Configurar certificados de AC de locatário para serviços de nuvem
Um certificado de AC de locatário é emitido pelo Serviço de Segurança do Azure Sphere quando um locatário é criado. Cada certificado de AC de locatário tem um tempo de vida de dois anos e a data de início e a data de término são capturadas no certificado.
Quando o dispositivo se conecta ao Hub IoT do Azure, ao Azure IoT Central ou a um serviço de back-end, o serviço deve ser capaz de verificar se o dispositivo pertence ao locatário do Azure Sphere e se o locatário em si é legítimo. Para executar essa autenticação, o serviço requer uma cadeia válida de certificados de AC de locatário do Azure Sphere que é usada para assinar certificados que os dispositivos recebem como parte do atestado diário e autenticação. Para obter mais informações, consulte Uso de certificado com o Azure Sphere.
Quando o certificado de AC atual de um locatário está perto da expiração, um novo certificado de AC de locatário é emitido automaticamente aproximadamente 90 dias antes do certificado expirar.
Você deve configurar os serviços gerenciados do Azure IoT ou o serviço de back-end para confiar em ambos os certificados de AC de locatário. Se ambos os certificados forem confiáveis, o serviço poderá usar o novo certificado assim que ele se tornar válido e, assim, impedir a interrupção das comunicações quando o Serviço de Segurança do Azure Sphere mudar para o uso do novo certificado de AC de locatário.
Fornecer certificado de AC de locatário para serviços de nuvem
O processo de configurar um serviço de nuvem para confiar no certificado de AC do locatário envolve:
- Etapa 1: Listar e identificar certificados de AC de locatário
- Etapa 2: Baixar certificado de AC do locatário
- Etapa 3: Carregar certificado de AC do locatário e gerar o código de verificação
- Etapa 4: verificar a identidade do locatário
Etapa 1: Listar e identificar certificados de AC de locatário
Execute azsphere ca-certificate list para obter uma lista de certificados disponíveis para o locatário atual.
Quando o certificado atual deve ser renovado, o Serviço de Segurança do Azure Sphere gera automaticamente o próximo certificado, que é exibido junto com o certificado atual (ativo).
Na lista de certificados, o status do certificado de AC de locatário atual é exibido como Ativo e o status dos outros certificados é exibido como Inativo.
A tabela a seguir fornece detalhes do status para os certificados:
| Status | Descrição |
|---|---|
| Ativo | O certificado de AC do locatário atual. |
| Inativo | O status pode significar qualquer um dos seguintes procedimentos: Novo certificado de AC de locatário: um novo certificado de AC de locatário é emitido quando o certificado de AC do locatário atual está perto da expiração. O status do novo certificado é exibido como inativo por aproximadamente 45 dias após a emissão. Certificado aposentado: o período de validade para o certificado ativo atual e a sobreposição de certificado expirando para evitar interrupção ou perda de conectividade, quando os certificados são alternados. Quando o status do novo certificado é alterado para ativo, o status do certificado antigo muda para inativo. Certificado expirado: o status do certificado que expirou. |
| Revogada | Um certificado não confiável. |
Etapa 2: Baixar certificado de AC do locatário
Execute o download do certificado de ac do azsphere para baixar o certificado necessário como um arquivo '.cer'.
Exemplo para especificar o índice para baixar um certificado necessário:
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
Exemplo para especificar a impressão digital para baixar um certificado necessário:
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
Nota
Verifique se você fornece o --index ou --thumbprint para baixar o certificado necessário. Se o índice ou a impressão digital não for fornecido, o certificado ativo será baixado por padrão.
Etapa 3: Carregar certificado de AC do locatário e gerar código de verificação
Para serviços gerenciados do Azure IoT, carregue o certificado de AC do locatário para Hub IoT do Azure
Se você estiver usando um serviço de back-end, consulte a documentação fornecida pelo serviço.
Etapa 4: verificar a identidade do locatário
Para serviços gerenciados do Azure IoT, o registro é um processo de duas etapas. A primeira etapa é carregar o novo certificado de AC de locatário no Azure IoT. O certificado de AC do locatário carregado deve ser verificado para provar a propriedade do locatário do Azure Sphere. Na próxima etapa, o Serviço de Segurança do Azure Sphere fornece um certificado de prova de posse. Depois que o certificado de prova de posse for carregado no Azure IoT, o processo de registro de certificado será concluído. Para obter mais informações sobre como verificar o certificado de AC do locatário, consulte Configurar um Hub IoT do Azure ou Configurar o Azure IoT Central.
Se você estiver usando um serviço de back-end, consulte a documentação fornecida pelo serviço. Para obter mais informações, consulte Configurar um Hub IoT do Azure ou Configurar um Hub IoT do Azure para o Azure Sphere com o Serviço de Provisionamento de Dispositivos.
Linha do tempo para renovação de certificado de ac de locatário
Quando um certificado de AC de locatário está prestes a expirar, o procedimento de renovação é iniciado automaticamente pelo Serviço de Segurança do Azure Sphere.
A ilustração a seguir mostra os estágios da renovação do certificado:
| Texto explicativo | Palco |
|---|---|
| 1 | O certificado de AC do locatário atual (Certificado A) é válido por dois anos e é marcado como Ativo. |
| 2 | O processo de renovação começa aproximadamente 90 dias antes do certificado A expirar. Um novo certificado de AC de locatário (Certificado B) é criado e marcado como Inativo. Neste ponto, o Certificado B está disponível para download, mas o Certificado A permanece como o certificado Ativo por aproximadamente 45 dias. Você deve agir dentro do período de 45 dias para que seus dispositivos continuem se autenticando corretamente em seus serviços de nuvem. |
| 3 | O certificado B torna-se o certificado ativo aproximadamente 45 dias após a emissão. Nesta fase, o Certificado A é marcado como Inativo e o Certificado B se torna o certificado Ativo . O certificado B será usado para reconhecer e autenticar seus dispositivos. Verifique se os serviços de nuvem estão configurados com o Certificado A e o Certificado B para a operação correta. |
| 4 | O certificado A expirou. Agora você pode remover o Certificado A de seus serviços de nuvem. |
| 5 | O certificado B é válido por dois anos. |
Ponta
As datas na imagem são fornecidas apenas para ilustração e variam de cliente para cliente.
Talvez seja necessário rolar certificados para lidar com a expiração do certificado. Para obter mais informações sobre certificados de rolagem, consulte Serviços gerenciados do Azure IoT ou consulte a documentação fornecida pelo serviço de back-end preferencial.