X.509 CA sertifikalarını Cihaz Sağlama Hizmetinizle doğrulama

Doğrulanmış X.509 sertifika yetkilisi (CA) sertifikası, sağlama hizmetinize yüklenmiş ve kaydedilmiş ve ardından otomatik olarak veya hizmette sahip olma kanıtı aracılığıyla doğrulanmış bir CA sertifikasıdır.

Kayıt grupları kullanılırken doğrulanmış sertifikalar önemli bir rol oynar. Sertifika sahipliğini doğrulamak, sertifikayı karşıya yükleyenin sertifikanın özel anahtarına sahip olduğundan emin olarak ek bir güvenlik katmanı sağlar. Doğrulama, trafiğinizi koklayan kötü amaçlı bir aktörün bir ara sertifika ayıklamasını ve bu sertifikayı kullanarak kendi sağlama hizmetinde bir kayıt grubu oluşturmasını ve cihazlarınızı etkili bir şekilde ele geçirmesini önler. Bir sertifika zincirindeki kök veya ara sertifikanın sahipliğini kanıtlayarak, bu kayıt grubunun bir parçası olarak kaydedilecek cihazlar için yaprak sertifikalar oluşturma izniniz olduğunu onaylamış olursunuz. Bu nedenle, bir kayıt grubunda yapılandırılan kök veya ara sertifikanın doğrulanmış bir sertifika olması veya cihazın hizmette kimlik doğrulaması yaparken sunduğu sertifika zincirinde doğrulanmış bir sertifikaya alınması gerekir. X.509 sertifika kanıtlama hakkında daha fazla bilgi edinmek için bkz . X.509 sertifikaları ve X.509 sertifikaları ile sağlama hizmetine cihaz erişimini denetleme.

Önkoşullar

Bu makaledeki adımlara başlamadan önce aşağıdaki önkoşulları hazırlayın:

• Azure aboneliğinizde oluşturulan bir DPS örneği.
• .cer veya .pem sertifika dosyası.

Kendi kendini kanıtlama yoluyla ara veya kök CA'nın otomatik olarak doğrulanması

Güvendiğiniz bir ara veya kök CA kullanıyorsanız ve sertifikanın tam sahipliğini bildiğinizde, sertifikayı doğruladığınızdan emin olabilirsiniz.

Otomatik olarak doğrulanmış sertifika eklemek için şu adımları izleyin:

1. Azure portalında sağlama hizmetinize gidin ve sol taraftaki menüden Sertifikalar'ı seçin.

2. Yeni bir sertifika eklemek için Ekle'yi seçin.

3. Sertifikanız için kolay görünen bir ad girin.

4. X.509 sertifikanızın genel bölümünü temsil eden .cer veya .pem dosyasına göz atın. Karşıya Yükle'ye tıklayın.

5. Karşıya yüklemede sertifika durumunu doğrulandı olarak ayarla'nın yanındaki kutuyu işaretleyin.

   

6. Kaydet'i seçin.

7. Sertifikanız sertifika sekmesinde Doğrulandı durumuyla gösterilir.

   

Ara veya kök CA'nın el ile doğrulanması

DPS'ye yeni ara veya kök CA sertifikaları yüklediğinizde otomatik doğrulama önerilir. Ancak, IoT senaryonuz için anlamlıysa yine de sahiplik kanıtı gerçekleştirebilirsiniz.

Sahiplik kanıtı aşağıdaki adımları içerir:

1. X.509 CA sertifikanız için sağlama hizmeti tarafından oluşturulan benzersiz bir doğrulama kodu alın. Bu işlemi Azure portalından yapabilirsiniz.
2. Sahibi doğrulama kodu olan bir X.509 doğrulama sertifikası oluşturun ve sertifikayı X.509 CA sertifikanızla ilişkili özel anahtarla imzalayın.
3. İmzalı doğrulama sertifikasını hizmete yükleyin. Hizmet, doğrulanacak CA sertifikasının genel bölümünü kullanarak doğrulama sertifikasını doğrular, böylece CA sertifikasının özel anahtarına sahip olduğunuzu kanıtlar.

X.509 sertifikasının genel bölümünü kaydetme ve doğrulama kodu alma

Ca sertifikasını sağlama hizmetinize kaydetmek ve sahiplik kanıtı sırasında kullanabileceğiniz bir doğrulama kodu almak için aşağıdaki adımları izleyin.

1. Azure portalında sağlama hizmetinize gidin ve sol taraftaki menüden Sertifikalar'ı açın.

2. Yeni bir sertifika eklemek için Ekle'yi seçin.

3. Sertifika adı alanına sertifikanız için kolay görünen bir ad girin.

4. Klasör simgesini seçin, ardından X.509 sertifikanızın genel bölümünü temsil eden .cer veya .pem dosyasına göz atın. Aç'ı seçin.

5. Sertifikanızın başarıyla karşıya yüklendiğini belirten bir bildirim aldıktan sonra Kaydet'i seçin.

   

   Sertifikanız Sertifika Gezgini listesinde gösterilir. Bu sertifikanın durumunun Unverified olduğunu unutmayın.

6. Ayrıntılarını açmak için önceki adımda eklediğiniz sertifikayı seçin.

7. Sertifika ayrıntılarında boş bir Doğrulama kodu alanı olduğuna dikkat edin. Doğrulama kodu oluştur düğmesini seçin.

   

8. Sağlama hizmeti, sertifika sahipliğini doğrulamak için kullanabileceğiniz bir Doğrulama kodu oluşturur. Kodu panonuza kopyalayın.

Doğrulama sertifikası oluşturmak için doğrulama kodunu dijital olarak imzalama

Şimdi, DPS'den doğrulama kodunu bir imza oluşturan X.509 CA sertifikanızla ilişkili özel anahtarla imzalamanız gerekir. Bu adım Sahiplik kanıtı olarak bilinir ve imzalı doğrulama sertifikasıyla sonuçlanır.

Microsoft, imzalı doğrulama sertifikası oluşturmanıza yardımcı olabilecek araçlar ve örnekler sağlar:

• Azure IoT Hub C SDK'sı, geliştirme için CA ve yaprak sertifikaları oluşturmanıza ve doğrulama kodu kullanarak sahiplik kanıtı gerçekleştirmenize yardımcı olan PowerShell (Windows) ve Bash (Linux) betikleri sağlar. Bir CA sertifikası üzerinde sahiplik kanıtı gerçekleştirmek için sisteminizle ilgili dosyaları bir çalışma klasörüne indirebilir ve CA sertifikalarını yönetme benioku sayfasındaki yönergeleri izleyebilirsiniz.
• Azure IoT Hub C# SDK'sı, sahip olma kanıtı yapmak için kullanabileceğiniz Grup sertifikası doğrulama örneğini içerir.

Belgelerde ve SDK'larda sağlanan PowerShell ve Bash betikleri OpenSSL'ye dayanır. Sahiplik kanıtı yapmanıza yardımcı olması için OpenSSL veya diğer üçüncü taraf araçlarını da kullanabilirsiniz. SDK'larla sağlanan araçları kullanma örneği için bkz . X.509 sertifika zinciri oluşturma.

İmzalı doğrulama sertifikasını karşıya yükleme

Elde edilen imzayı Doğrulama sertifikası olarak Azure portalında sağlama hizmetinize yükleyin.

1. Doğrulama kodunu kopyaladığınız Azure portalındaki sertifika ayrıntılarında Doğrulama sertifikası .pem veya .cer dosya alanının yanındaki klasör simgesini seçin. Sisteminizden imzalı doğrulama sertifikasına göz atın ve Aç'ı seçin.

2. Sertifika başarıyla karşıya yüklendikten sonra Doğrula'yı seçin. Sertifikanızın durumu Sertifikalar listesinde Doğrulandı olarak değişir. Otomatik olarak güncelleştirilmezse Yenile'yi seçin.

Sonraki adımlar

• Kayıt grubu oluşturmak için portalı kullanma hakkında bilgi edinmek için bkz . Azure portal ile cihaz kayıtlarını yönetme.
• Kayıt grubu oluşturmak için hizmet SDK'larını kullanma hakkında bilgi edinmek için bkz . Hizmet SDK'larıyla cihaz kayıtlarını yönetme.