Uso de certificado com o Azure Sphere

Artigo
06/18/2024

Este tópico fornece uma visão geral sobre o "paisagem" de certificados do Azure Sphere: os tipos de certificados que os vários componentes do Azure Sphere usam, de onde vêm, onde são armazenados, como são atualizados e como acessá-los quando necessário. Ele também descreve como o sistema operacional, o SDK e os serviços do Azure Sphere facilitam o gerenciamento de certificados para você. Assumimos que você tem uma familiaridade básica com as autoridades de certificação e a cadeia de confiança.

Dispositivos do Azure Sphere

Cada dispositivo do Azure Sphere depende do armazenamento Raiz Confiável, que faz parte do sistema operacional do Azure Sphere. O armazenamento raiz confiável contém uma lista de certificados raiz que são usados para validar a identidade do Serviço de Segurança do Azure Sphere quando o dispositivo se conecta para autenticação e atestado de dispositivo (DAA), atualização over-the-air (OTA) ou relatório de erros. Esses certificados são fornecidos com o sistema operacional.

Quando o atestado diário é bem-sucedido, o dispositivo recebe dois certificados: um certificado de atualização e um certificado de cliente. O certificado de atualização permite que o dispositivo se conecte ao Azure Sphere Update Service para obter atualizações de software e carregar relatórios de erros; ele não é acessível a aplicativos ou através da linha de comando. O certificado do cliente, às vezes chamado de certificado DAA, pode ser usado por aplicativos para se conectar a serviços de terceiros, como wolfSSL, que usam TLS (Transport Layer Security). Este certificado é válido por 24 horas. Os aplicativos podem recuperá-lo programaticamente chamando a função DeviceAuth_GetCertificatePath.

Os dispositivos que se conectam a serviços baseados no Azure, como o Hub IoT do Azure, o Azure IoT Central e o Azure IoT Edge, devem apresentar seu certificado de CA de catálogo do Azure Sphere para autenticar seu catálogo do Azure Sphere. O comando az sphere ca-certificate download na CLI retorna o certificado de CA de catálogo para tais usos.

Conexões de rede EAP-TLS

Os dispositivos que se conectam a uma rede EAP-TLS precisam de certificados para se autenticar com o servidor RADIUS da rede. Para autenticar como um cliente, o dispositivo deve passar um certificado de cliente para o RADIUS. Para executar a autenticação mútua, o dispositivo também deve ter um certificado de autoridade de certificação raiz para o servidor RADIUS para que ele possa autenticar o servidor. A Microsoft não fornece nenhum desses certificados; você ou o administrador da rede são responsáveis por determinar a autoridade de certificação correta para o servidor RADIUS da rede e, em seguida, adquirir os certificados necessários do emissor.

Para obter os certificados para o servidor RADIUS, você precisará autenticar na autoridade de certificação. Você pode usar o certificado DAA, conforme mencionado anteriormente, para essa finalidade. Depois de adquirir os certificados para o servidor RADIUS, você deve armazená-los no armazenamento de certificados do dispositivo. O armazenamento de certificados de dispositivo está disponível apenas para uso na autenticação em uma rede segura com EAP-TLS. (O certificado DAA não é mantido no armazenamento de certificados do dispositivo; ele é mantido com segurança no sistema operacional.) O comando az sphere device certificate na CLI permite gerenciar o repositório de certificados a partir da linha de comando. Os aplicativos do Azure Sphere podem usar a API CertStore para armazenar, recuperar e gerenciar certificados no repositório de certificados do dispositivo. A API CertStore também inclui funções para retornar informações sobre certificados individuais para que os aplicativos possam se preparar para a expiração e renovação de certificados.

Consulte Usar EAP-TLS para obter uma descrição completa dos certificados usados na rede EAP-TLS e consulte Acesso Wi-Fi corporativo seguro: EAP-TLS no Azure Sphere na Microsoft Tech Community para obter informações adicionais.

Aplicativos do Azure Sphere

Os aplicativos do Azure Sphere precisam de certificados para se autenticar em serviços Web e algumas redes. Dependendo dos requisitos do serviço ou ponto de extremidade, um aplicativo pode usar o certificado DAA ou um certificado de uma autoridade de certificação externa.

Os aplicativos que se conectam a um serviço de terceiros usando wolfSSL ou uma biblioteca semelhante podem chamar a função DeviceAuth_GetCertificatePath para obter o certificado DAA para autenticação. Essa função foi introduzida no cabeçalho deviceauth.h no SDK 20.10.

A biblioteca IoT do Azure incorporada ao Azure Sphere já confia na CA raiz necessária, portanto, os aplicativos que usam essa biblioteca para acessar os serviços IoT do Azure (Hub IoT do Azure, Azure IoT Central, serviço de provisionamento de dispositivo) não exigem certificados adicionais.

Se seus aplicativos usarem outros serviços do Azure, consulte a documentação desses serviços para determinar quais certificados são necessários.

Azure Sphere REST API

A API REST do Azure Sphere é um conjunto de pontos de extremidade de serviço que oferecem suporte a operações HTTP para criar e gerenciar recursos do Azure Sphere, como catálogos, produtos, implantações e grupos de dispositivos. A API REST do Azure Sphere usa o protocolo HTTP REST (REpresentational State Transfer) para enviar solicitações e respostas de operação. Os dados retornados na resposta da operação são formatados em JSON (JavaScript Object Notation). As operações disponíveis são documentadas na referência da API REST do Azure Sphere.

Serviço de Segurança do Azure Sphere

Os serviços de nuvem do Azure Sphere em geral e o Serviço de Segurança em particular, gerenciam vários certificados que são usados na comunicação segura de serviço a serviço. A maioria desses certificados é interna aos serviços e seus clientes, portanto, a Microsoft coordena as atualizações conforme necessário. Por exemplo, além de atualizar o certificado TLS da API Pública em outubro, o Serviço de Segurança do Azure Sphere também atualizou seus certificados TLS para o serviço DAA e o serviço de Atualização. Antes da atualização, os dispositivos recebiam uma atualização OTA para o armazenamento raiz confiável que incluía o novo certificado raiz necessário. Nenhuma ação do cliente foi necessária para manter a comunicação do dispositivo com o Serviço de Segurança.

Como o Azure Sphere facilita as alterações de certificado para os clientes?

A expiração do certificado é uma causa comum de falhas para dispositivos IoT que o Azure Sphere pode evitar.

Como o produto Azure Sphere inclui o sistema operacional e o Serviço de Segurança, os certificados usados por ambos os componentes são gerenciados pela Microsoft. Os dispositivos recebem certificados atualizados por meio do processo DAA, atualizações do sistema operacional e do aplicativo e relatórios de erros sem exigir alterações nos aplicativos. Quando a Microsoft adicionou o certificado DigiCert Global Root G2, nenhuma alteração do cliente foi necessária para continuar o DAA, as atualizações ou o relatório de erros. Os dispositivos que estavam offline no momento da atualização receberam a atualização assim que se reconectaram à Internet.

O sistema operacional Azure Sphere também inclui a biblioteca do Azure IoT, portanto, se a Microsoft fizer mais alterações nos certificados que as bibliotecas do Azure IoT usam, atualizaremos a biblioteca no sistema operacional para que seus aplicativos não precisem ser alterados. Também informaremos você por meio de postagens de blog adicionais sobre quaisquer casos de borda ou circunstâncias especiais que possam exigir modificações em seus aplicativos ou scripts.

Ambos os casos mostram como o Azure Sphere simplifica o gerenciamento de aplicativos, eliminando a necessidade de atualizações de manutenção de aplicativos para lidar com alterações de certificado. Como cada dispositivo recebe um certificado de atualização como parte de seu atestado diário, você pode gerenciar facilmente a atualização de quaisquer certificados gerenciados localmente que seus dispositivos e aplicativos usam. Por exemplo, se o aplicativo validar a identidade do servidor de linha de negócios (como deveria), você poderá implantar um pacote de imagem de aplicativo atualizado que inclua certificados atualizados. Os serviços de atualização de aplicativo fornecidos pela plataforma Azure Sphere fornecem essas atualizações, removendo a preocupação de que o próprio serviço de atualização incorra em um problema de expiração de certificado.