Dela via

Så här verifierar du X.509 CA-certifikat med enhetsetableringstjänsten

  • Artikel

Ett verifierat certifikatutfärdarcertifikat för X.509 (CA) är ett CA-certifikat som har laddats upp och registrerats till din etableringstjänst och sedan verifierats, antingen automatiskt eller via innehavsbevis med tjänsten.

Verifierade certifikat spelar en viktig roll när du använder registreringsgrupper. Att verifiera certifikatägarskapet ger ytterligare ett säkerhetslager genom att se till att uppladdaren av certifikatet har certifikatets privata nyckel. Verifiering förhindrar att en illvillig aktör sniffar din trafik från att extrahera ett mellanliggande certifikat och använda certifikatet för att skapa en registreringsgrupp i sin egen etableringstjänst, vilket effektivt kapar dina enheter. Genom att bevisa ägarskapet för roten eller ett mellanliggande certifikat i en certifikatkedja bevisar du att du har behörighet att generera lövcertifikat för de enheter som ska registreras som en del av registreringsgruppen. Därför måste det rotcertifikat eller mellanliggande certifikat som konfigurerats i en registreringsgrupp antingen vara ett verifierat certifikat eller så måste det kopplas till ett verifierat certifikat i certifikatkedjan som en enhet presenterar när den autentiserar med tjänsten. Mer information om X.509-certifikatattestering finns i X.509-certifikat.

Förutsättningar

Innan du påbörjar stegen i den här artikeln måste du ha följande förutsättningar förberedda:

  • En DPS-instans som skapats i din Azure-prenumeration.
  • En .cer- eller .pem-certifikatfil.

Automatisk verifiering av mellanliggande certifikatutfärdar- eller rotcertifikatutfärdarcertifikat via självattestering

Om du använder en mellanliggande certifikatutfärdare eller rotcertifikatutfärdare som du litar på och vet att du har fullständigt ägarskap för certifikatet kan du själv intyga att du har verifierat certifikatet.

Följ dessa steg för att lägga till ett automatiskt verifierat certifikat:

  1. I Azure-portalen går du till etableringstjänsten och väljer Certifikat på den vänstra menyn.

  2. Välj Lägg till för att lägga till ett nytt certifikat.

  3. Ange ett eget visningsnamn för certifikatet.

  4. Bläddra till filen .cer eller .pem som representerar den offentliga delen av ditt X.509-certifikat. Klicka på Överför.

  5. Markera kryssrutan bredvid Ange certifikatstatus som verifierad vid uppladdning.

    Skärmbild som visar hur du laddar upp ett certifikat och anger status till verifierad.

  6. Välj Spara.

  7. Certifikatet visas på certifikatfliken med statusen Verifierad.

    Skärmbild som visar det verifierade certifikatet efter uppladdningen.

Manuell verifiering av mellanliggande certifikatutfärdar- eller rotcertifikatutfärdarcertifikat

Automatisk verifiering rekommenderas när du laddar upp nya mellanliggande certifikat eller rotcertifikatutfärdarcertifikat till DPS. Du kan dock fortfarande utföra proof-of-possession om det passar för ditt IoT-scenario.

Bevis på innehav omfattar följande steg:

  1. Hämta en unik verifieringskod som genereras av etableringstjänsten för ditt X.509 CA-certifikat. Du kan göra detta från Azure Portal.
  2. Skapa ett X.509-verifieringscertifikat med verifieringskoden som ämne och signera certifikatet med den privata nyckeln som är associerad med ditt X.509 CA-certifikat.
  3. Ladda upp det signerade verifieringscertifikatet till tjänsten. Tjänsten validerar verifieringscertifikatet med hjälp av den offentliga delen av CA-certifikatet som ska verifieras, vilket bevisar att du har ca-certifikatets privata nyckel.

Registrera den offentliga delen av ett X.509-certifikat och hämta en verifieringskod

Följ dessa steg för att registrera ett CA-certifikat med din etableringstjänst och få en verifieringskod som du kan använda under innehavsbeviset.

  1. I Azure-portalen går du till etableringstjänsten och öppnar Certifikat från den vänstra menyn.

  2. Välj Lägg till för att lägga till ett nytt certifikat.

  3. Ange ett eget visningsnamn för certifikatet i fältet Certifikatnamn .

  4. Välj mappikonen och bläddra sedan till filen .cer eller .pem som representerar den offentliga delen av X.509-certifikatet. Välj Öppna.

  5. När du får ett meddelande om att certifikatet har laddats upp väljer du Spara.

    Skärmbild som visar uppladdning av ett certifikat utan automatisk verifiering.

    Certifikatet visas i listan Certifikatutforskaren . Observera att statusen för det här certifikatet är Overifierad.

  6. Välj det certifikat som du lade till i föregående steg för att öppna informationen.

  7. Observera att det finns ett tomt fält för verifieringskod i certifikatinformationen. Välj knappen Generera verifieringskod.

    Skärmbild som visar hur du genererar en verifieringskod för innehavsbevis.

  8. Etableringstjänsten skapar en verifieringskod som du kan använda för att verifiera certifikatägarskapet. Kopiera koden till Urklipp.

Signera verifieringskoden digitalt för att skapa ett verifieringscertifikat

Nu måste du signera verifieringskoden från DPS med den privata nyckeln som är associerad med ditt X.509 CA-certifikat, som genererar en signatur. Det här steget kallas bevis på innehav och resulterar i ett signerat verifieringscertifikat.

Microsoft tillhandahåller verktyg och exempel som kan hjälpa dig att skapa ett signerat verifieringscertifikat:

  • Azure IoT Hub C SDK innehåller PowerShell-skript (Windows) och Bash (Linux) som hjälper dig att skapa CA- och lövcertifikat för utveckling och för att utföra innehavsbevis med hjälp av en verifieringskod. Du kan ladda ned de filer som är relevanta för systemet till en arbetsmapp och följa anvisningarna i readme:et Hantera CA-certifikat för att utföra innehavsbevis på ett CA-certifikat.
  • Azure IoT Hub C# SDK innehåller verifieringsexemplet för gruppcertifikat, som du kan använda för att utföra innehavsbevis.

PowerShell- och Bash-skripten i dokumentationen och SDK:er förlitar sig på OpenSSL. Du kan också använda OpenSSL eller andra verktyg från tredje part för att hjälpa dig att utföra innehavsbevis. Ett exempel på hur du använder verktyg som medföljer SDK:erna finns i Skapa en X.509-certifikatkedja.

Ladda upp det signerade verifieringscertifikatet

Ladda upp den resulterande signaturen som ett verifieringscertifikat till etableringstjänsten i Azure-portalen.

  1. I certifikatinformationen på Azure-portalen, där du kopierade verifieringskoden från, väljer du mappikonen bredvid fältet Verifieringscertifikat .pem eller .cer fil . Bläddra till det signerade verifieringscertifikatet från systemet och välj Öppna.

  2. När certifikatet har laddats upp väljer du Verifiera. Statusen för certifikatet ändras till Verifierad i listan Certifikat. Välj Uppdatera om den inte uppdateras automatiskt.

Nästa steg