Użycie certyfikatu w usłudze Azure Sphere

Artykuł
06/18/2024

W tym temacie omówiono "poziome" certyfikaty usługi Azure Sphere: typy certyfikatów używanych przez różne składniki usługi Azure Sphere, skąd pochodzą, gdzie są przechowywane, jak są aktualizowane i jak uzyskać do nich dostęp w razie potrzeby. Opisano również, jak system operacyjny, zestaw SDK i usługi Azure Sphere ułatwiają zarządzanie certyfikatami. Zakładamy, że masz podstawową znajomość urzędów certyfikacji i łańcucha zaufania.

Urządzenia usługi Azure Sphere

Każde urządzenie usługi Azure Sphere korzysta z zaufanego magazynu głównego, który jest częścią systemu operacyjnego usługi Azure Sphere. Zaufany magazyn główny zawiera listę certyfikatów głównych używanych do weryfikowania tożsamości usługi zabezpieczeń Azure Sphere, gdy urządzenie łączy się na potrzeby uwierzytelniania urządzeń i zaświadczania (DAA), aktualizacji za pośrednictwem sieci (OTA) lub raportowania błędów. Te certyfikaty są dostarczane z systemem operacyjnym.

Gdy codzienne zaświadczenie powiedzie się, urządzenie otrzymuje dwa certyfikaty: certyfikat aktualizacji i certyfikat klienta. Certyfikat aktualizacji umożliwia urządzeniu łączenie się z usługą aktualizacji usługi Azure Sphere w celu pobierania aktualizacji oprogramowania i przekazywania raportów o błędach; nie jest dostępny dla aplikacji ani za pośrednictwem wiersza polecenia. Certyfikat klienta, czasami nazywany certyfikatem DAA, może być używany przez aplikacje do łączenia się z usługami innych firm, takimi jak wolfSSL, które korzystają z zabezpieczeń warstwy transportu (TLS). Ten certyfikat jest ważny przez 24 godziny. Aplikacje mogą pobierać je programowo, wywołując funkcję DeviceAuth_GetCertificatePath.

Urządzenia łączące się z usługami opartymi na platformie Azure, takimi jak Azure IoT Hub, Azure IoT Central i Azure IoT Edge, muszą przedstawić certyfikat urzędu certyfikacji katalogu usługi Azure Sphere w celu uwierzytelnienia katalogu usługi Azure Sphere. Polecenie az sphere ca-certificate download w interfejsie wiersza polecenia zwraca certyfikat urzędu certyfikacji katalogu dla takich zastosowań.

Połączenia sieciowe protokołu EAP-TLS

Urządzenia, które łączą się z siecią protokołu EAP-TLS, muszą uwierzytelniać się za pomocą serwera RADIUS sieci. Aby uwierzytelnić się jako klient, urządzenie musi przekazać certyfikat klienta do usługi RADIUS. Aby przeprowadzić wzajemne uwierzytelnianie, urządzenie musi również mieć certyfikat głównego urzędu certyfikacji dla serwera RADIUS, aby mógł uwierzytelnić serwer. Firma Microsoft nie dostarcza jednego z tych certyfikatów; Użytkownik lub administrator sieci są odpowiedzialni za ustalenie prawidłowego urzędu certyfikacji dla serwera RADIUS sieci, a następnie uzyskanie niezbędnych certyfikatów od wystawcy.

Aby uzyskać certyfikaty dla serwera RADIUS, należy uwierzytelnić się w urzędzie certyfikacji. W tym celu możesz użyć certyfikatu DAA, jak wspomniano wcześniej. Po uzyskaniu certyfikatów dla serwera RADIUS należy je przechowywać w magazynie certyfikatów urządzenia. Magazyn certyfikatów urządzenia jest dostępny tylko do użycia podczas uwierzytelniania w zabezpieczonej sieci za pomocą protokołu EAP-TLS. (Certyfikat DAA nie jest przechowywany w magazynie certyfikatów urządzenia; jest on bezpiecznie przechowywany w systemie operacyjnym). Polecenie az sphere device certificate w interfejsie wiersza polecenia umożliwia zarządzanie magazynem certyfikatów z poziomu wiersza polecenia. Aplikacje usługi Azure Sphere mogą używać interfejsu API CertStore do przechowywania i pobierania certyfikatów oraz zarządzania nimi w magazynie certyfikatów urządzeń. Interfejs API magazynu certyfikatów zawiera również funkcje umożliwiające zwracanie informacji o poszczególnych certyfikatach, dzięki czemu aplikacje mogą przygotować się do wygaśnięcia i odnowienia certyfikatu.

Aby uzyskać dodatkowe informacje, zobacz Używanie protokołu EAP-TLS , aby uzyskać pełny opis certyfikatów używanych w sieci EAP-TLS i zobacz Secure enterprise Wi-Fi access: EAP-TLS on Azure Sphere on the Microsoft Tech Community (Bezpieczny dostęp do sieci Wi-Fi w przedsiębiorstwie: EAP-TLS w usłudze Azure Sphere w społeczności technicznej firmy Microsoft).

Aplikacje usługi Azure Sphere

Aplikacje usługi Azure Sphere wymagają certyfikatów do uwierzytelniania w usługach internetowych i niektórych sieciach. W zależności od wymagań usługi lub punktu końcowego aplikacja może używać certyfikatu DAA lub certyfikatu z zewnętrznego urzędu certyfikacji.

Aplikacje łączące się z usługą innej firmy przy użyciu wolfSSL lub podobnej biblioteki mogą wywoływać funkcję DeviceAuth_GetCertificatePath w celu uzyskania certyfikatu DAA na potrzeby uwierzytelniania. Ta funkcja została wprowadzona w nagłówku deviceauth.h w zestawie SDK 20.10.

Biblioteka usługi Azure IoT wbudowana w usługę Azure Sphere ufa już niezbędnemu głównemu urzędowi certyfikacji, dlatego aplikacje korzystające z tej biblioteki do uzyskiwania dostępu do usług Azure IoT (Azure IoT Hub, Azure IoT Central, device provisioning service) nie wymagają żadnych dodatkowych certyfikatów.

Jeśli aplikacje korzystają z innych usług platformy Azure, zapoznaj się z dokumentacją tych usług, aby określić, które certyfikaty są wymagane.

Azure Sphere REST API

Interfejs API REST usługi Azure Sphere to zestaw punktów końcowych usługi, które obsługują operacje HTTP na potrzeby tworzenia zasobów usługi Azure Sphere, takich jak wykazy, produkty, wdrożenia i grupy urządzeń. Interfejs API REST usługi Azure Sphere używa protokołu HTTP REST (REpresentational State Transfer) do wysyłania żądań operacji i odpowiedzi. Dane zwrócone w odpowiedzi operacji są formatowane w formacie JSON (JavaScript Object Notation). Dostępne operacje opisano w dokumentacji interfejsu API REST usługi Azure Sphere.

Usługa zabezpieczeń Azure Sphere

Ogólnie rzecz biorąc, usługi w chmurze Azure Sphere i usługa zabezpieczeń w szczególności zarządzają wieloma certyfikatami używanymi w bezpiecznej komunikacji między usługami. Większość tych certyfikatów jest wewnętrzna dla usług i ich klientów, dlatego firma Microsoft koordynuje aktualizacje zgodnie z potrzebami. Na przykład oprócz zaktualizowania certyfikatu TLS publicznego interfejsu API w październiku usługa zabezpieczeń Azure Sphere zaktualizowała również swoje certyfikaty TLS dla usługi DAA i usługi aktualizacji. Przed aktualizacją urządzenia otrzymały aktualizację OTA do zaufanego magazynu głównego, który zawierał nowy wymagany certyfikat główny. Nie trzeba było podejmować żadnych działań klienta w celu utrzymania komunikacji urządzenia z usługą zabezpieczeń.

Jak usługa Azure Sphere ułatwia klientom zmiany certyfikatów?

Wygaśnięcie certyfikatu jest częstą przyczyną awarii urządzeń IoT, których usługa Azure Sphere może zapobiec.

Ponieważ produkt Azure Sphere zawiera zarówno system operacyjny, jak i usługę zabezpieczeń, certyfikaty używane przez oba te składniki są zarządzane przez firmę Microsoft. Urządzenia otrzymują zaktualizowane certyfikaty za pośrednictwem procesu DAA, aktualizacji systemu operacyjnego i aplikacji oraz raportowania błędów bez konieczności wprowadzania zmian w aplikacjach. Po dodaniu przez firmę Microsoft certyfikatu Global Root G2 firmy DigiCert żadne zmiany klienta nie były wymagane do kontynuowania wprowadzania zmian w języku DAA, aktualizacji ani raportowania błędów. Urządzenia, które były w trybie offline w momencie aktualizacji, otrzymały aktualizację natychmiast po ponownym połączeniu z Internetem.

System operacyjny usługi Azure Sphere zawiera również bibliotekę usługi Azure IoT, więc jeśli firma Microsoft wprowadzi dalsze zmiany w certyfikatach używanych przez biblioteki usługi Azure IoT, zaktualizujemy bibliotekę w systemie operacyjnym, aby aplikacje nie musiały zostać zmienione. Poinformujemy Cię również za pośrednictwem dodatkowych wpisów w blogu dotyczących wszelkich przypadków brzegowych lub specjalnych okoliczności, które mogą wymagać modyfikacji aplikacji lub skryptów.

Oba te przypadki pokazują, jak usługa Azure Sphere upraszcza zarządzanie aplikacjami, usuwając potrzebę konserwacji aktualizacji aplikacji w celu obsługi zmian certyfikatów. Ponieważ każde urządzenie otrzymuje certyfikat aktualizacji w ramach codziennego zaświadczania, można łatwo zarządzać aktualizacją dowolnych certyfikatów zarządzanych lokalnie używanych przez urządzenia i aplikacje. Jeśli na przykład aplikacja weryfikuje tożsamość serwera biznesowego (tak jak powinno), możesz wdrożyć zaktualizowany pakiet obrazów aplikacji zawierający zaktualizowane certyfikaty. Usługi aktualizacji aplikacji udostępniane przez platformę Azure Sphere dostarczają te aktualizacje, usuwając obawy, że sama usługa aktualizacji spowoduje problem z wygaśnięciem certyfikatu.