Развертывание сертификатов X.509 с помощью Службы подготовки устройств
Проверенный сертификат центра сертификации X.509 — это сертификат ЦС, который был отправлен и зарегистрирован в службу подготовки, а затем проверен автоматически или через подтверждение владения службой.
Проверенные сертификаты играют важную роль при использовании групп регистрации. Проверка владельца сертификата повышает уровень защиты. Она подтверждает, что отправитель сертификата является владельцем его закрытого ключа. Проверка не позволяет вредоносному субъекту, который сканирует ваш трафик, извлечь промежуточный сертификат и использовать его для создания группы регистрации в собственной службе подготовки, эффективно используя ваши устройства. Подтверждая права владельца корневого или промежуточного сертификата в цепочке сертификатов, вы подтверждаете, что имеете разрешения на создание конечных сертификатов для устройств, которые будут зарегистрированы как часть группы регистрации. Поэтому корневой или промежуточный сертификат, настроенный в группе регистрации, должен быть проверенным или относится к проверенному сертификату в цепочке сертификатов, которую предоставляет устройство при выполнении проверки подлинности в службе. Дополнительные сведения о аттестации сертификатов X.509 см. в разделе сертификатов X.509.
Необходимые компоненты
Перед началом действий, описанных в этой статье, необходимо подготовить следующие предварительные требования:
- Экземпляр DPS, созданный в подписке Azure.
- Файл сертификата .cer или PEM.
Автоматическая проверка промежуточного или корневого ЦС с помощью самостоятельной аттестации
Если вы используете промежуточный или корневой ЦС, которому вы доверяете, и знаете, что у вас есть полное владение сертификатом, вы можете самостоятельно проверить сертификат.
Чтобы добавить автоматически проверенный сертификат, сделайте следующее:
В портал Azure перейдите в службу подготовки и выберите "Сертификаты" в меню слева.
Выберите Добавить, чтобы добавить новый сертификат.
Введите понятное отображаемое имя для сертификата.
Перейдите к CER- или PEM-файлу, который соответствует открытой части сертификата X.509. Нажмите кнопку Отправить.
Установите флажок Задать для параметра "Состояние сертификата" значение "проверено при передаче".
Выберите Сохранить.
Сертификат появится на вкладке сертификатов с состоянием Проверено.
Проверка промежуточного или корневого ЦС вручную
Автоматическая проверка рекомендуется при отправке новых промежуточных или корневых сертификатов ЦС в DPS. Тем не менее, вы по-прежнему можете выполнить подтверждение владения, если это имеет смысл для вашего сценария Интернета вещей.
Подтверждение владения сертификатом предусматривает указанные ниже действия:
- Получение уникального кода проверки, созданного службой подготовки для сертификата ЦС X.509. Это можно сделать на портале Azure.
- Создание сертификата проверки X.509 с кодом проверки в качестве субъекта и подписывание сертификата с закрытым ключом, связанным с сертификатом ЦС X.509.
- Передача подписанного сертификата проверки в службу. Служба проверяет сертификат проверки, используя открытую часть сертификата ЦС. Это подтверждает, что вы владеете закрытым ключом сертификата ЦС.
Регистрация открытой части сертификата X.509 и получение кода проверки
Чтобы зарегистрировать сертификат ЦС в службе подготовки и получить код проверки, который можно использовать во время подтверждения владения, выполните следующие действия.
На портале Azure перейдите к службе подготовки и откройте колонку Сертификаты в меню слева.
Выберите Добавить, чтобы добавить новый сертификат.
Введите понятное отображаемое имя сертификата в поле "Имя сертификата".
Щелкните значок папки, а затем перейдите к .cer или PEM-файлу, представляющего общедоступную часть сертификата X.509. Выберите Открыть.
После успешной отправки сертификата нажмите кнопку "Сохранить".
Вы увидите свой сертификат в списке обозревателя сертификатов. Обратите внимание, что состояние этого сертификата является непроверенным.
Выберите сертификат, добавленный на предыдущем шаге, чтобы открыть его сведения.
В сведениях о сертификате обратите внимание, что есть пустое поле кода проверки. Нажмите кнопку "Создать код проверки".
Служба подготовки создает код проверки, который можно использовать для проверки владения сертификатом. Скопируйте код в буфер обмена.
Цифровая подпись кода проверки для создания сертификата проверки
Теперь необходимо подписать код проверки из DPS с закрытым ключом, связанным с сертификатом ЦС X.509, который создает подпись. Этот шаг называется подтверждением владения и приводит к подписанию сертификата проверки.
Корпорация Майкрософт предоставляет средства и примеры, которые помогут вам создать подписанный сертификат проверки.
- Пакет SDK для устройства C Azure IoT предоставляет скрипты PowerShell (Windows) и Bash (Linux), которые помогут вам создать сертификаты ЦС и конечные сертификаты для разработки и выполнения проверки принадлежности с помощью кода проверки. Вы можете загрузить файлы, связанные с вашей системой, в рабочую папку, затем следуйте инструкциям статьи Managing CA Certificates Sample (Пример управления сертификатами ЦС), чтобы подтвердить владение сертификатами ЦС.
- Пакет SDK для C# Центр Интернета вещей Azure содержит пример проверки сертификата группы, который можно использовать для проверки владения.
Скрипты PowerShell и Bash, описанные в документации, и пакеты SDK используют OpenSSL. Вы также можете использовать OpenSSL или другие сторонние средства для подтверждения владением. Пример с использованием инструментария, предоставляемого с пакетами SDK, см. в разделе Создание цепочки сертификатов X. 509.
Передача подписанного сертификата проверки
Отправьте полученную подпись в качестве сертификата проверки в службу подготовки в портал Azure.
В сведениях о сертификате портал Azure, из которого вы скопировали код проверки, щелкните значок папки рядом с полем pem или .cer файла. Перейдите к подписанному сертификату проверки из системы и нажмите кнопку "Открыть".
После успешной отправки сертификата нажмите кнопку "Проверить". Состояние сертификата изменяется на "Проверено" в списке сертификатов. Выберите "Обновить", если он не обновляется автоматически.
Следующие шаги
- Дополнительные сведения о создании группы регистрации на портале см. в статье Как управлять регистрацией устройств с помощью портала Azure.
- Дополнительные сведения о создании группы регистрации с помощью пакетов SDK для служб см. в статье Как управлять регистрациями устройств с помощью пакетов SDK службы подготовки устройств Azure.