Aracılığıyla paylaş

Azure Sphere ile sertifika kullanımı

  • Makale

Bu konu başlığı altında Azure Sphere sertifikası "yatay" hakkında genel bir bakış sağlanır: çeşitli Azure Sphere bileşenlerinin kullandığı sertifika türleri, nereden geldikleri, nerede depolandıkları, nasıl güncelleştirildikleri ve gerektiğinde bunlara nasıl erişebilecekleri. Ayrıca Azure Sphere işletim sistemi, SDK ve hizmetlerinin sertifika yönetimini sizin için nasıl kolaylaştırdığı da açıklanır. Sertifika yetkilileri ve güven zinciri hakkında temel bilgilere sahip olduğunuzu varsayıyoruz.

Azure Sphere cihazları

Her Azure Sphere cihazı, Azure Sphere işletim sisteminin bir parçası olan Güvenilen Kök deposuna dayanır. Güvenilen Kök deposu, cihaz kimlik doğrulaması ve kanıtlama (DAA), havadan (OTA) güncelleştirme veya hata raporlama için bağlandığında Azure Sphere Güvenlik Hizmeti'nin kimliğini doğrulamak için kullanılan kök sertifikaların listesini içerir. Bu sertifikalar işletim sistemiyle birlikte sağlanır.

Günlük kanıtlama başarılı olduğunda cihaz iki sertifika alır: güncelleştirme sertifikası ve müşteri sertifikası. Güncelleştirme sertifikası, cihazın yazılım güncelleştirmelerini almak ve hata raporlarını karşıya yüklemek için Azure Sphere Güncelleştirme Hizmeti'ne bağlanmasını sağlar; uygulamalar veya komut satırı üzerinden erişilemez. Bazen DAA sertifikası olarak da adlandırılan müşteri sertifikası, uygulamalar tarafından aktarım katmanı güvenliği (TLS) kullanan wolfSSL gibi üçüncü taraf hizmetlere bağlanmak için kullanılabilir. Bu sertifika 24 saat geçerlidir. Uygulamalar DeviceAuth_GetCertificatePath işlevini çağırarak program aracılığıyla alabilir.

Azure IoT Hub, Azure IoT Central ve Azure IoT Edge gibi Azure tabanlı hizmetlere bağlanan cihazların Azure Sphere kiracılarının kimliğini doğrulamak için Azure Sphere kiracı CA sertifikasını sunması gerekir. CLI'daki azsphere ca-certificate download komutu, bu tür kullanımlar için kiracı CA sertifikasını döndürür.

EAP-TLS ağ bağlantıları

EAP-TLS ağına bağlanan cihazların, ağın RADIUS sunucusuyla kimlik doğrulaması için sertifikalara ihtiyacı vardır. İstemci olarak kimlik doğrulaması yapmak için cihazın RADIUS'a bir istemci sertifikası geçirmesi gerekir. Karşılıklı kimlik doğrulaması gerçekleştirmek için, cihazın sunucuda kimlik doğrulaması yapabilmesi için RADIUS sunucusu için bir kök CA sertifikasına da sahip olması gerekir. Microsoft bu sertifikaların ikisini de sağlamaz; Ağınızın RADIUS sunucusu için doğru sertifika yetkilisini belirlemekten ve ardından verenden gerekli sertifikaları almaktan sizin veya ağ yöneticinizin sorumluluğundadır.

RADIUS sunucusunun sertifikalarını almak için sertifika yetkilisinde kimlik doğrulaması yapmanız gerekir. Bu amaçla, daha önce belirtildiği gibi DAA sertifikasını kullanabilirsiniz. RADIUS sunucusu için sertifikaları aldıktan sonra, bunları cihaz sertifika deposunda depolamanız gerekir. Cihaz sertifika deposu yalnızca EAP-TLS ile güvenli bir ağda kimlik doğrulamasında kullanılabilir. (DAA sertifikası cihaz sertifika deposunda tutulmaz; işletim sisteminde güvenli bir şekilde tutulur.) CLI'deki azsphere cihaz sertifikası komutu, sertifika deposunu komut satırından yönetmenize olanak tanır. Azure Sphere uygulamaları, cihaz sertifika deposunda sertifikaları depolamak, almak ve yönetmek için CertStore API'sini kullanabilir. CertStore API'sinde, uygulamaların sertifika süre sonu ve yenileme için hazırlanabilmesi için tek tek sertifikalar hakkında bilgi döndürmeye yönelik işlevler de bulunur.

EAP-TLS ağında kullanılan sertifikaların tam açıklaması için bkz. EAP-TLS'yi kullanma ve daha fazla bilgi için Microsoft Tech Community azure Sphere üzerinde güvenli kurumsal Wi-Fi erişimi: EAP-TLS konusuna bakın.

Azure Sphere uygulamaları

Azure Sphere uygulamalarının web hizmetlerinde ve bazı ağlarda kimlik doğrulaması için sertifikalara ihtiyacı vardır. Hizmetin veya uç noktanın gereksinimlerine bağlı olarak, bir uygulama DAA sertifikasını veya dış sertifika yetkilisinden bir sertifikayı kullanabilir.

WolfSSL veya benzer bir kitaplık kullanarak üçüncü taraf bir hizmete bağlanan uygulamalar, kimlik doğrulaması için DAA sertifikasını almak için DeviceAuth_GetCertificatePath işlevini çağırabilir. Bu işlev, 20.10 SDK'sında deviceauth.h üst bilgisinde kullanıma sunulmuştur.

Azure Sphere'da yerleşik olarak bulunan Azure IoT kitaplığı gerekli kök CA'ya zaten güvendiğinden, Azure IoT hizmetlerine (Azure IoT Hub, Azure IoT Central, cihaz sağlama hizmeti) erişmek için bu kitaplığı kullanan uygulamalar ek sertifika gerektirmez.

Uygulamalarınız diğer Azure hizmetlerini kullanıyorsa, hangi sertifikaların gerekli olduğunu belirlemek için bu hizmetlerin belgelerine bakın.

Azure Sphere Genel API'si

Azure Sphere Genel API'si (PAPI), dağıtılan cihazlar hakkında bilgi istemek ve almak için Azure Sphere Güvenlik Hizmeti ile iletişim kurar. Güvenlik Hizmeti, bu tür bağlantıların kimliğini doğrulamak için bir TLS sertifikası kullanır. Bu, Genel API'yi kullanan tüm kod veya betiklerin yanı sıra Azure Sphere SDK'sı (hem Azure Sphere klasik CLI hem de Azure Sphere CLI dahil) gibi diğer Güvenlik Hizmeti istemcileriyle birlikte Güvenlik Hizmeti'ne bağlanabilmek için bu sertifikaya güvenmesi gerektiği anlamına gelir. SDK, birçok Genel API uygulaması gibi Azure Sphere Güvenlik Hizmeti doğrulaması için konak makinenin sistem sertifika deposundaki sertifikaları kullanır.

13 Ekim 2020'de Güvenlik Hizmeti, Genel API TLS sertifikasını DigiCert Genel Kök G2 sertifikasından verilen sertifikaya güncelleştirdi. Hem Windows hem de Linux sistemleri DigiCert Genel Kök G2 sertifikasını içerir, bu nedenle gerekli sertifika hazır olur. Ancak, önceki bir blog gönderisinde açıklandığı gibi, yalnızca konu, ad veya vereni (SNI) sabitleyen müşteri senaryoları bu güncelleştirmeyi karşılamak için değişiklikler gerektiriyordu.

Azure Sphere Güvenlik Hizmeti

Genel olarak Azure Sphere bulut hizmetleri ve özellikle Güvenlik Hizmeti, güvenli hizmet-hizmet iletişimi için kullanılan çok sayıda sertifikayı yönetir. Bu sertifikaların çoğu hizmetler ve istemcileri için dahilidir, bu nedenle Microsoft güncelleştirmeleri gerektiği gibi koordine eder. Örneğin Azure Sphere Güvenlik Hizmeti, Ekim ayında Genel API TLS sertifikasını güncelleştirmenin yanı sıra DAA hizmeti ve Güncelleştirme hizmeti için TLS sertifikalarını da güncelleştirmiştir. Güncelleştirmeden önce, cihazlar yeni gerekli kök sertifikayı içeren Güvenilen Kök deposu için bir OTA güncelleştirmesi aldı. Güvenlik Hizmeti ile cihaz iletişimini sürdürmek için müşteri eylemi gerekli değildi.

Azure Sphere, sertifika değişikliklerini müşteriler için nasıl kolaylaştırır?

Sertifika süre sonu, Azure Sphere'ın önleyebileceği IoT Cihazları için hataların yaygın bir nedenidir .

Azure Sphere ürünü hem işletim sistemini hem de Güvenlik Hizmetini içerdiğinden, bu bileşenlerin her ikisi tarafından kullanılan sertifikalar Microsoft tarafından yönetilir. Cihazlar DAA işlemi, işletim sistemi ve uygulama güncelleştirmeleri aracılığıyla güncelleştirilmiş sertifikalar ve uygulamalarda değişiklik gerektirmeden hata bildirimi alır. Microsoft DigiCert Genel Kök G2 sertifikasını eklediğinde, DAA, güncelleştirmeler veya hata raporlamaya devam etmek için müşteri değişikliği gerekmezdi. Güncelleştirme sırasında çevrimdışı olan cihazlar, güncelleştirmeyi İnternet'e yeniden bağlanır bağlanmaz aldı.

Azure Sphere işletim sistemi, Azure IoT kitaplığını da içerir. Bu nedenle Microsoft, Azure IoT kitaplıklarının kullandığı sertifikalarda daha fazla değişiklik yaparsa, uygulamalarınızın değiştirilmesi gerekmeyecek şekilde işletim sistemindeki kitaplığı güncelleştiririz. Ayrıca, uygulamalarınızda veya betiklerinizde değişiklik yapılmasını gerektirebilecek uç durumlar veya özel durumlar hakkında ek blog gönderileri aracılığıyla da sizi bilgilendireceğiz.

Bu durumların her ikisi de, sertifika değişikliklerini işlemek için uygulamaların bakım güncelleştirmeleri gereksinimini kaldırarak Azure Sphere'in uygulama yönetimini nasıl basitleştireceğini gösterir. Her cihaz, günlük kanıtlama kapsamında bir güncelleştirme sertifikası aldığından, cihazlarınızın ve uygulamalarınızın kullandığı yerel olarak yönetilen sertifikaların güncelleştirmesini kolayca yönetebilirsiniz. Örneğin, uygulamanız iş kolu sunucunuzun kimliğini doğrularsa (olması gerektiği gibi), güncelleştirilmiş sertifikaları içeren güncelleştirilmiş bir uygulama görüntüsü paketi dağıtabilirsiniz. Azure Sphere platformu tarafından sağlanan uygulama güncelleştirme hizmetleri bu güncelleştirmeleri sunar ve güncelleştirme hizmetinin kendisinin sertifika süre sonu sorununa neden olacağı endişesini ortadan kaldırır.

Daha fazla bilgi için

Azure Sphere Cihaz Kimlik Doğrulaması ve Kanıtlama Hizmeti

Azure Sphere için ek sertifika güncelleştirmeleri

Azure TLS Sertifika Değişiklikleri

Azure IoT TLS: Değişiklikler geliyor! (... ve neden önem vermelisiniz)