Aracılığıyla paylaş

Azure IoT Edge'in sertifikaları nasıl kullandığını anlama

Şunlar için geçerlidir:IoT Edge 1.5 onay işareti IoT Edge 1.5

Önemli

IoT Edge 1.5 LTS desteklenen sürümdür. IoT Edge 1.4 LTS, 12 Kasım 2024 itibarıyla kullanım ömrü sona erer. Önceki bir sürümdeyseniz bkz. IoT Edge’i güncelleştirme.

IoT Edge farklı amaçlar için farklı türde sertifikalar kullanır. Bu makalede IoT Edge'in Azure IoT Hub ve IoT Edge ağ geçidi senaryolarıyla sertifikaları nasıl kullandığı açıklanmaktadır.

Önemli

Kısa olması için bu makale IoT Edge sürüm 1.2 veya üzeri için geçerlidir. Sürüm 1.1 için sertifika kavramları benzerdir, ancak bazı farklılıklar vardır:

  • Sürüm 1.1'deki cihaz CA sertifikasına artık Edge CA sertifikası adı verilir.
  • Sürüm 1.1'deki iş yükü CA sertifikası kullanımdan kaldırıldı. Sürüm 1.2 veya sonraki sürümlerde IoT Edge modülü çalışma zamanı, sertifika zincirinde ara iş yükü CA sertifikası olmadan tüm sunucu sertifikalarını doğrudan Edge CA sertifikasından oluşturur.

Özet

IoT Edge, bu temel senaryolarda sertifikaları kullanır. Her senaryo hakkında daha fazla bilgi edinmek için bağlantıları kullanın.

Actor (Oyuncu) Amaç Sertifika
IoT Edge Doğru IoT Hub ile iletişim kurduğundan emin olur IoT Hub sunucu sertifikası
IoT Merkezi İsteğin geçerli bir IoT Edge cihazından geldiğinden emin olur IoT Edge kimlik sertifikası
Aşağı akış IoT cihazı Doğru IoT ağ geçidi ile iletişim kurduğundan emin olur Edge CA tarafından verilen IoT Edge Hub edgeHub modülü sunucu sertifikası
IoT Edge Yeni modül sunucusu sertifikalarını imzalar. Örneğin, edgeHub Edge CA sertifikası
IoT Edge İsteğin geçerli bir aşağı akış cihazından geldiğinden emin olur IoT cihaz kimliği sertifikası

Önkoşullar

Tek cihaz senaryosu

IoT Edge sertifika kavramlarını öğrenmenize yardımcı olmak için EdgeGateway adlı bir IoT Edge cihazının ContosoIotHub adlı bir Azure IoT Hub'a bağlandığı bir senaryo düşünün. Bu örnekte, tüm kimlik doğrulaması simetrik anahtarlar yerine X.509 sertifika kimlik doğrulaması kullanır. Bu senaryoda güven oluşturmak için IoT Hub ve IoT Edge cihazının orijinal olduğundan emin olmamız gerekir: "Bu cihaz orijinal ve geçerli mi?" ve "IoT Hub kimliği doğru mu?". Senaryonun bir çizimi aşağıdadır:

IoT Edge cihazı ile IoT Hub arasındaki bağlantıyı gösteren güven senaryosu durum diyagramı.

Bu makalede her sorunun yanıtları açıklanır ve sonraki bölümlerde örneği genişletir.

Cihaz IoT Hub kimliğini doğrular

EdgeGateway gerçek ContosoIotHub ile konuştuğunu nasıl denetler? EdgeGateway bulutla konuştuğunda ContosoIoTHub.Azure-devices.NET uç noktaya bağlanır. Uç noktanın orijinal olduğundan emin olmak için IoT Edge'in tanımlamayı (KIMLIK) göstermesi için ContosoIoTHub'a ihtiyacı vardır. Kimlik, EdgeGateway'in güvendiği bir yetkili tarafından düzenlenmelidir. IoT Hub kimliğini doğrulamak için IoT Edge ve IoT Hub, IoT Hub'ın sunucu kimliğini denetlemek için TLS el sıkışma protokollerini kullanır. Aşağıdaki diyagramda TLS el sıkışması gösterilmektedir. Basit tutmak için bazı ayrıntılar dışarıda bırakılır. TLS el sıkışma protokolü hakkında daha fazla bilgi için bkz. Wikipedia'da TLS el sıkışması.

Not

Bu örnekte ContosoIoTHub, IoT Hub ana bilgisayar adını ContosoIotHub.Azure-devices.NET temsil eder.

IoT Edge cihazında güvenilen kök depo ile sertifika doğrulaması ile IoT Hub'dan IoT Edge cihazına sertifika değişimini gösteren sıralı diyagram.

Bu bağlamda, şifreleme algoritmasının tam ayrıntılarını bilmeniz gerekmez. Önemli olan, algoritmanın sunucunun ortak anahtarıyla eşleştirilen özel anahtara sahip olup olmadığını denetlemesidir. Bu denetim, sertifika sahibinin sertifikayı kopyalamadığını veya çalmadığını kanıtlar. Yüzünüzün fotoğrafla eşleştiği bir fotoğraf kimliği düşünün. Birisi kimliğinizi çalarsa, yüzünüz benzersiz olduğundan bu kimliği kullanamaz. Şifreleme anahtarları için anahtar çifti ilişkili ve benzersizdir. Şifreleme algoritması, bir yüzü fotoğraf kimliğiyle eşleştirmek yerine anahtar çiftini kullanarak kimliği doğrular.

Senaryomuzda ContosoIotHub aşağıdaki sertifika zincirini gösterir:

IoT Hub için ara ve kök sertifika yetkilisi zincirini gösteren akış diyagramı.

Kök sertifika yetkilisi (CA), Baltimore CyberTrust Kök sertifikasıdır. DigiCert bu kök sertifikayı imzalar ve yaygın olarak güvenilirdir ve birçok işletim sisteminde depolanır. Örneğin, hem Ubuntu hem de Windows bunu varsayılan sertifika deposuna ekler.

Windows sertifika deposu:

Windows sertifika deposunda listelenen Baltimore CyberTrust Kök sertifikasını gösteren ekran görüntüsü.

Ubuntu sertifika deposu:

Ubuntu sertifika deposunda listelenen Baltimore CyberTrust Kök sertifikasını gösteren ekran görüntüsü.

Bir cihaz Baltimore CyberTrust Root sertifikasını denetlediğinde zaten işletim sistemindedir. EdgeGateway perspektifinden bakıldığında ContosoIotHub sertifika zinciri işletim sisteminin güvendiği bir kök CA tarafından imzalandığından sertifika güvenilirdir. Bu sertifika IoT Hub sunucu sertifikası olarak adlandırılır. IoT Hub sunucu sertifikası hakkında daha fazla bilgi için bkz . IoT Hub'da Aktarım Katmanı Güvenliği (TLS) desteği.

Özetle, EdgeGateway ContosoIotHub'ın kimliğini doğrulayabilir ve güvenebilir çünkü:

  • ContosoIotHub , IoT Hub sunucu sertifikasını sunar
  • Sunucu sertifikasına işletim sistemi sertifika deposunda güvenilir
  • ContosoIotHub'ın ortak anahtarıyla şifrelenen verilerin şifresi ContosoIotHub tarafından çözülerek özel anahtara sahip olduğu kanıtlanabilir

IoT Hub, IoT Edge cihaz kimliğini doğrular

ContosoIotHub, EdgeGateway ile iletişim kurduğunu nasıl denetler? IoT Hub karşılıklı TLS'yi (mTLS) desteklediği için istemci tarafından kimliği doğrulanmış TLS el sıkışması sırasında EdgeGateway'in sertifikasını denetler. Kolaylık olması için aşağıdaki diyagramdaki bazı adımları atlıyoruz.

IoT Edge cihazından IoT Hub'a sertifika parmak izi denetimi doğrulaması ile IoT Hub'a sertifika değişimini gösteren sıralı diyagram.

Bu durumda EdgeGateway, IoT Edge cihaz kimliği sertifikasını sağlar. ContosoIotHub'ın perspektifinden bakıldığında, sağlanan sertifikanın parmak izinin kaydıyla eşleşip eşleşmediğini ve EdgeGateway'in sunduğu sertifikayla eşleştirilmiş özel anahtara sahip olduğunu denetler. IoT Hub'da bir IoT Edge cihazı sağladığınızda bir parmak izi sağlarsınız. IoT Hub sertifikayı doğrulamak için parmak izini kullanır.

İpucu

IoT Edge cihazını kaydederken IoT Hub için iki parmak izi gerekir. En iyisi, farklı son kullanma tarihlerine sahip iki farklı cihaz kimliği sertifikası hazırlamaktır. Bir sertifikanın süresi dolarsa, diğeri hala geçerli olur ve süresi dolan sertifikayı döndürmek için size zaman verir. Ancak kayıt için yalnızca bir sertifika kullanabilirsiniz. Cihazı kaydederken hem birincil hem de ikincil parmak izleri için aynı sertifika parmak izini ayarlayarak tek bir sertifika kullanın.

Örneğin, EdgeGateway'de kimlik sertifikasının parmak izini almak için aşağıdaki komutu kullanın:

sudo openssl x509 -in /var/lib/aziot/certd/certs/deviceid-random.cer -noout -nocert -fingerprint -sha256

Komutu sertifika SHA256 parmak izini çıkış olarak oluşturur:

SHA256 Fingerprint=1E:F3:1F:88:24:74:2C:4A:C1:A7:FA:EC:5D:16:C4:11:CD:85:52:D0:88:3E:39:CB:7F:17:53:40:9C:02:95:C3

IoT Hub'a kayıtlı EdgeGateway cihazının SHA256 parmak izi değerini görüntülerseniz, EdgeGateway'deki parmak iziyle eşleşir:

ContosoIotHub'da EdgeGateway cihazının parmak izini azure portalından ekran görüntüsü.

Özetle, EdgeGateway, IoT Hub'da kayıtlı olanla eşleşen parmak izine sahip geçerli bir IoT Edge cihaz kimliği sertifikası sunduğundan, ContosoIotHubEdgeGateway'e güvenir.

Sertifika oluşturma işlemi hakkında daha fazla bilgi için bkz . X.509 sertifikalarını kullanarak Linux'ta IoT Edge cihazı oluşturma ve sağlama.

Not

Bu örnek, bir kayıt grubuyla sağlandığında IoT Edge ile X.509 CA kimlik doğrulamasını destekleyen Azure IoT Hub Cihazı Sağlama Hizmeti'ni (DPS) kapsamaz. DPS ile CA sertifikasını veya ara sertifikayı karşıya yüklersiniz, sertifika zinciri doğrulanır, ardından cihazın kurulumu yapılır. Daha fazla bilgi edinmek için bkz . DPS X.509 sertifika kanıtlama.

Azure portalında DPS, SHA256 parmak izi yerine sertifikanın SHA1 parmak izini gösterir.

DPS, IoT Hub'da SHA256 parmak izini kaydeder veya güncelleştirir. komutunu openssl x509 -in /var/lib/aziot/certd/certs/deviceid-long-random-string.cer -noout -fingerprint -sha256kullanarak parmak izini de kontrol edebilirsiniz. Kayıt sonrasında IoT Edge, IoT Hub ile parmak izi kimlik doğrulaması kullanır. Cihaz yeniden sağlanırsa ve yeni bir sertifika verilirse DPS, IoT Hub'ı yeni parmak iziyle güncelleştirir.

Şu anda IoT Hub, doğrudan IoT Edge ile X.509 CA kimlik doğrulamayı desteklemez.

Modül kimliği işlemleri için sertifika kullanımı

Sertifika doğrulama diyagramlarında IoT Edge yalnızca IoT Hub ile konuşmak için sertifikayı kullanıyor gibi görünebilir. IoT Edge'de çeşitli modüller vardır. IoT Edge, ileti gönderen modüllerin modül kimliklerini yönetmek için sertifikayı kullanır. Modüller IoT Hub'da kimlik doğrulaması yapmak için sertifikayı kullanmaz, ancak IoT Edge modül çalışma zamanının oluşturduğu özel anahtardan türetilen SAS anahtarlarını kullanır. Cihaz kimliği sertifikasının süresi dolsa bile bu SAS anahtarları değişmez. Sertifikanın süresi dolarsa edgeHub çalışmaya devam eder, ancak yalnızca modül kimliği işlemleri başarısız olur.

SAS anahtarı bir gizli diziden türetildiğinden ve IoT Edge anahtarı insan müdahalesi riski olmadan yönettiğinden modüllerle IoT Hub arasındaki etkileşim güvenlidir.

Ağ geçidi olarak IoT Edge ile iç içe yerleştirilmiş cihaz hiyerarşisi senaryosu

Artık IoT Edge ile IoT Hub arasındaki basit etkileşimi anlayabilirsiniz. Ancak IoT Edge, aşağı akış cihazları veya diğer IoT Edge cihazları için bir ağ geçidi işlevi de görebilir. Bu iletişim kanalları şifrelenmeli ve güvenilir olmalıdır. Eklenen karmaşıklık nedeniyle örnek senaryoyu aşağı akış cihazı içerecek şekilde genişletelim.

IoT Hub ContosoIotHub'a bağlanan üst IoT Edge cihazı EdgeGateway'e bağlanan TempSensor adlı normal bir IoT cihazı ekliyoruz. Daha önce olduğu gibi, tüm kimlik doğrulaması X.509 sertifika kimlik doğrulamayı kullanır. Bu senaryoda iki soru sorabilirsiniz: "TempSensor cihazı meşru mu?" ve "EdgeGateway'in kimliği doğru mu?". Senaryo burada gösterilmiştir:

IoT Edge cihazı, IoT Edge ağ geçidi ve IoT Hub arasındaki bağlantıyı gösteren diyagram.

İpucu

TempSensor bu senaryoda bir IoT cihazıdır. TempSensor üst EdgeGateway'in aşağı akış IoT Edge cihazıysa sertifika kavramı aynıdır.

Cihaz ağ geçidi kimliğini doğrular

TempSensor orijinal EdgeGateway ile iletişimde olduğunu nasıl doğrular? TempSensor EdgeGateway ile konuşmak istediğinde, TempSensor'ın kimlik göstermesi için EdgeGateway'e ihtiyacı vardır. Kimlik, TempSensor'ın güvendiği bir yetkili tarafından düzenlenmelidir.

Özel kök sertifika yetkilisini kullanarak sertifika doğrulaması ile ağ geçidi cihazından IoT Edge cihazına sertifika değişimini gösteren sıralı diyagram.

Akış, EdgeGateway'in ContosoIotHub ile konuşması ile aynıdır. TempSensor ve EdgeGateway, EdgeGateway'in kimliğini doğrulamak için TLS el sıkışma protokollerini kullanır. İki önemli ayrıntı vardır:

  • Ana bilgisayar adı özgülüğü: EdgeGateway tarafından sunulan sertifika, TempSensor'ın EdgeGateway'ebağlanmak için kullandığı ana bilgisayar adına (etki alanı veya IP adresi) gönderilmelidir.
  • Otomatik olarak imzalanan kök CA özgülüğü: EdgeGateway tarafından sunulan sertifika zinciri büyük olasılıkla işletim sistemi varsayılan güvenilen kök deposunda değildir.

Ayrıntıları anlamak için önce EdgeGateway tarafından sunulan sertifika zincirini inceleyelim.

IoT Edge ağ geçidi için sertifika yetkilisi zincirini gösteren akış diyagramı.

Ana bilgisayar adı özgülüğü

CN = edgegateway.local sertifika ortak adı zincirin en üstünde listelenir. edgegateway.local, edgeHub'ın sunucu sertifikası ortak adıdır. edgegateway.local aynı zamanda TempSensor ve EdgeGateway'in bağlı olduğu yerel ağda (LAN veya VNet) EdgeGateway'in ana bilgisayar adıdır. 192.168.1.23 gibi özel bir IP adresi veya diyagram gibi tam etki alanı adı (FQDN) olabilir. edgeHub sunucu sertifikası, IoT Edge config.toml dosyasında tanımlanan hostname parametresi kullanılarak oluşturulur. EdgeHub sunucu sertifikasını Edge CA sertifikasıylakarıştırmayın. Edge CA sertifikasını yönetme hakkında daha fazla bilgi için bkz . IoT Edge sertifikalarını yönetme.

TempSensor EdgeGateway'e bağlandığında, TempSensor EdgeGateway'e bağlanmak için edgegateway.local ana bilgisayar adını kullanır. TempSensor, EdgeGateway tarafından sunulan sertifikayı denetler ve sertifika ortak adının edgegateway.local olduğunu doğrular. Sertifika ortak adı farklıysa, TempSensor bağlantıyı reddeder.

Not

Kolaylık olması için, örnek doğrulanan özellik olarak konu sertifikası ortak adını (CN) gösterir. Uygulamada, bir sertifikanın konu alternatif adı (SAN) varsa, CN yerine SAN doğrulanır. Genel olarak, SAN birden çok değer içerebileceğinden hem sertifika sahibi için ana etki alanına/konak adına hem de diğer etki alanlarına sahiptir.

EdgeGateway'e neden kendi ana bilgisayar adı hakkında bilgi vermeniz gerekiyor?

EdgeGateway , ağdaki diğer istemcilerin buna nasıl bağlanabileceğini bilmek için güvenilir bir yönteme sahip değildir. Örneğin, özel bir ağda, EdgeGateway'iDHCP sunucuları veya mDNS hizmetleri olabilir. Ancak bazı ağlarda EdgeGateway'inedgegateway.localDNS sunucuları olabilir.

IoT Edge, sorunu çözmek için içinde config.toml yapılandırılan konak adı değerini kullanır ve bunun için bir sunucu sertifikası oluşturur. EdgeHub modülüne bir istek geldiğinde, sertifikayı doğru sertifika ortak adıyla (CN) sunar.

IoT Edge neden sertifika oluşturur?

Örnekte, sertifika zincirinde ayrılmış bir iş yükü ca edgegateway olduğuna dikkat edin. IoT Edge cihazında Edge CA (eski adı 1.1 sürümünde Cihaz CA'sı olarak bilinirdi) bulunan sertifika yetkilisidir (CA ). Önceki örnekteki Baltimore CyberTrust kök CA'sı gibi Edge CA da başka sertifikalar verebilir. En önemlisi ve bu örnekte sunucu sertifikasını edgeHub modülüne gönderir. Ancak IoT Edge cihazında çalışan diğer modüllere de sertifika verebilir.

Önemli

Varsayılan olarak yapılandırma olmadan Edge CA, hızlı başlangıç Edge CA olarak bilinen ilk kez başlatıldığında IoT Edge modülü çalışma zamanı tarafından otomatik olarak oluşturulur ve edgeHub modülüne bir sertifika gönderir. Bu işlem, edgeHub'ın imzalı geçerli bir sertifika sunmasına izin vererek akış cihazı bağlantısını hızlandırır. Bu özellik olmadan, CA'nızın EdgeHub modülü için bir sertifika vermesini almanız gerekir. Otomatik olarak oluşturulan bir hızlı başlangıç Edge CA'sı üretimde kullanılmak üzere desteklenmez. Hızlı başlangıç Edge CA'sı hakkında daha fazla bilgi için bkz . Hızlı Başlangıç Edge CA.

Cihazda bir veren sertifikası olması tehlikeli değil mi?

Edge CA sınırlı, güvenilir olmayan, pahalı veya bağlantısı olmayan çözümleri etkinleştirmek için tasarlanmıştır, ancak aynı zamanda sertifika yenilemeleriyle ilgili katı düzenlemelere veya ilkelere sahiptir. Edge CA olmadan, IoT Edge (ve özellikle edgeHub ) çalışamaz.

Üretimde Edge CA'nın güvenliğini sağlamak için:

  • EdgeCA özel anahtarını, tercihen özel anahtarın kısa süreli olarak oluşturulduğu ve TPM'den hiç ayrılmadığı bir şekilde güvenilir bir platform modülüne (TPM) yerleştirin.
  • Edge CA'sı tarafından toplandığı bir Ortak Anahtar Altyapısı (PKI) kullanın. Bu, güvenliği aşılmış sertifikaların yenilenmesini devre dışı bırakma veya reddetme olanağı sağlar. PKI, nasıl yapıldığını biliyorsa (daha düşük maliyet) veya ticari bir PKI sağlayıcısı aracılığıyla müşteri BT tarafından yönetilebilir.

Otomatik olarak imzalanan kök CA'ya özgü

edgeHub modülü, tüm gelen trafiği işleyerek IoT Edge'i oluşturan önemli bir bileşendir. Bu örnekte, Edge CA tarafından verilen ve otomatik olarak imzalanan kök CA tarafından verilen bir sertifika kullanır. Kök CA'ya işletim sistemi tarafından güvenilemediğinden, TempSensor'ın buna güvenmesinin tek yolu CA sertifikasını cihaza yüklemektir. Bu, kökü zincire güvenmesi gereken istemcilere dağıtmanız gereken güven paketi senaryosu olarak da bilinir. Güven paketi senaryosu, cihaza erişmeniz ve sertifikayı yüklemeniz gerektiğinden sorun olabilir. Sertifikanın yüklenmesi planlama gerektirir. Betiklerle yapılabilir, üretim sırasında eklenebilir veya işletim sistemi görüntüsüne önceden yüklenebilir.

Not

Bazı istemciler ve SDK'lar işletim sistemi güvenilen kök depoyu kullanmaz ve kök CA dosyasını doğrudan geçirmeniz gerekir.

TempSensor, bu kavramların tümünü uygulayarak orijinal EdgeGateway ile iletişim kurduğunu doğrulayabilir çünkü adresle eşleşen bir sertifika sundu ve sertifika güvenilir bir kök tarafından imzalandı.

Sertifika zincirini doğrulamak için TempSensoropensslkullanabilirsiniz. Bu örnekte, bağlantı için ana bilgisayar adının derinlik 0 sertifikasının CN'si ile eşleşir ve kök CA eşleşir.

openssl s_client -connect edgegateway.local:8883 --CAfile my_private_root_CA.pem

depth=3 CN = my_private_root_CA
verify return:1
depth=2 CN = my_optional_intermediate_CA
verify return:1
depth=1 CN = iotedged workload ca edgegateway
verify return:1
depth=0 CN = edgegateway.local
verify return: 1
CONNECTED(00000003)
---
Certificate chain
0 s:/CN=edgegateway.local
  i:/CN=iotedged workload ca edgegateway
1 s:/CN=iotedged workload ca edgegateway
  i:/CN=my_optional_intermediate_CA
2 s:/CN=my_optional_intermediate_CA
  i:/CN=my_private_root_CA

Komut hakkında openssl daha fazla bilgi edinmek için OpenSSL belgelerine bakın.

Ayrıca, içinde varsayılan olarak /var/lib/aziot/certd/certsdepolandıkları sertifikaları da inceleyebilirsiniz. Edge CA sertifikalarını, cihaz kimliği sertifikalarını ve modül sertifikalarını dizinde bulabilirsiniz. Sertifikaları incelemek için komutları kullanabilirsiniz openssl x509 . Örneğin:

sudo ls -l /var/lib/aziot/certd/certs

total 24
-rw-r--r-- 1 aziotcs aziotcs 1090 Jul 27 21:27 aziotedgedca-86f154be7ff14480027f0d00c59c223db6d9e4ab0b559fc523cca36a7c973d6d.cer
-rw-r--r-- 1 aziotcs aziotcs 2589 Jun 22 18:25 aziotedgedmoduleIoTEdgeAPIProxy637913460334654299server-c7066944a8d35ca97f1e7380ab2afea5068f39a8112476ffc89ea2c46ca81d10.cer
-rw-r--r-- 1 aziotcs aziotcs 2576 Jun 22 18:25 aziotedgedmoduleedgeHub637911101449272999server-a0407493b6b50ee07b3fedbbb9d181e7bb5f6f52c1d071114c361aca628daa92.cer
-rw-r--r-- 1 aziotcs aziotcs 1450 Jul 27 21:27 deviceid-bd732105ef89cf8edd2606a5309c8a26b7b5599a4e124a0fe6199b6b2f60e655.cer

Özetle, TempSensor EdgeGateway'e güvenebilir çünkü:

  • edgeHub modülünde edgegateway.local için geçerli bir IoT Edge modülü sunucu sertifikası gösterildi
  • Sertifika, tarafından verilen Edge CA tarafından verilirmy_private_root_CA
  • Bu özel kök CA, tempSensor'da daha önce güvenilen kök CA olarak da depolanır
  • Şifreleme algoritmaları, sahiplik ve verme zincirine güvenilebileceğini doğrular

Diğer modüller için sertifikalar

Diğer modüller, Edge CA tarafından verilen sunucu sertifikalarını alabilir. Örneğin, web arabirimine sahip bir Grafana modülü. Ayrıca Edge CA'dan sertifika alabilir. Modüller kapsayıcıda barındırılan aşağı akış cihazları olarak değerlendirilir. Ancak IoT Edge modülü çalışma zamanından sertifika alabilmek özel bir ayrıcalıktır. Modüller, yapılandırılan Edge CA'ya zincirlenmiş sunucu sertifikasını almak için iş yükü API'sini çağırır.

Ağ geçidi cihaz kimliğini doğrular

EdgeGateway, TempSensor ile iletişim kurduğunu nasıl denetler? EdgeGateway, TempSensor kimliğini doğrulamak için TLS istemci kimlik doğrulamasını kullanır.

IoT Edge cihazı ile ağ geçidi arasındaki sertifika değişimini gösteren ve IoT Hub sertifikalarına karşı sertifika denetimi içeren diyagram.

Sıra, ContosoIotHub'ın bir cihazı denetlemesine benzer. Ancak bir ağ geçidi senaryosunda EdgeGateway , sertifika kaydının gerçek kaynağı olarak ContosoIotHub'ı kullanır. EdgeGateway , bulut bağlantısı yoksa çevrimdışı bir kopya veya önbellek de tutar.

İpucu

IoT Edge cihazlarının aksine aşağı akış IoT cihazları parmak izi X.509 kimlik doğrulamasıyla sınırlı değildir. X.509 CA kimlik doğrulaması da bir seçenektir. EdgeGateway, parmak izi üzerinde bir eşleşme aramak yerine TempSensor sertifikasının ContosoIotHub'a yüklenmiş bir CA'da köklenip köklenmediğini de denetleyebilir.

Özetle, EdgeGateway TempSensor'a güvenebilir çünkü:

  • TempSensor adı için geçerli bir IoT cihaz kimliği sertifikası sunar
  • Kimlik sertifikasının parmak izi ContosoIotHub'a yüklenen parmak iziyle eşleşir
  • Şifreleme algoritmaları, sahiplik ve verme zincirine güvenilebileceğini doğrular

Sertifikaların ve yönetimin nereden alınacağı

Çoğu durumda, kendi sertifikalarınızı sağlar veya otomatik olarak oluşturulan sertifikaları kullanırsınız. Örneğin, Edge CA ve edgeHub sertifikası otomatik olarak oluşturulur.

Ancak en iyi yöntem, x509 sertifikalarını yönetmek için cihazlarınızı Güvenli Aktarım Üzerinden Kayıt (EST) sunucusu kullanacak şekilde ayarlamaktır. EST sunucusu, sertifikaların el ile işlenmesini ve cihazlara yüklenmesini önlemenizi sağlar. EST sunucusu kullanma hakkında daha fazla bilgi için bkz . Azure IoT Edge için Güvenli Aktarım Sunucusu üzerinden Kaydı Yapılandırma.

EST sunucusunda kimlik doğrulaması yapmak için sertifikaları da kullanabilirsiniz. Bu sertifikalar, diğer sertifikaları vermek için EST sunucularıyla kimlik doğrulaması yapar. Sertifika hizmeti, EST sunucusuyla kimlik doğrulaması yapmak için bir bootstrap sertifikası kullanır. Bootstrap sertifikası uzun ömürlüdür. İlk kimlik doğrulaması yapıldığında sertifika hizmeti EST sunucusundan bir kimlik sertifikası istemektedir. Kimlik sertifikası, aynı sunucuya gelecek EST isteklerinde kullanılır.

EST sunucusu kullanamıyorsanız PKI sağlayıcınızdan sertifika isteyin. Sertifika dosyalarını IoT Hub'da ve IoT Edge cihazlarınızda el ile yönetin. Daha fazla bilgi için bkz. IoT Edge cihazında sertifikaları yönetme.

Kavram kanıtı geliştirme için test sertifikaları oluşturun. Daha fazla bilgi için bkz . IoT Edge cihaz özelliklerini test etmek için tanıtım sertifikaları oluşturma.

IoT'de sertifikalar

Sertifika yetkilisi

Sertifika yetkilisi (CA) dijital sertifikalar sağlar. CA, sertifika sahibi ile sertifikanın alıcısı arasında güvenilir bir üçüncü taraf olarak görev yapar. Dijital sertifika, alıcının ortak anahtara sahip olduğunu kanıtlar. Güven sertifika zinciri, yetkilinin verdiği tüm sertifikalara olan güvenin temeli olan bir kök sertifikayla başlar. Kök sertifika sahibi ek ara sertifikalar (aşağı akış cihaz sertifikaları) verebilir.

Kök CA sertifikası

Kök CA sertifikası, işlemin güven köküdür. Üretimde bu CA sertifikasını genellikle Baltimore, Verisign veya DigiCert gibi güvenilir bir ticari sertifika yetkilisinden satın alırsınız. IoT Edge cihazlarınıza bağlanan tüm cihazları denetlerseniz, bir şirket sertifika yetkilisi kullanabilirsiniz. Her iki durumda da IoT Edge'den IoT Hub'a sertifika zinciri kök CA sertifikasını kullanır. Aşağı akış IoT cihazlarının kök sertifikaya güvenmesi gerekir. Kök CA sertifikasını güvenilen kök sertifika yetkilisi deposunda depolayın veya uygulama kodunuzda sertifika ayrıntılarını sağlayın.

Ara sertifikalar

Güvenli cihazlar için tipik bir üretim sürecinde, üreticiler sızıntı veya maruz kalma riski nedeniyle kök CA sertifikalarını nadiren doğrudan kullanır. Kök CA sertifikası bir veya daha fazla ara CA sertifikası oluşturur ve dijital olarak imzalar. Ara sertifika tek bir tane veya bir zincir halinde olabilir. Ara sertifika zinciri gerektiren senaryolar şunlardır:

  • Bir üretici içindeki departman hiyerarşisi
  • Bir cihazın üretimine seri olarak dahil olan birden çok şirket
  • Müşteri, üreticinin müşteriye ait cihazları imzalaması için kök CA satın alarak bir imzalama sertifikası türetiyor.

Üretici, uç cihaza yerleştirilen Edge CA sertifikasını imzalamak için bu zincirin sonunda bir ara CA sertifikası kullanır. Üretim tesisi bu ara sertifikaları yakından koruma altındadır. Katı fiziksel ve elektronik süreçler kullanımlarını denetler.

Sonraki adımlar

  • IoT Edge cihazına sertifika yükleme ve yapılandırma dosyasından bunlara başvurma hakkında daha fazla bilgi için bkz . IoT Edge cihazında sertifikayı yönetme.
  • Azure IoT Edge modüllerini anlama
  • IoT Edge cihazını saydam ağ geçidi olarak davranacak şekilde yapılandırma
  • Bu makalede, sertifikaların IoT Edge cihazındaki farklı bileşenler arasındaki veya IoT Edge cihazı ile aşağı akış cihazları arasındaki bağlantıların güvenliğini sağlamak için nasıl kullanıldığı açıklanmaktadır. IoT Edge cihazınızın kimliğini IoT Hub'da doğrulamak için sertifikalar da kullanabilirsiniz. Bu kimlik doğrulama sertifikaları farklıdır ve bu makalede açıklanmamıştır. Sertifikalarla cihazınızın kimliğini doğrulama hakkında daha fazla bilgi için bkz . X.509 sertifikalarını kullanarak IoT Edge cihazı oluşturma ve sağlama.