Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Um certificado de autoridade de certificação de catálogo é emitido pelo Serviço de Segurança do Azure Sphere quando um catálogo é criado. Cada certificado CA de catálogo tem uma vida útil de dois anos e a data de início e a data de término são capturadas no certificado.
Quando o dispositivo se conecta ao Hub IoT do Azure, ao Azure IoT Central ou a um serviço de back-end, o serviço deve ser capaz de verificar se o dispositivo pertence ao catálogo do Azure Sphere e se o catálogo em si é legítimo. Para executar essa autenticação, o serviço requer uma cadeia de certificados de autoridade de certificação válida do catálogo do Azure Sphere que é usada para assinar certificados que os dispositivos recebem como parte do atestado e da autenticação diários. Para obter mais informações, consulte Uso do certificado com o Azure Sphere.
Quando o certificado de autoridade de certificação atual de um catálogo está próximo da expiração, um novo certificado de autoridade de certificação de catálogo é emitido automaticamente aproximadamente 90 dias antes da expiração do certificado.
Você deve configurar os serviços gerenciados do Azure IoT ou o serviço de back-end para confiar em ambos os certificados de autoridade de certificação do catálogo. Se ambos os certificados forem confiáveis, o serviço poderá usar o novo certificado assim que ele se tornar válido e, assim, evitar a interrupção das comunicações quando o Serviço de Segurança do Azure Sphere alternar para o uso do novo certificado de autoridade de certificação do catálogo.
Fornecer certificado de autoridade de certificação de catálogo para serviços em nuvem
O processo de configuração de um serviço de nuvem para confiar no certificado de autoridade de certificação do catálogo envolve:
- Etapa 1: Listar e identificar certificados de CA de catálogo
- Etapa 2: baixar o certificado CA do catálogo
- Etapa 3: carregar o certificado CA do catálogo e gerar o código de verificação
- Etapa 4: Verificar a identidade do catálogo
Etapa 1: Listar e identificar certificados de CA de catálogo
Execute az sphere ca-certificate list para obter uma lista de certificados disponíveis para o catálogo atual.
Quando o certificado atual deve ser renovado, o Serviço de Segurança do Azure Sphere gera automaticamente o próximo certificado, que é exibido junto com o certificado atual (ativo).
Na lista de certificados, o status do certificado CA do catálogo atual é exibido como Ativo e o status dos outros certificados é exibido como Inativo.
A tabela a seguir fornece detalhes do status dos certificados:
| Situação | Descrição |
|---|---|
| Ativo | O certificado CA do catálogo atual. |
| Inativo | O status pode significar qualquer um dos seguintes: Novo certificado de CA de catálogo: um novo certificado de CA de catálogo é emitido quando o certificado de CA de catálogo atual está próximo da expiração. O status do novo certificado é exibido como inativo por aproximadamente 45 dias após sua emissão. Certificado desativado: o período de validade do certificado ativo atual e do certificado expirado se sobrepõe para evitar interrupção ou perda de conectividade, quando os certificados são alternados. Quando o status do novo certificado muda para ativo, o status do certificado antigo muda para inativo. Certificado expirado: o status do certificado que expirou. |
| Revogado | Um certificado não confiável. |
Etapa 2: baixar o certificado CA do catálogo
Execute az sphere ca-certificate download para baixar um certificado válido como um arquivo '.cer'.
az sphere ca-certificate download --output-file ca-cert.cer --serial-number `<value>`
Observação
Se --serial-number não for fornecido, o certificado ativo será baixado por padrão.
Etapa 3: carregar o certificado CA do catálogo e gerar o código de verificação
Para serviços gerenciados do Azure IoT, carregue o certificado de autoridade de certificação do catálogo no Hub IoT do Azure
Se você estiver usando um serviço de back-end, consulte a documentação fornecida pelo serviço.
Etapa 4: Verificar a identidade do catálogo
Para os serviços gerenciados do Azure IoT, o registro é um processo de duas etapas. A primeira etapa é carregar o novo certificado de autoridade de certificação do catálogo no Azure IoT. O certificado de autoridade de certificação do catálogo carregado deve ser verificado para provar a propriedade do catálogo do Azure Sphere. Na próxima etapa, o Serviço de Segurança do Azure Sphere fornece um certificado de prova de posse. Depois que o certificado de prova de posse é carregado no Azure IoT, o processo de registro do certificado é concluído. Para obter mais informações sobre como verificar o certificado de autoridade de certificação do catálogo, consulte Configurar um Hub IoT do Azure ou Configurar o Azure IoT Central.
Se você estiver usando um serviço de back-end, consulte a documentação fornecida pelo serviço. Para obter mais informações, consulte Configurar um Hub IoT do Azure ou Configurar um Hub IoT do Azure para o Azure Sphere com o Serviço de Provisionamento de Dispositivos.
Linha do tempo para renovação do certificado de autoridade de certificação do catálogo
Quando um certificado de autoridade de certificação de catálogo está prestes a expirar, o procedimento de renovação é iniciado automaticamente pelo Serviço de Segurança do Azure Sphere.
A ilustração a seguir mostra os estágios de renovação do certificado:
| Balão | Estágio |
|---|---|
| 1 | O certificado CA de catálogo atual (Certificado A) é válido por 2 anos e está marcado como Ativo. |
| 2 | O processo de renovação começa aproximadamente 90 dias antes do Certificado A expirar. Um novo certificado de CA de catálogo (Certificado B) é criado e marcado como Inativo. Neste ponto, o Certificado B está disponível para download, mas o Certificado A permanece como o certificado ativo por aproximadamente 45 dias. Você deve agir dentro do período de 45 dias para que seus dispositivos continuem a se autenticar corretamente em seus serviços de nuvem. |
| 3 | O certificado B torna-se o certificado ativo aproximadamente 45 dias após ter sido emitido. Nesse estágio, o Certificado A é marcado como Inativo e o Certificado B se torna o certificado Ativo . O certificado B será usado para reconhecer e autenticar seus dispositivos. Certifique-se de que seus serviços de nuvem estejam configurados com o Certificado A e o Certificado B para operação correta. |
| 4 | O certificado A expirou. Agora você pode remover o Certificado A de seus serviços em nuvem. |
| 5 | O certificado B é válido por 2 anos. |
Dica
As datas na imagem são fornecidas apenas para ilustração e variam de cliente para cliente.
Talvez seja necessário rolar certificados para lidar com a expiração do certificado. Para obter mais informações sobre certificados sem interrupção, consulte Serviços gerenciados do Azure IoT ou consulte a documentação fornecida pelo serviço de back-end de sua preferência.
Você também pode monitorar a data de expiração do certificado usando o Azure Monitor.