Uso de certificado com o Azure Sphere

Artigo
09/27/2024

Importante

Esta é a documentação do Azure Sphere (herdado). O Azure Sphere (herdado) será desativado em 27 de setembro de 2027 e os usuários devem migrar para o Azure Sphere (integrado) até esse momento. Use o seletor de versão localizado acima do sumário para exibir a documentação do Azure Sphere (Integrado).

Este tópico fornece uma visão geral sobre o "cenário" de certificados do Azure Sphere: os tipos de certificados que os vários componentes do Azure Sphere usam, de onde vêm, onde estão armazenados, como são atualizados e como acessá-los quando necessário. Ele também descreve como o sistema operacional, o SDK e os serviços do Azure Sphere facilitam o gerenciamento de certificados para você. Presumimos que você tenha uma familiaridade básica com as autoridades de certificação e a cadeia de confiança.

Dispositivos do Azure Sphere

Cada dispositivo do Azure Sphere depende do repositório raiz confiável, que faz parte do sistema operacional do Azure Sphere. O repositório raiz confiável contém uma lista de certificados raiz que são usados para validar a identidade do Serviço de Segurança do Azure Sphere quando o dispositivo se conecta para autenticação e atestado de dispositivo (DAA), atualização OTA (over-the-air) ou relatório de erros. Esses certificados são fornecidos com o sistema operacional.

Quando o atestado diário é bem-sucedido, o dispositivo recebe dois certificados: um certificado de atualização e um certificado de cliente. O certificado de atualização permite que o dispositivo se conecte ao Serviço de Atualização do Azure Sphere para obter atualizações de software e carregar relatórios de erros; não é acessível a aplicativos ou por meio da linha de comando. O certificado do cliente, às vezes chamado de certificado DAA, pode ser usado por aplicativos para se conectar a serviços de terceiros, como wolfSSL, que usam TLS (Transport Layer Security). Este certificado é válido por 24 horas. Os aplicativos podem recuperá-lo programaticamente chamando a função DeviceAuth_GetCertificatePath.

Os dispositivos que se conectam a serviços baseados no Azure, como Hub IoT do Azure, Azure IoT Central e Azure IoT Edge, devem apresentar seu certificado de AC do locatário do Azure Sphere para autenticar seu locatário do Azure Sphere. O comando azsphere ca-certificate download na CLI retorna o certificado de autoridade de certificação do locatário para esses usos.

Conexões de rede EAP-TLS

Os dispositivos que se conectam a uma rede EAP-TLS precisam de certificados para se autenticar com o servidor RADIUS da rede. Para autenticar como cliente, o dispositivo deve passar um certificado de cliente para o RADIUS. Para executar a autenticação mútua, o dispositivo também deve ter um certificado de autoridade de certificação raiz para o servidor RADIUS para que ele possa autenticar o servidor. A Microsoft não fornece nenhum desses certificados; você ou o administrador da rede são responsáveis por determinar a autoridade de certificação correta para o servidor RADIUS da rede e, em seguida, adquirir os certificados necessários do emissor.

Para obter os certificados para o servidor RADIUS, você precisará se autenticar na autoridade de certificação. Você pode usar o certificado DAA, conforme mencionado anteriormente, para essa finalidade. Depois de adquirir os certificados para o servidor RADIUS, você deve armazená-los no repositório de certificados do dispositivo. O repositório de certificados do dispositivo está disponível apenas para uso na autenticação em uma rede segura com EAP-TLS. (O certificado DAA não é mantido no repositório de certificados do dispositivo; ele é mantido com segurança no sistema operacional.) O comando azsphere device certificate na CLI permite gerenciar o repositório de certificados na linha de comando. Os aplicativos do Azure Sphere podem usar a API CertStore para armazenar, recuperar e gerenciar certificados no repositório de certificados do dispositivo. A API CertStore também inclui funções para retornar informações sobre certificados individuais para que os aplicativos possam se preparar para a expiração e renovação do certificado.

Consulte Usar EAP-TLS para obter uma descrição completa dos certificados usados na rede EAP-TLS e consulte Proteger o acesso Wi-Fi corporativo: EAP-TLS no Azure Sphere na Microsoft Tech Community para obter informações adicionais.

Aplicativos do Azure Sphere

Os aplicativos do Azure Sphere precisam de certificados para se autenticar em serviços Web e em algumas redes. Dependendo dos requisitos do serviço ou endpoint, um aplicativo pode usar o certificado DAA ou um certificado de uma autoridade de certificação externa.

Os aplicativos que se conectam a um serviço de terceiros usando wolfSSL ou uma biblioteca semelhante podem chamar a função DeviceAuth_GetCertificatePath para obter o certificado DAA para autenticação. Essa função foi introduzida no cabeçalho deviceauth.h no SDK 20.10.

A biblioteca do Azure IoT integrada ao Azure Sphere já confia na autoridade de certificação raiz necessária, portanto, os aplicativos que usam essa biblioteca para acessar os serviços do Azure IoT (Hub IoT do Azure, Azure IoT Central, serviço de provisionamento de dispositivos) não exigem certificados adicionais.

Se seus aplicativos usarem outros serviços do Azure, verifique a documentação desses serviços para determinar quais certificados são necessários.

API pública do Azure Sphere

A API Pública do Azure Sphere (PAPI) se comunica com o Serviço de Segurança do Azure Sphere para solicitar e recuperar informações sobre dispositivos implantados. O Serviço de Segurança usa um certificado TLS para autenticar essas conexões. Isso significa que qualquer código ou script que use a API Pública, juntamente com quaisquer outros clientes do Serviço de Segurança, como o SDK do Azure Sphere (incluindo a CLI clássica do Azure Sphere e a CLI do Azure Sphere), deve confiar nesse certificado para poder se conectar ao Serviço de Segurança. O SDK usa os certificados no repositório de certificados do sistema do computador host para validação do Serviço de Segurança do Azure Sphere, assim como muitos aplicativos de API pública.

Em 13 de outubro de 2020, o Serviço de Segurança atualizou seu certificado TLS da API pública para um emitido a partir do certificado DigiCert Global Root G2. Os sistemas Windows e Linux incluem o certificado DigiCert Global Root G2, portanto, o certificado necessário está prontamente disponível. No entanto, como descrevemos em uma postagem anterior no blog, apenas os cenários do cliente que envolviam a fixação de assunto, nome ou emissor (SNI) exigiam alterações para acomodar essa atualização.

Serviço de Segurança do Azure Sphere

Os serviços de nuvem do Azure Sphere em geral, e o Serviço de Segurança em particular, gerenciam vários certificados que são usados na comunicação segura de serviço a serviço. A maioria desses certificados é interna aos serviços e seus clientes, portanto, a Microsoft coordena as atualizações conforme necessário. Por exemplo, além de atualizar o certificado TLS da API pública em outubro, o Serviço de Segurança do Azure Sphere também atualizou seus certificados TLS para o serviço DAA e o serviço Update. Antes da atualização, os dispositivos recebiam uma atualização OTA para o repositório raiz confiável que incluía o novo certificado raiz necessário. Nenhuma ação do cliente foi necessária para manter a comunicação do dispositivo com o Serviço de Segurança.

Como o Azure Sphere facilita as alterações de certificado para os clientes?

A expiração do certificado é uma causa comum de falhas para dispositivos IoT que o Azure Sphere pode evitar.

Como o produto do Azure Sphere inclui o sistema operacional e o Serviço de Segurança, os certificados usados por ambos os componentes são gerenciados pela Microsoft. Os dispositivos recebem certificados atualizados por meio do processo DAA, atualizações do sistema operacional e do aplicativo e relatórios de erros sem exigir alterações nos aplicativos. Quando a Microsoft adicionou o certificado DigiCert Global Root G2, nenhuma alteração do cliente foi necessária para continuar o DAA, as atualizações ou o relatório de erros. Os dispositivos que estavam offline no momento da atualização receberam a atualização assim que se reconectaram à Internet.

O sistema operacional do Azure Sphere também inclui a biblioteca do Azure IoT, portanto, se a Microsoft fizer mais alterações nos certificados que as bibliotecas do Azure IoT usam, atualizaremos a biblioteca no sistema operacional para que seus aplicativos não precisem ser alterados. Também informaremos você por meio de postagens de blog adicionais sobre quaisquer casos extremos ou circunstâncias especiais que possam exigir modificações em seus aplicativos ou scripts.

Ambos os casos mostram como o Azure Sphere simplifica o gerenciamento de aplicativos, removendo a necessidade de atualizações de manutenção de aplicativos para lidar com alterações de certificado. Como cada dispositivo recebe um certificado de atualização como parte de seu atestado diário, você pode gerenciar facilmente a atualização de todos os certificados gerenciados localmente que seus dispositivos e aplicativos usam. Por exemplo, se o aplicativo validar a identidade do servidor de linha de negócios (como deveria), você poderá implantar um pacote de imagem de aplicativo atualizado que inclua certificados atualizados. Os serviços de atualização de aplicativo fornecidos pela plataforma do Azure Sphere fornecem essas atualizações, eliminando a preocupação de que o próprio serviço de atualização incorra em um problema de expiração de certificado.