Udostępnij przez

Uwierzytelnianie tożsamości przy użyciu certyfikatów X.509 innych firm

Usługa IoT Hub używa certyfikatów X.509 do uwierzytelniania urządzeń. Uwierzytelnianie X.509 pozwala na autoryzację urządzenia IoT jako część standardowego procesu nawiązywania połączenia protokołu Transport Layer Security (TLS).

W tym artykule opisano sposób używania certyfikatów urzędu certyfikacji X.509 zarządzanych przez inne firmy do uwierzytelniania urządzeń łączących się z usługą IoT Hub.

Uwierzytelnianie i autoryzacja

Uwierzytelnianie to proces potwierdzania, że jesteś tym, kim jesteś. Uwierzytelnianie weryfikuje tożsamość użytkownika lub urządzenia w usłudze IoT Hub. Czasami jest skracany do AuthN.

Autoryzacja to proces potwierdzania uprawnień dla uwierzytelnionego użytkownika lub urządzenia w usłudze IoT Hub. Określa ona zasoby i polecenia, do których masz dostęp, oraz czynności, które można wykonać za pomocą tych zasobów i poleceń. Autoryzacja jest czasami skracana do AuthZ.

Certyfikaty X.509 są używane tylko do uwierzytelniania w usłudze IoT Hub, a nie autoryzacji. W przeciwieństwie do identyfikatora Entra firmy Microsoft i sygnatur dostępu współdzielonego nie można dostosowywać uprawnień za pomocą certyfikatów X.509.

Microsoft vs infrastruktura kluczy publicznych innych firm

Infrastruktura kluczy publicznych (PKI) używa certyfikatów cyfrowych do uwierzytelniania i szyfrowania danych między urządzeniami i usługami. Certyfikaty PKI zabezpieczają scenariusze, takie jak vpn, Wi-Fi, poczta e-mail, sieć Web i tożsamość urządzenia. Zarządzanie certyfikatami PKI jest trudne, kosztowne i złożone, szczególnie w przypadku organizacji z wieloma urządzeniami i użytkownikami.

Usługa IoT Hub obsługuje dwa typy dostawców infrastruktury kluczy publicznych na potrzeby uwierzytelniania certyfikatu X.509:

Dostawca infrastruktury kluczy publicznych Wymagana integracja Wymagany rejestr urządzeń platformy Azure (ADR) Wymagana jest usługa Device Provisioning Service (DPS)
Zarządzana przez firmę Microsoft infrastruktura kluczy publicznych Nie. Konfigurowanie urzędów certyfikacji bezpośrednio w usłudze Azure Device Registry (ADR). Tak Tak
Infrastruktura kluczy publicznych innych firm (DigiCert, GlobalSign itp.) Tak. Wymagana jest ręczna integracja. Nie. Nie.

Ten artykuł koncentruje się na dostawcach infrastruktury kluczy publicznych zewnętrznych. Jeśli chcesz używać zarządzanej przez firmę Microsoft infrastruktury kluczy publicznych z certyfikatami X.509, zobacz Co to jest zarządzanie certyfikatami?

Typy uwierzytelniania certyfikatów

Certyfikat urzędu certyfikacji X.509 to certyfikat cyfrowy, który może podpisywać inne certyfikaty. Certyfikat cyfrowy jest uznawany za certyfikat X.509, jeśli jest zgodny ze standardem formatowania certyfikatu określonym przez standard RFC IETF 5280.

Funkcja certyfikatu X.509 CA umożliwia uwierzytelnianie urządzenia w IoT Hub z wykorzystaniem autorytetu certyfikacyjnego (CA). Upraszcza to początkowy proces rejestracji urządzeń i logistykę łańcucha dostaw podczas produkcji urządzeń.

Możesz użyć dowolnego certyfikatu X.509 do uwierzytelniania urządzenia w usłudze IoT Hub, przekazując odcisk palca certyfikatu lub urząd certyfikacji do usługi IoT Hub.

  • Podpisany przez urząd certyfikacji X.509 - Ta opcja jest zalecana w scenariuszach produkcyjnych i jest głównym tematem tego artykułu.

    Jeśli urządzenie ma certyfikat X.509 z podpisem urzędu certyfikacji, należy przekazać certyfikat głównego lub pośredniego urzędu certyfikacji w łańcuchu podpisywania do usługi IoT Hub przed zarejestrowaniem urządzenia. Urządzenie ma certyfikat X.509 ze zweryfikowanym urzędem certyfikacji X.509 w łańcuchu zaufania certyfikatów. Po nawiązaniu połączenia urządzenie prezentuje pełny łańcuch certyfikatów, a centrum IoT może go zweryfikować, ponieważ zna urząd certyfikacji X.509. Wiele urządzeń może uwierzytelniać się przy użyciu tego samego zweryfikowanego urzędu certyfikacji X.509.

  • Podpis własny X.509

    Jeśli urządzenie ma certyfikat X.509 z podpisem własnym, możesz nadać usłudze IoT Hub wersję certyfikatu na potrzeby uwierzytelniania. Podczas rejestrowania urządzenia należy załadować odcisk certyfikatu, który jest skrótem certyfikatu X.509 urządzenia. Po nawiązaniu połączenia urządzenie prezentuje certyfikat, a centrum IoT może zweryfikować go względem skrótu, który zna.

Wymuszanie uwierzytelniania X.509

Aby zapewnić dodatkowe zabezpieczenia, centrum IoT można skonfigurować tak, aby nie zezwalało na uwierzytelnianie SAS dla urządzeń i modułów, pozostawiając X.509 jako jedyną zaakceptowaną opcję uwierzytelniania. Obecnie ta funkcja nie jest dostępna w witrynie Azure Portal. Aby skonfigurować, ustaw disableDeviceSAS i disableModuleSAS na true we właściwościach zasobu IoT Hub.

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --set properties.disableDeviceSAS=true properties.disableModuleSAS=true

Zalety uwierzytelniania certyfikatu X.509 urzędu certyfikacji

Usługa IoT Hub wymaga unikatowej tożsamości dla każdego urządzenia, które nawiązuje połączenie. W przypadku uwierzytelniania opartego na certyfikatach te tożsamości są w formie certyfikatów.

Prawidłowym, ale nieefektywnym sposobem dostarczenia unikatowego certyfikatu na każdym urządzeniu jest wstępne generowanie certyfikatów i nadanie wszystkim partnerom łańcucha dostaw odpowiednie klucze prywatne. Ta metoda wiąże się z wyzwaniami, które należy przezwyciężyć, aby zapewnić zaufanie w następujący sposób:

  • Konieczność udostępniania kluczy prywatnych urządzeń partnerom łańcucha dostaw, oprócz ignorowania najlepszych rozwiązań dotyczących infrastruktury kluczy publicznych, które nigdy nie udostępniają kluczy prywatnych, sprawia, że budowanie zaufania do łańcucha dostaw jest kosztowne. Wymaga systemów, takich jak pomieszczenia zabezpieczone, do przechowywania prywatnych kluczy urządzeń i procesów, takich jak okresowe audyty bezpieczeństwa. Oba dodają koszty do łańcucha dostaw.

  • Bezpieczne rejestrowanie urządzeń w łańcuchu dostaw oraz późniejsze zarządzanie nimi podczas wdrażania i wycofywania staje się zadaniem jeden do jednego dla każdej pary klucz-urządzenie. Ta relacja uniemożliwia zarządzanie grupami urządzeń, chyba że pojęcie grup jest jawnie wbudowane w proces. Bezpieczne zarządzanie księgowością i cyklem życia urządzeń, w związku z czym staje się dużym obciążeniem operacyjnym.

Uwierzytelnianie certyfikatów X.509 CA oferuje eleganckie rozwiązania tych wyzwań za pomocą łańcuchów certyfikatów. Łańcuch certyfikatów powstaje, gdy urząd certyfikacji podpisuje pośredni urząd certyfikacji, który z kolei podpisuje kolejny pośredni urząd certyfikacji, i tak dalej, aż do momentu, gdy ostatni pośredni urząd certyfikacji podpisze urządzenie. Łańcuchy certyfikatów tworzą relację jeden do wielu między certyfikatem urzędu certyfikacji (CA) a jego urządzeniami podrzędnymi. Ta relacja umożliwia jednorazowe zarejestrowanie certyfikatu X.509 urzędu certyfikacji, aby zarejestrować dowolną liczbę urządzeń w usłudze IoT Hub.

Uwierzytelnianie CA X.509 ułatwia również logistykę łańcucha dostaw. Typowy przepływ produkcji urządzeń obejmuje wiele kroków i opiekunów. Korzystając z urzędów certyfikacji, można włączyć każdego opiekuna do kryptograficznego łańcucha zaufania, zamiast powierzania im kluczy prywatnych urządzenia. Każdy opiekun podpisuje urządzenia na odpowiednim etapie przepływu produkcyjnego. Ogólny wynik jest optymalnym łańcuchem dostaw z wbudowaną odpowiedzialnością przy użyciu łańcucha kryptograficznego zaufania.

Ten proces zapewnia największe bezpieczeństwo, gdy urządzenia chronią swoje unikatowe klucze prywatne. W tym celu zalecamy używanie sprzętowych modułów Secure Modules (HSM) w celu wewnętrznego generowania kluczy prywatnych.

Usługa Azure IoT Hub Device Provisioning Service (DPS) ułatwia aprowizowanie grup urządzeń w centrach. Aby uzyskać więcej informacji, zobacz Samouczek: konfiguruj wiele urządzeń X.509 za pomocą grup rejestracyjnych.

Przepływ certyfikatów X.509

W tej sekcji opisano sposób używania certyfikatów X.509 urzędu certyfikacji (CA) do uwierzytelniania urządzeń łączących się z usługą IoT Hub, która obejmuje następujące kroki:

  • Uzyskaj certyfikat X.509 urzędu certyfikacji.
  • Podpisuj urządzenia certyfikatami X.509 CA.
  • Zarejestruj certyfikat X.509 CA w usłudze IoT Hub.
  • Uwierzytelnij urządzenia podpisane przy użyciu urzędów certyfikacji X.509.
  • Odwoływanie certyfikatu urządzenia w przypadku naruszenia zabezpieczeń.

Uzyskaj certyfikat urzędu certyfikacji X.509

Certyfikat X.509 urzędu certyfikacji jest najwyższym ogniwem łańcucha certyfikatów dla każdego z twoich urządzeń. Możesz kupić lub utworzyć jeden w zależności od tego, jak zamierzasz go używać.

W środowiskach produkcyjnych zalecamy zakup certyfikatu X.509 urzędu certyfikacji od profesjonalnego dostawcy usług certyfikacyjnych.

Możesz również utworzyć samopodpisany certyfikat CA X.509 na potrzeby testowania. Aby uzyskać więcej informacji na temat tworzenia certyfikatów na potrzeby testowania, zobacz Tworzenie i przekazywanie certyfikatów do testowania. Nie zalecamy certyfikatów z podpisem własnym dla środowisk produkcyjnych.

Niezależnie od sposobu uzyskania certyfikatu X.509 urzędu certyfikacji, pamiętaj, aby zachować odpowiedni klucz prywatny w tajemnicy i zawsze go chronić.

Kupowanie certyfikatu

Zakup certyfikatu urzędu certyfikacji ma tę korzyść, że dobrze znany urząd certyfikacji nadrzędny pełni rolę zaufanej strony trzeciej, aby potwierdzać zasadność urządzeń IoT podczas nawiązywania połączenia. Wybierz tę opcję, jeśli urządzenia są częścią otwartej sieci IoT, w której współpracują z produktami lub usługami innych firm.

Aby kupić certyfikat X.509 urzędu certyfikacji, wybierz dostawcę usługi certyfikatu głównego. Urząd certyfikacji nadrzędnej przeprowadza Cię przez proces tworzenia pary kluczy publicznych/prywatnych oraz sposób generowania żądania podpisania certyfikatu (CSR) dla swoich usług. CSR to formalny proces ubiegania się o certyfikat od urzędu certyfikacji. Wynikiem tego zakupu jest certyfikat do użycia jako certyfikat urzędu. Biorąc pod uwagę wszechobecność certyfikatów X.509, certyfikat prawdopodobnie został prawidłowo sformatowany w standardzie RFC IETF 5280.

Tworzenie certyfikatu z podpisem własnym

Proces tworzenia samopodpisanego certyfikatu urzędu certyfikacji X.509 jest podobny do zakupu certyfikatu, z tą różnicą, że nie obejmuje podmiotu trzeciego, takiego jak urząd certyfikacji nadrzędny.

Możesz wybrać tę opcję do testowania, do momentu, gdy będziesz gotowy kupić certyfikat wystawiony przez urząd certyfikacji. Możesz również użyć certyfikatu CA X.509 z własnym podpisem w środowisku produkcyjnym, jeśli Twoje urządzenia nie łączą się z żadnymi usługami firm trzecich spoza centrum IoT.

Logowanie urządzeń do łańcucha zaufania certyfikatów

Właściciel certyfikatu X.509 urzędu certyfikacji może kryptograficznie podpisać pośredni urząd certyfikacji, który może z kolei podpisać inny pośredni urząd certyfikacji itd., aż ostatni pośredni urząd certyfikacji podpisze certyfikat urządzenia. Wynikiem jest kaskadowy łańcuch certyfikatów znany jako łańcuch zaufania certyfikatów. To delegowanie zaufania jest ważne, ponieważ ustanawia łańcuch nadzoru i unika udostępniania kluczy podpisywania.

Ta sekwencja certyfikatów w łańcuchu reprezentuje logiczne przekazanie uprawnień. Wiele łańcuchów dostaw funkcjonuje zgodnie z tym logicznym przekazaniem, w którym każdy pośredni urząd certyfikacji jest włączany do łańcucha podczas odbierania wszystkich certyfikatów CA z wyższego poziomu. Ostatni pośredni urząd certyfikacji ostatecznie podpisuje każde urządzenie i wprowadza do niego wszystkie certyfikaty autoryzacji z łańcucha.

Diagram przedstawiający certyfikaty w łańcuchu zaufania.

Certyfikat urządzenia (nazywany również certyfikatem liścia) musi mieć ustawioną nazwę główną (CN) na identyfikator urządzenia (CN=deviceId), który jest używany podczas rejestrowania urządzenia IoT w usłudze Azure IoT Hub. To ustawienie jest wymagane do uwierzytelniania.

W przypadku modułów korzystających z uwierzytelniania X.509 certyfikat modułu musi mieć jego nazwę pospolitą (CN) w formacie , na przykład CN=deviceId/moduleId.

Dowiedz się, jak utworzyć łańcuch certyfikatów tak, jak to się robi podczas podpisywania urządzeń.

Zarejestruj certyfikat X.509 urzędu certyfikacji w usłudze IoT Hub

Zarejestruj certyfikat urzędu certyfikacji X.509 w usłudze IoT Hub, która używa go do uwierzytelniania urządzeń. Certyfikat CA X.509 może uwierzytelnić dowolne urządzenie, które ma ten urząd certyfikacji w swoim łańcuchu zaufania. Zarejestrowanie certyfikatu X.509 urzędu certyfikacji jest procesem dwuetapowym, który obejmuje przekazanie pliku certyfikatu, a następnie ustanowienie dowodu posiadania.

Proces przesyłania polega na przesłaniu pliku zawierającego certyfikat. Ten plik nigdy nie powinien zawierać żadnych kluczy prywatnych.

Krok dowodu posiadania obejmuje kryptograficzne wyzwanie i proces odpowiedzi między Tobą a usługą IoT Hub w celu sprawdzenia, czy naprawdę jesteś właścicielem certyfikatu urzędu certyfikacji. Możesz wybrać opcję automatycznego lub ręcznego zweryfikowania własności. W przypadku ręcznej weryfikacji usługa IoT Hub generuje losowe wyzwanie, które należy podpisać przy użyciu klucza prywatnego certyfikatu urzędu certyfikacji. Jeśli klucz prywatny jest przechowywany i chroniony zgodnie z zaleceniami, to tylko ty posiadasz wiedzę, aby wykonać ten krok. Tajemnica kluczy prywatnych jest źródłem zaufania w tej metodzie. Po podpisaniu wyzwania przekażesz plik zawierający wyniki w celu ukończenia weryfikacji.

Dowiedz się, jak zarejestrować certyfikat CA.

Uwierzytelnij urządzenia podpisane certyfikatami urzędu certyfikacji X.509

Po zarejestrowaniu certyfikatu urzędu certyfikacji X.509 i podpisaniu urządzeń za pomocą łańcucha certyfikatów zaufania, ostatnim krokiem jest uwierzytelnienie urządzenia. Gdy urządzenie podpisane przez urząd certyfikacji X.509 łączy się, przekazuje łańcuch certyfikatów do weryfikacji. Dzięki tym informacjom usługa IoT Hub uwierzytelnia urządzenie w procesie dwuetapowym.

Najpierw usługa IoT Hub kryptograficznie weryfikuje łańcuch certyfikatów pod kątem spójności wewnętrznej. Następnie usługa IoT Hub wystawia wyzwanie dotyczące dowodu posiadania urządzenia. Usługa IoT Hub uznaje urządzenie za autentyczne po otrzymaniu od niego pomyślnej odpowiedzi potwierdzającej posiadanie. W tej deklaracji przyjęto założenie, że klucz prywatny urządzenia jest chroniony i że tylko urządzenie może pomyślnie odpowiedzieć na to wyzwanie. Zalecamy używanie bezpiecznych mikroukładów, takich jak sprzętowe moduły Secure Modules (HSM) na urządzeniach w celu ochrony kluczy prywatnych.

Pomyślne połączenie urządzenia z usługą IoT Hub kończy proces uwierzytelniania i wskazuje również na właściwą konfigurację. Za każdym razem, gdy urządzenie nawiązuje połączenie, usługa IoT Hub renegocjatuje sesję protokołu TLS i weryfikuje certyfikat X.509 urządzenia.

Odwoływanie certyfikatu urządzenia

Usługa IoT Hub nie sprawdza list odwołania certyfikatów z urzędu certyfikacji podczas uwierzytelniania urządzeń przy użyciu uwierzytelniania opartego na certyfikatach. Jeśli masz urządzenie, które musi zostać zablokowane przed połączeniem z usługą IoT Hub z powodu potencjalnie naruszonego certyfikatu, wyłącz to urządzenie w rejestrze tożsamości. Aby uzyskać więcej informacji, zobacz Wyłączanie lub usuwanie urządzenia.

Przykładowy scenariusz

Firma-X produkuje X-Widżety Inteligentne, zaprojektowane do profesjonalnej instalacji. Firma-X zleca zarówno produkcję, jak i instalację. Factory-Y produkuje smart-X-Widgets i technik-Z instaluje je. Firma-X chce, aby widżet Smart-X był wysyłany bezpośrednio z fabryki-Y do technika-Z do instalacji, a następnie połączył się bezpośrednio z instancją usługi IoT Hub firmy-X. Aby tak się stało, Company-X należy wykonać kilka jednorazowych operacji konfiguracji, aby przygotować widżet Smart-X-Widget do automatycznego połączenia. Ten kompleksowy scenariusz obejmuje następujące kroki:

  1. Pobierz certyfikat X.509 urzędu certyfikacji

  2. Zarejestruj certyfikat X.509 urzędu certyfikacji w usłudze IoT Hub

  3. Rejestrowanie urządzeń do łańcucha certyfikatów zaufania

  4. Łączenie urządzeń

Te kroki przedstawiono w artykule Samouczek: tworzenie i przekazywanie certyfikatów na potrzeby testowania.

Pobieranie certyfikatu

Firma-X może kupić certyfikat X.509 od publicznego głównego urzędu certyfikacji lub utworzyć go poprzez samopodpisanie. Każda opcja obejmuje dwa podstawowe kroki: generowanie pary kluczy publicznych/prywatnych i podpisywanie klucza publicznego do certyfikatu.

Szczegółowe informacje na temat wykonywania tych kroków różnią się od różnych dostawców usług.

Diagram przedstawiający przepływ generowania certyfikatu CA (Urząd Certyfikacji) X.509.

Rejestrowanie certyfikatu w usłudze IoT Hub

Firma-X musi zarejestrować urząd certyfikacji X.509 w usłudze IoT Hub, gdzie służy do uwierzytelniania inteligentnych widżetów X podczas nawiązywania połączenia. Ten jednorazowy proces umożliwia uwierzytelnianie i zarządzanie dowolną liczbą urządzeń Smart-X-Widget. Relacja jeden do wielu między certyfikatem urzędu certyfikacji a certyfikatami urządzeń stanowi jedną z głównych zalet korzystania z metody uwierzytelniania X.509 przez urząd certyfikacji. Alternatywą byłoby przesłanie indywidualnych odcisków certyfikatu dla każdego urządzenia Smart-X-Widget, co prowadzi do wzrostu kosztów operacyjnych.

Zarejestrowanie certyfikatu X.509 urzędu certyfikacji jest procesem dwuetapowym: przekaż certyfikat, a następnie podaj dowód posiadania.

Diagram przedstawiający przepływ procesu rejestrowania certyfikatu urzędu certyfikacji X.509.

Załaduj certyfikat

Proces przesyłania certyfikatu urzędu certyfikacji X.509 sprowadza się do jednego: przesłania certyfikatu urzędu certyfikacji do usługi IoT Hub. Usługa IoT Hub oczekuje certyfikatu w pliku.

Plik certyfikatu nie może w żadnym wypadku zawierać żadnych kluczy prywatnych. Najlepsze rozwiązania dotyczące standardów dotyczących infrastruktury kluczy publicznych (PKI) nakazują, aby wiedza na temat klucza prywatnego firmy-X znajdowała się wyłącznie w obrębie firmy-X.

Potwierdzanie posiadania

Certyfikat X.509 urzędu certyfikacji, podobnie jak każdy certyfikat cyfrowy, jest informacją publiczną podatną na przechwytywanie. W związku z tym podsłuchujący może przechwycić certyfikat i spróbować podać się za jego właściciela. W naszym przykładzie IoT Hub musi upewnić się, że przekazany certyfikat urzędu certyfikacji Company-X naprawdę należy do Company-X. Robi to, stawiając Firmie-X wyzwanie do udowodnienia, że posiadają certyfikat poprzez proces dowodu posiadania (PoP).

W przypadku przepływu dowodu posiadania usługa IoT Hub generuje losową liczbę, którą Company-X podpisuje przy użyciu klucza prywatnego. Jeśli firma X przestrzegała najlepszych praktyk dotyczących infrastruktury kluczy publicznych i chroniła swój klucz prywatny, wówczas tylko oni będą mogli prawidłowo reagować na wyzwanie dotyczące dowodu posiadania. Usługa IoT Hub rejestruje certyfikat urzędu certyfikacji X.509 po pomyślnym rozwiązaniu wyzwania dotyczącego potwierdzenia posiadania.

Pomyślna odpowiedź na wyzwanie dotyczące dowodu posiadania skierowane do usługi IoT Hub kończy rejestrację certyfikatu X.509 CA.

Rejestrowanie urządzeń do łańcucha certyfikatów zaufania

W naszym przykładzie uwierzytelnianie oparte na certyfikatach oznacza, że każdy widżet Smart-X-Widget musi mieć unikatowy certyfikat urządzenia. Zamiast tworzyć pojedyncze pary certyfikatów/kluczy dla każdego urządzenia, Company-X decyduje się na użycie certyfikatów urzędu certyfikacji i utworzenie łańcucha zaufania certyfikatów dla każdego urządzenia.

W naszym przykładzie firma-X podpisuje Factory-Y, co z kolei oznacza Technik-Z, który w końcu podpisuje Smart-X-Widget.

Diagram przedstawiający przykład hierarchii łańcucha certyfikatów.

Na poniższym diagramie pokazano, jak łańcuch zaufania certyfikatów tworzy się w naszym przykładzie Smart-X-Widget.

Diagram przedstawiający łańcuch zaufania certyfikatów z certyfikatów jednej firmy do certyfikatów innej firmy.

  1. Firma-X nigdy fizycznie nie wchodzi w interakcje z żadnymi widżetami Smart-X. Inicjuje łańcuch zaufania certyfikatów poprzez podpisanie certyfikatu CA pośredniego Factory-Y.
  2. Factory-Y ma teraz własny pośredni certyfikat CA z podpisem Company-X. Przekazuje kopie tych elementów do każdego urządzenia. Używa również swojego pośredniego certyfikatu urzędu certyfikacji do podpisywania pośredniego certyfikatu urzędu certyfikacji należącego do Technika-Z oraz certyfikatów urządzeń Smart-X-Widget.
  3. Technician-Z teraz ma własny pośredni certyfikat CA podpisany przez Factory-Y. Przekazuje kopie tych elementów do każdego urządzenia. Używa również pośredniego certyfikatu CA do podpisywania certyfikatów urządzeń Smart-X-Widget.
  4. Każde urządzenie Smart-X-Widget ma teraz własny unikatowy certyfikat urządzenia i kopie kluczy publicznych oraz podpisów z każdego pośredniego certyfikatu urzędu certyfikacji (CA), z którymi wchodziło w interakcję w całym łańcuchu dostaw. Te certyfikaty i podpisy można prześledzić z powrotem do oryginalnego korzenia (root) Firmy-X.

Metoda uwierzytelniania CA wprowadza bezpieczną odpowiedzialność w łańcuchu dostaw produkcji urządzeń. Ze względu na proces łańcucha certyfikatów akcje każdego elementu członkowskiego w łańcuchu są rejestrowane kryptograficznie i weryfikowalne.

Ten proces opiera się na założeniu, że unikatowa para kluczy publicznych/prywatnych urządzenia jest tworzona niezależnie i że klucz prywatny jest zawsze chroniony w urządzeniu. Na szczęście bezpieczne mikroukłady krzemowe istnieją w postaci sprzętowych modułów Secure Modules (HSM), które mogą wewnętrznie generować klucze i chronić klucze prywatne. Firma-X potrzebuje dodać tylko jeden taki bezpieczny mikroukład do zestawienia materiałów Smart-X-Widget.

Uwierzytelnianie urządzeń

Urządzenia produkowane do uwierzytelniania X.509 urzędu certyfikacji są wyposażone w unikatowe certyfikaty urządzeń oraz w łańcuch certyfikatów z ich łańcucha dostaw. Połączenie urządzenia, nawet po raz pierwszy, odbywa się w dwuetapowym procesie: przekazywanie łańcucha certyfikatów i dowód posiadania.

W naszym przykładzie każdy element Smart-X-Widget przekazuje swój unikatowy certyfikat urządzenia wraz z certyfikatami Factory-Y i Technician-Z X.509 urzędu certyfikacji, a następnie odpowiada na wyzwanie dotyczące dowodu posiadania z usługi IoT Hub.

Korzystając ze wstępnie zarejestrowanego certyfikatu X.509 urzędu certyfikacji Company-X, usługa IoT Hub sprawdza, czy przekazany łańcuch certyfikatów jest wewnętrznie spójny i że prawidłowy właściciel certyfikatu X.509 urzędu certyfikacji zapoczątkował łańcuch. Podobnie jak w przypadku procesu rejestracji urzędu certyfikacji X.509, usługa IoT Hub używa procesu weryfikacji posiadania w celu sprawdzenia, czy łańcuch, a w związku z tym certyfikat urządzenia, należy do urządzenia przekazującego go. Pomyślna odpowiedź wyzwala usługę IoT Hub w celu zaakceptowania urządzenia jako uwierzytelnionego i udzielenia mu połączenia.

Diagram przedstawiający przepływ weryfikacji certyfikatu urządzenia.

Podstawą zaufania jest ochrona kluczy prywatnych, w tym kluczy prywatnych urządzeń. W związku z tym nie możemy wystarczająco podkreślić znaczenia bezpiecznych układów krzemowych w postaci Sprzętowych Modułów Bezpieczeństwa (HSM), do ochrony kluczy prywatnych urządzeń, a ogólną najlepszą praktyką jest nigdy nie udostępniać kluczy prywatnych z żadnego certyfikatu w łańcuchu.

Następne kroki

Użyj usługi Device Provisioning Service, aby przydzielić wiele urządzeń X.509 korzystając z grup rejestracyjnych.

Aby dowiedzieć się więcej o polach tworzących certyfikat X.509, zobacz X.509 certificates (Certyfikaty X.509).

Jeśli masz certyfikat głównego urzędu certyfikacji lub podrzędny certyfikat urzędu certyfikacji i chcesz przekazać go do centrum IoT, musisz zweryfikować, że jesteś właścicielem tego certyfikatu. Aby uzyskać więcej informacji, zobacz Samouczek: tworzenie i przekazywanie certyfikatów na potrzeby testowania.

  • Last updated on