Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Certifikathantering är en valfri funktion i Azure Device Registry (ADR) som gör att du kan utfärda och hantera X.509-certifikat för dina IoT-enheter. Den konfigurerar en dedikerad, molnbaserad infrastruktur för offentliga nycklar (PKI) för varje ADR-namnområde, utan att kräva några lokala servrar, anslutningsappar eller maskinvara. Det hanterar certifikatet för utfärdande och förnyelse för alla IoT-enheter som har tilldelats till det ADR-namnområdet. Dessa X.509-certifikat kan användas för dina IoT-enheter för att autentisera med IoT Hub.
Om du använder certifikathantering måste du även använda IoT Hub, Azure Device Registry (ADR) och Device Provisioning Service (DPS). Certifikathantering är för närvarande i offentlig förhandsversion.
Viktigt!
Azure IoT Hub med ADR-integrering och Microsoft-stödd X.509-certifikathantering är i offentlig förhandsversion och rekommenderas inte för produktionsarbetsbelastningar. Mer information finns i Vanliga frågor och svar: Vad är nytt i IoT Hub?.
Översikt över funktioner
Följande funktioner stöds med certifikathantering för IoT Hub-enheter i förhandsversion:
| Feature | Description |
|---|---|
| Skapa flera certifikatutfärdare (CA) i ett ADR-namnområde | Skapa PKI-hierarki med två nivåer med rot- och utfärdande certifikatutfärdarcertifikat i molnet. |
| Skapa en unik rotcertifikatutfärdare (CA) för varje ADR-namnområde | Skapa upp till 1 rotcertifikatutfärdare, även kallat autentiseringsuppgift, i ADR-namnområdet. |
| Skapa upp till en utfärdande CA per policy | Skapa upp till 1 utfärdande CA, även kallad en policy, i ditt ADR-namnområde och anpassa giltighetsperioderna för utfärdade certifikat. |
| Algoritmer för signering och kryptering | Certifikathantering stöder ECC (ECDSA) och kurvan NIST P-384 |
| Hash-algoritmer | Certifikathantering stöder SHA-384 |
| HSM-nycklar (signering och kryptering) | Nycklar etableras med hjälp av Azure Managed Hardware Security Module (Azure Managed HSM). Certifikatutfärdare som skapats i adr-namnområdet använder automatiskt HSM-signerings- och krypteringsnycklar. Ingen Azure-prenumeration krävs för Azure HSM. |
| Utfärdande och förnyelse av slutentitetscertifikat | Slutentitetscertifikat, även kallade lövcertifikat eller enhetscertifikat, signeras av den utfärdande certifikatutfärdare och levereras till enheten. Lövcertifikat kan också förnyas av den utfärdande CA. |
| Etablering i stor skala av lövcertifikat | De principer som definierats i adr-namnområdet är direkt länkade till en enhetsetableringstjänstregistrering som ska användas vid tidpunkten för certifikatetablering. |
| Synkronisering av CA-certifikat med IoT Hubs | Principerna som definierats i adr-namnområdet synkroniseras till lämplig IoT Hub. Detta gör att IoT Hub kan lita på alla enheter som autentiserar med ett slutentitetscertifikat. |
Introduktion och driftbehörigheter
Idag stöder certifikathanteringen utfärdande och förnyelse av operativa certifikat för slutanvändare.
Inledande autentiseringsuppgifter: Om du vill använda certifikathantering måste enheterna förberedas via Device Provisioning Service (DPS). För att en enhet ska kunna etableras med DPS måste den registrera och autentisera med någon av de typer av registreringsautentiseringsuppgifter som stöds, som innehåller X.509-certifikat (anskaffas från en certifikatutfärdare från tredje part), symmetriska nycklar och betrodda plattformsmoduler (TPM). Dessa autentiseringsuppgifter installeras konventionellt på enheten innan de levereras.
Driftcertifikat: Ett driftcertifikat för slutentitet är en typ av operationellt tillståndsbevis. Det här certifikatet utfärdas till enheten av en utfärdande CA när enheten har konfigurerats av DPS. Till skillnad från inloggningsuppgifter är dessa certifikat vanligtvis kortvariga och förnyas ofta eller efter behov under enhetsdriften. Enheten kan använda sin driftcertifikatkedja för att autentisera direkt med IoT Hub och utföra vanliga åtgärder. I dag tillhandahåller certifikathantering endast det operativa certifikatet.
Så här fungerar certifikathantering
Certifikathantering består av flera integrerade komponenter som fungerar tillsammans för att effektivisera distributionen av offentlig nyckelinfrastruktur (PKI) mellan IoT-enheter. Om du vill använda certifikathantering måste du konfigurera:
- IoT Hub (förhandsversion)
- Namnområde för Azure Device Registry (ADR)
- DPS-instans (Device Provisioning Service)
Integrering av IoT Hub (förhandsversion)
IoT Hubs som är länkade till ett ADR-namnområde kan dra nytta av funktionerna för certifikathantering. Du kan synkronisera dina CA-certifikat från ADR-namnområdet till alla dina IoT Hubs så att varje IoT Hub kan autentisera alla IoT-enheter som försöker ansluta med en utfärdad certifikatkedja.
Integrering av Azure Device Registry
Certifikathantering använder Azure Device Registry (ADR) för att hantera CA-certifikat. Den integreras med IoT Hub och Device Provisioning Service (DPS) för att ge en sömlös upplevelse för hantering av enhetsidentiteter och CA-certifikat.
Följande bild illustrerar X.509-certifikathierarkin som används för att autentisera IoT-enheter i Azure IoT Hub via ADR-namnområdet.
- Varje ADR-namnområde som har en aktiverad certifikathantering har en unik autentiseringsuppgift (rotcertifikatutfärdare) som hanteras av Microsoft. Den här certifikatet representerar den främsta certifikatutfärdaren i kedjan.
- Varje princip i ADR-namnområdet definierar en utfärdande CA (ICA) som är signerad av rotcertifikatutfärdaren. Varje princip kan bara dela sitt CA-certifikat med hubbar som är länkade till namnområdet. Och varje policy kan bara utfärda lövcertifikat till enheter som är registrerade i namnområdet. Du kan konfigurera giltighetsperioden för de utfärdade certifikaten för varje princip. Den minsta giltighetsperioden är 1 dag och den maximala giltighetsperioden är 90 dagar.
- När du har skapat dina autentiseringsuppgifter och principer kan du synkronisera dessa CA-certifikat direkt med IoT Hub. IoT Hub kommer nu att kunna autentisera enheter som presenterar den här certifikatkedjan.
Enhetsprovisioneringstjänstintegration
Enheter måste etableras via Device Provisioning Service (DPS) för att enheter ska kunna ta emot lövcertifikat. Du måste konfigurera antingen en enskild registrering eller gruppregistrering, vilket innefattar att definiera:
- Den specifika typen av introduktionsreferens för den registreringen. Metoder som stöds är TPM (Trusted Platform Module), symmetriska nycklar eller X.509-certifikat.
- Den specifika policy som skapades inom ditt ADR-namnområde. Den här policyn signerar och utfärdar lövcertifikat till enheter som konfigurerats av den här registreringen.
Device Provisioning Service accepterar nu certifikatsigneringsbegäran (CSR) under etableringen. CSR skickas till DPS och PKI, som validerar begäran och vidarebefordrar den till lämplig utfärdande CA (ICA) för att utfärda signerat X.509-certifikat.
Certifikathantering stöder för närvarande följande protokoll under etableringen: HTTP och MQTT. Mer information om DPS Certificate Signing Request hittar du i några av DPS-enhets-SDK-exemplen.
Anmärkning
Även om en PKI har konfigurerats för var och en av dina ADR-namnområden exponeras den inte som en extern Azure-resurs.
Enhetsetablering end-to-end med certifikathantering (användarupplevelse under körning)
Följande diagram illustrerar processen från slutpunkt till slutpunkt för enhetsetablering med certifikathantering:
- IoT-enheten ansluter till DPS-slutpunkten och autentiserar med tjänsten med hjälp av dess förkonfigurerade registreringsautentiseringsuppgifter. Som en del av det här registreringsanropet skickar enheten en begäran om certifikatsignering (CSR). CsR innehåller information om enheten, till exempel dess offentliga nyckel och annan identifierande information.
- DPS tilldelar IoT-enheten till en IoT Hub baserat på de länkade hubbarna i DPS-registreringen.
- Enhetsidentiteten skapas i IoT Hub och registreras till lämpligt ADR-namnområde.
- DPS använder CSR för att begära ett driftcertifikat från PKI:t. PKI verifierar CSR och vidarebefordrar den till policyn (utfärdande CA) som är kopplad till DPS-anmälan.
- Policyn signerar driftcertifikatet och utfärdar det.
- DPS skickar tillbaka driftcertifikatet och IoT Hub-anslutningsinformationen till enheten.
- Enheten kan nu autentisera med IoT Hub genom att skicka den fullständiga utfärdande certifikatkedjan till IoT Hub.
Förnyelse av lövcertifikat
Lövcertifikat för slutentitet kan förnyas med samma mekanism som första gången certifikat utfärdas. När enheten upptäcker ett behov av att förnya sitt driftcertifikat måste den initiera ett nytt registreringsanrop till DPS och skicka en ny certifikatsigneringsbegäran (CSR). Återigen skickas CSR till lämplig utfärdande certifikatutfärdare (ICA) för att begära ett förnyat lövcertifikat. När det har godkänts returneras det förnyade driftcertifikatet till enheten som ska användas för säker kommunikation.
Varje enhet ansvarar för att övervaka förfallodatumet för sitt driftcertifikat och initiera en certifikatförnyelse när det behövs. Vi rekommenderar att du förnyar ett certifikat före utgångsdatumet för att säkerställa oavbruten kommunikation. Driftcertifikatet innehåller dess Valid from datum och Valid until datum, som enheten kan övervaka för att avgöra när en förnyelse behövs. I den här förhandsversionen rekommenderar vi att enheterna använder enhetstvillingens rapporterade egenskaper för att rapportera certifikatutfärdande och certifikatets förfallodatum. Dessa egenskaper kan sedan användas för observerbarhet, till exempel för att skapa instrumentpaneler.
Inaktivera en enhet
Certifikathantering stöder inte återkallande av certifikat under offentlig förhandsversion. Om du vill ta bort anslutningen för en enhet som använder ett X.509-driftcertifikat kan du inaktivera enheten i IoT Hub. Information om hur du inaktiverar en enhet finns i Inaktivera eller ta bort en enhet.
Begränsningar och kvoter
Se Azure-prenumerations- och tjänstgränser för den senaste informationen om gränser och kvoter för certifikathantering med IoT Hub.