你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
证书管理是 Azure 设备注册表(ADR)的可选功能,可用于颁发和管理 IoT 设备的 X.509 证书。 它为每个 ADR 命名空间配置专用的基于云的公钥基础结构(PKI),而无需任何本地服务器、连接器或硬件。 它管理已预配到该 ADR 命名空间的所有 IoT 设备的颁发和续订证书。 这些 X.509 证书可用于 IoT 设备,以便通过 IoT 中心进行身份验证。
使用证书管理还需要使用 IoT 中心、Azure 设备注册表(ADR)和设备预配服务(DPS)。 证书管理目前以公共预览版提供。
重要
具有 ADR 集成和Microsoft支持的 X.509 证书管理的 Azure IoT 中心以 公共预览版 提供,不建议用于生产工作负荷。 有关详细信息,请参阅常见问题解答:IoT 中心有哪些新增功能?
功能概述
预览版 IoT 中心设备的证书管理支持以下功能:
| 功能 / 特点 | Description |
|---|---|
| 在 ADR 命名空间中创建多个证书颁发机构(CA) | 在云中创建具有根和证书发证机构的两层 PKI 层次结构。 |
| 为每个 ADR 命名空间创建唯一的根证书颁发机构 (CA) | 在 ADR 命名空间中创建最多 1 个根 CA(也称为凭据) |
| 每个策略最多可创建一个颁发 CA | 在 ADR 命名空间中创建最多 1 个颁发 CA(也称为策略),并自定义已颁发的证书的有效期。 |
| 签名和加密算法 | 证书管理支持 ECC(ECDSA)和曲线 NIST P-384 |
| 哈希算法 | 证书管理支持 SHA-384 |
| HSM 密钥(签名和加密) | 密钥是使用 Azure 托管硬件安全模块(Azure 托管 HSM)预配的。 在 ADR 命名空间中创建的 CA 会自动使用 HSM 签名和加密密钥。 使用 Azure HSM 不需要 Azure 订阅。 |
| 最终实体证书颁发和续订 | 最终实体证书(也称为叶证书或设备证书)由颁发 CA 签名并传送到设备。 证书发证机构也可以更新叶证书。 |
| 叶证书的大规模预配 | ADR 命名空间中定义的策略直接链接到在证书预配时要使用的设备预配服务注册。 |
| 将 CA 证书与 IoT 中心同步 | ADR 命名空间中定义的策略将同步到相应的 IoT 中心。 这将使 IoT 中心能够信任使用最终实体证书进行身份验证的任何设备。 |
启用与操作凭据
目前,证书管理支持对最终实体 作证书进行颁发和续订。
载入凭据: 若要使用证书管理,必须通过设备预配服务(DPS)预配设备。 若要使设备使用 DPS 进行预配,它必须使用受支持的 载入凭据类型之一(包括 X.509 证书(从第三方 CA 采购)、对称密钥和受信任的平台模块(TPM)进行载入和身份验证。 这些凭据通常在设备发货之前就已安装。
操作证书: 最终实体操作证书是一种操作凭据。 在 DPS 配置设备后,此证书由颁发的 CA 颁发给设备。 与载入凭据不同,这些证书通常是生存期较短的,并在设备运行期间或根据需要频繁续订。 设备可以使用其操作证书链直接与 IoT 中心进行身份验证,并执行典型操作。 目前,证书管理仅提供操作证书。
证书管理的工作原理
证书管理由多个集成组件组成,这些组件协同工作,以简化跨 IoT 设备的公钥基础结构(PKI)的部署。 若要使用证书管理,必须设置:
- IoT 中心(预览版)
- Azure 设备注册表 (ADR) 命名空间
- 设备预配服务 (DPS) 实例
IoT Hub(预览版)集成
链接到 ADR 命名空间的 IoT 中心可以利用证书管理功能。 可以将 CA 证书从 ADR 命名空间同步到所有 IoT 中心,以便每个 IoT 中心都可以对尝试连接到已颁发的证书链的任何 IoT 设备进行身份验证。
Azure 设备注册表集成
证书管理使用 Azure 设备注册表(ADR) 来管理 CA 证书。 它与 IoT 中心和设备预配服务(DPS)集成,为管理设备标识和 CA 证书提供无缝体验。
下图演示了用于通过 ADR 命名空间对 Azure IoT 中心中的 IoT 设备进行身份验证的 X.509 证书层次结构。
- 每个启用了证书管理的 ADR 命名空间都将具有由Microsoft管理的唯一凭据(根 CA)。 此凭据表示链中排名靠前的证书颁发机构。
- ADR 命名空间中的每个策略都定义了一个由根发证机构签名的证书发证机构 (ICA)。 每个策略只能与链接到命名空间的中心共享其 CA 证书。 而且,每个策略只能向在该命名空间中注册的设备颁发叶证书。 可以为每个策略配置颁发的证书的有效期。 最小有效期为 1 天,最大有效期为 90 天。
- 创建凭据和策略后,可以直接将这些 CA 证书与 IoT 中心同步。 IoT 中心现在能够对提供此证书链的设备进行身份验证。
设备预配服务集成
若要使设备接收叶证书,设备必须通过 设备预配服务(DPS)进行预配。 需要配置 个人或组注册,其中包括定义:
- 该注册的特定启用凭据类型。 支持的方法包括受信任的平台模块(TPM)、对称密钥或 X.509 证书。
- 在 ADR 命名空间中创建的特定策略。 此策略会为通过此注册预配的设备签署并颁发叶证书。
设备预配服务现在在预配过程中接受证书签名请求(CSR)。 CSR 将发送到 DPS 和 PKI,它将验证请求,并将其转发到相应的颁发 CA(ICA)以颁发已签名的 X.509 证书。
证书管理目前在预配过程中支持以下协议:HTTP 和 MQTT。 有关 DPS 证书签名请求的详细信息,请查看一些 DPS 设备 SDK 示例。
注释
为每个 ADR 命名空间配置 PKI 时,它不会作为外部 Azure 资源公开。
使用证书管理进行端到端设备预配(运行时体验)
下图演示了使用证书管理进行设备预配的端到端过程:
- IoT 设备连接到 DPS 终结点,并使用其预配置的载入凭据向服务进行身份验证。 作为此注册调用的一部分,设备发送证书签名请求(CSR)。 CSR 包含有关设备的信息,例如其公钥和其他标识详细信息。
- DPS 根据其 DPS 注册中的链接中心将 IoT 设备分配到 IoT 中心。
- 设备标识在 IoT 中心创建,并注册到相应的 ADR 命名空间。
- DPS 使用 CSR 向 PKI 请求操作证书。 PKI 会验证 CSR 并将其转发到链接到 DPS 注册的策略(证书发证机构)。
- 策略会签署并颁发操作证书。
- DPS 将操作证书和 IoT 中心连接详细信息发送回设备。
- 现在,设备可以通过将完整的颁发证书链发送到 IoT 中心来向 IoT 中心进行身份验证。
叶证书的续订
可以使用与首次颁发证书相同的机制续订最终实体叶证书。 当设备检测到需要续订其操作证书时,它必须启动另一个向 DPS 的注册请求,并提交新的证书签名请求(CSR)。 再一次,CSR 会被发送到相应的证书发证机构 (ICA),以请求续订的叶证书。 批准后,将续订的操作证书返回设备,用于安全通信。
每个设备负责监视其作证书的到期日期,并在需要时启动证书续订。 最佳做法是,建议在证书到期日期之前续订证书,以确保通信不间断。 操作证书包括其 Valid from 日期和 Valid until 日期,设备可以监视这些日期以确定何时需要续订。 在此预览版中,我们建议设备使用其 设备孪生报告属性 来报告证书颁发日期和到期日期。 然后,这些属性可用于可观测性,例如生成仪表板。
禁用设备
证书管理不支持在公共预览版期间吊销证书。 若要删除使用 X.509作证书的设备的连接,可以在 IoT 中心禁用设备。 若要禁用设备,请参阅 “禁用或删除设备”。
限制和配额
有关使用 IoT 中心进行证书管理的限制和配额的最新信息,请参阅 Azure 订阅和服务限制 。