zawiera przykład weryfikacji certyfikatu grupy, którego można użyć do przeprowadzenia weryfikacji posiadania.

Skrypty programu PowerShell i powłoki Bash podane w dokumentacji i zestawach SDK korzystają z biblioteki OpenSSL. Możesz również użyć biblioteki OpenSSL lub innych narzędzi innych firm, aby ułatwić ci weryfikację posiadania. Przykład użycia narzędzi dostarczanych z zestawami SDK można znaleźć w artykule Create an X.509 certificate chain (Tworzenie łańcucha certyfikatów X.509).

Przekazywanie podpisanego certyfikatu weryfikacji

Przekaż wynikowy podpis jako certyfikat weryfikacji do usługi aprowizacji w witrynie Azure Portal.

1. W szczegółach certyfikatu w witrynie Azure Portal, z której skopiowano kod weryfikacyjny, wybierz ikonę folderu obok pola Plik pem lub .cer certyfikatu weryfikacji. Przejdź do podpisanego certyfikatu weryfikacji z systemu i wybierz pozycję Otwórz.

2. Po pomyślnym przekazaniu certyfikatu wybierz pozycję Weryfikuj. Stan certyfikatu zmieni się na Zweryfikowane na liście Certyfikaty . Wybierz pozycję Odśwież , jeśli nie zostanie ona automatycznie zaktualizowana.

Następne kroki

• Aby dowiedzieć się, jak za pomocą portalu utworzyć grupę rejestracji, zobacz Zarządzanie rejestracjami urządzeń w witrynie Azure Portal.
• Aby dowiedzieć się, jak używać zestawów SDK usługi do tworzenia grupy rejestracji, zobacz Zarządzanie rejestracjami urządzeń przy użyciu zestawów SDK usługi.