Konfigurera ca-certifikat för klientorganisation för molntjänster
Viktigt!
Det här är dokumentationen om Azure Sphere (Legacy). Azure Sphere (Legacy) upphör den 27 september 2027 och användarna måste migrera till Azure Sphere (integrerad) vid den här tiden. Använd versionsväljaren ovanför TOC för att visa dokumentationen om Azure Sphere (integrerad).
Ett ca-certifikat för klientorganisation utfärdas av Azure Sphere Security Service när en klientorganisation skapas. Varje klientcertifikatutfärdarcertifikat har en livslängd på två år och startdatum och slutdatum registreras i certifikatet.
När enheten ansluter till Azure IoT Hub, Azure IoT Central eller en serverdelstjänst måste tjänsten kunna verifiera att enheten tillhör din Azure Sphere-klientorganisation och att själva klientorganisationen är legitim. För att utföra den här autentiseringen kräver tjänsten en giltig certifikatkedja för Azure Sphere-klientcertifikat som används för att signera certifikat som enheterna tar emot som en del av den dagliga attesteringen och autentiseringen. Mer information finns i Certifikatanvändning med Azure Sphere.
När en klientorganisations aktuella CA-certifikat är nära förfallodatum utfärdas ett nytt ca-certifikat för klientorganisationen automatiskt cirka 90 dagar innan certifikatet upphör att gälla.
Du måste konfigurera Azure IoT-hanterade tjänster eller serverdelstjänsten för att lita på båda klientcertifikatutfärdarcertifikaten. Om båda certifikaten är betrodda kan tjänsten använda det nya certifikatet så snart det blir giltigt och därmed förhindra avbrott i kommunikationen när Azure Sphere Security Service växlar över till att använda det nya klientcertifikatutfärdarcertifikatet.
Tillhandahålla ca-certifikat för klientorganisation till molntjänster
Processen för att konfigurera en molntjänst för att lita på klientcertifikatutfärdarcertifikatet omfattar:
- Steg 1: Lista och identifiera ca-certifikat för klientorganisation
- Steg 2: Ladda ned ca-certifikat för klientorganisation
- Steg 3: Ladda upp ca-certifikatet för klientorganisationen och generera verifieringskoden
- Steg 4: Verifiera klientorganisationens identitet
Steg 1: Lista och identifiera ca-certifikat för klientorganisation
Kör azsphere ca-certificate list för att hämta en lista över tillgängliga certifikat för den aktuella klientorganisationen.
När det aktuella certifikatet ska förnyas genererar Azure Sphere Security Service automatiskt nästa certifikat, som visas tillsammans med det aktuella (aktiva) certifikatet.
I listan över certifikat visas statusen för det aktuella ca-certifikatet för klientorganisationen som Aktiv och statusen för de andra certifikaten visas som Inaktiv.
Följande tabell innehåller information om statusen för certifikaten:
| Status | beskrivning |
|---|---|
| Aktiv | Det aktuella ca-certifikatet för klientorganisationen. |
| Inaktiv | Statusen kan betyda något av följande: Nytt ca-certifikat för klientorganisation: Ett nytt ca-certifikat för klientorganisation utfärdas när det aktuella ca-certifikatet för klientorganisationen är nära förfallodatum. Statusen för det nya certifikatet visas som inaktiv i cirka 45 dagar efter att det har utfärdats. Tillbakadraget certifikat: Giltighetsperioden för det aktuella aktiva certifikatet och utgångna certifikat överlappar för att undvika avbrott eller förlust av anslutning när certifikaten växlas. När statusen för det nya certifikatet ändras till aktiv ändras statusen för det gamla certifikatet till inaktiv. Certifikatet har upphört att gälla: Status för certifikatet som har upphört att gälla. |
| Återkallas | Ett ej betrott certifikat. |
Steg 2: Ladda ned ca-certifikat för klientorganisation
Kör azsphere ca-certificate download för att ladda ned det certifikat som krävs som en .cer-fil.
Exempel för att ange index för att ladda ned ett obligatoriskt certifikat:
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
Exempel för att ange tumavtryck för att ladda ned ett obligatoriskt certifikat:
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
Kommentar
Se till att du anger antingen --index eller --thumbprint för att ladda ned det nödvändiga certifikatet. Om index eller tumavtryck inte anges hämtas det aktiva certifikatet som standard.
Steg 3: Ladda upp ca-certifikat för klientorganisation och generera verifieringskod
För Azure IoT-hanterade tjänster laddar du upp ca-certifikatet för klientorganisationen till Azure IoT Hub
eller Azure IoT Central.
Om du använder en serverdelstjänst kan du läsa dokumentationen som tillhandahålls av tjänsten.
Steg 4: Verifiera klientorganisationens identitet
För Azure IoT-hanterade tjänster är registrering en tvåstegsprocess. Det första steget är att ladda upp det nya klientcertifikatutfärdarcertifikatet i Azure IoT. Ca-certifikatet för den uppladdade klientorganisationen måste verifieras för att bevisa ägarskapet för Azure Sphere-klientorganisationen. I nästa steg tillhandahåller Azure Sphere Security Service ett bevis på innehav. När certifikatet för innehavsbevis har laddats upp till Azure IoT är processen för registrering av certifikat slutförd. Mer information om hur du verifierar ca-certifikatet för klientorganisation finns i Konfigurera en Azure IoT Hub eller Konfigurera Azure IoT Central.
Om du använder en serverdelstjänst kan du läsa dokumentationen som tillhandahålls av tjänsten. Mer information finns i Konfigurera en Azure IoT Hub eller Konfigurera en Azure IoT Hub för Azure Sphere med device provisioning-tjänsten.
Tidslinje för förnyelse av ca-certifikat för klientorganisation
När ett ca-certifikat för klientorganisationen snart upphör att gälla initieras förnyelseproceduren automatiskt av Azure Sphere Security Service.
Följande bild visar faserna för certifikatförnyelse:
| Bildtext | Fas |
|---|---|
| 1 | Det aktuella klientcertifikatutfärdarcertifikatet (certifikat A) är giltigt i två år och har markerats som Aktivt. |
| 2 | Förnyelseprocessen startar cirka 90 dagar innan certifikat A upphör att gälla. Ett nytt klientcertifikatutfärdarcertifikat (certifikat B) skapas och markeras som Inaktivt. Certifikat B är nu tillgängligt för nedladdning, men certifikat A förblir aktivt certifikat i cirka 45 dagar. Du måste vidta åtgärder inom 45-dagarsperioden så att dina enheter fortsätter att autentiseras till dina molntjänster korrekt. |
| 3 | Certifikat B blir det aktiva certifikatet cirka 45 dagar efter att det har utfärdats. I det här skedet markeras certifikat A som Inaktivt och certifikat B blir det aktiva certifikatet. Certifikat B används för att identifiera och autentisera dina enheter. Kontrollera att dina molntjänster har konfigurerats med både certifikat A och certifikat B för korrekt åtgärd. |
| 4 | Certifikat A har upphört att gälla. Nu kan du ta bort certifikat A från dina molntjänster. |
| 5 | Certifikat B är giltigt i två år. |
Dricks
Datumen i bilden tillhandahålls endast som illustration och varierar från kund till kund.
Du kan behöva distribuera certifikat för att hantera certifikatets giltighetstid. Mer information om rullande certifikat finns i Azure IoT-hanterade tjänster eller i dokumentationen som tillhandahålls av den serverdelstjänst du föredrar.