如何擲回 X.509 裝置憑證

文章
05/02/2024

在 IoT 解決方案的生命週期內，您必須輪替憑證。輪替憑證的兩大主因是安全性缺口和憑證到期。

輪替憑證是安全性最佳做法，可協助保護系統在發生缺口時的安全。作為假設缺口方法的一部分，Microsoft 提倡必須備妥反應式安全性程序以及預防措施。輪替您的裝置憑證應該包含作為這些安全性程序的一部分。您套用憑證的頻率將取決於您解決方案的安全性需求。具有涉及高度敏感性資料之解決方案的客戶，可能會每天輪替憑證，而其他客戶則每幾年輪替其憑證。

輪替裝置憑證涉及更新儲存在裝置和 IoT 中樞上的憑證。之後，裝置可以使用裝置布建服務（DPS）的一般布建，以IoT中樞重新布建本身。

取得新的憑證

有許多方式可為您的 IoT 裝置取得新憑證。這些包括從裝置原廠取得憑證，產生自己的憑證，以及讓第三方為您管理憑證建立。

憑證會彼此簽署，以形成從根 CA 憑證到分葉憑證的信任鏈結。簽署憑證是用來簽署信任鏈結尾端分葉憑證的憑證。簽署憑證可以是信任鏈結的根 CA 憑證或中繼憑證。如需詳細資訊，請參閱 X.509 憑證。

有兩種不同的方式可取得簽署憑證。第一種方式就是向根憑證授權單位 (CA) 購買簽署憑證，建議用於生產系統。這種方式可將安全性向下鏈結到信任的來源。

第二種方式就是使用 OpenSSL 之類的工具，建立自己的 X.509 憑證。這種方法適合用來測試 X.509 憑證，但是提供很少的安全性保證。我們建議您只使用此方法進行測試，除非您準備作為自己的 CA 提供者。

在裝置上輪替憑證

裝置上的憑證應該一律儲存在安全的地方，例如硬體安全性模組（HSM）。輪替裝置憑證的方式將取決於它們一開始在裝置中建立和安裝的方式。

如果您從第三方取得您的憑證，您必須研究它們如何輪替其憑證。此程序可能包含在您與他們的約定中，或者可能是他們所提供的個別服務。

如果您要管理自己的裝置憑證，您必須建置自己的管線，以便更新憑證。請確定舊的和新的分葉憑證具有相同的一般名稱 (CN)。具有相同的 CN，裝置本身即可重新佈建，而不需要建立重複的註冊記錄。

在裝置上安裝新憑證的機制通常涉及下列其中一種方法：

您可以觸發受影響的裝置，將新的憑證簽署要求 (CSR) 傳送至 PKI 憑證授權單位 (CA)。在此情況下，每個裝置都可能會直接從 CA 下載其新的裝置憑證。
您可以從每個裝置保留 CSR，並用來從 PKI CA 取得新的裝置憑證。在此情況下，您必須使用安全的 OTA 更新服務，將新的憑證推送至韌體更新中的每個裝置，例如適用於 IoT 中樞的裝置更新。

在 DPS 中擲出憑證

您可將裝置憑證手動新增至 IoT 中樞。您也可以使用裝置布建服務實例來自動化憑證。在本文中，我們將假設裝置布建服務實例正用來支持自動布建。

一開始透過自動布建布建裝置時，會開機並連絡布建服務。佈建服務的回應方式如下：使用裝置的分葉憑證作為認證，在 IoT 中樞建立裝置身分識別之前，先執行身分識別檢查。佈建服務會接著告知裝置獲派的 IoT 中樞，然後裝置會使用其分葉憑證進行驗證及連線到 IoT 中樞。

新的分葉憑證輪替至裝置後，便無法再連線到 IoT 中樞，因為它目前使用新的憑證進行連線。 IoT 中樞只會辨識使用舊憑證的裝置。裝置的連線嘗試結果會是「未經授權」的連線錯誤。若要解決這個錯誤，您必須更新裝置的註冊項目，以將裝置的新分葉憑證納入考量。然後佈建服務可以在重新佈建裝置時，視需要更新 IoT 中樞裝置登錄資訊。

此連線失敗的其中一個可能例外狀況是您在布建服務中為裝置建立註冊群組的情況。在此情況下，如果您並未輪替裝置的信任鏈結中的根憑證或中繼憑證，只有新憑證屬於註冊群組中所定義的信任鏈結，就能辨識此裝置。如果為了反應安全性缺口而出現這種情況，應該至少不允許群組中認定為遭入侵的特定裝置憑證。如需詳細資訊，請參閱不允許註冊群組中的特定裝置

更新註冊項目的處理方式，將取決於您使用的是個別註冊或群組註冊。此外，建議的程序也會因為安全性缺口或憑證到期而輪替憑證而有所不同。下列各節說明如何處理這些更新。

針對個別註冊輪替憑證

如果您要輪替憑證以因應安全性缺口，您應該立即刪除任何遭入侵的憑證。

如果您要輪流憑證來處理憑證到期，您應該使用次要憑證設定來減少嘗試布建之裝置的停機時間。稍後，當次要憑證接近到期且需要復原時，您可以使用主要組態來輪替。如此一來，輪流使用主要與次要憑證可使嘗試佈建的裝置減少停機時間。

更新已輪替憑證的註冊項目會在 [管理註冊] 頁面上完成。若要存取該頁面，請遵循下列步驟：

登入 Azure 入口網站，並流覽至具有裝置註冊專案的裝置布建服務實例。
選取 [管理註冊]。
選取 [個別註冊] 索引標籤，然後選取清單中的註冊識別碼項目。
如果您想要刪除現有的憑證，請勾選 [移除或取代主要/次要憑證] 核取方塊。選取檔案資料夾圖示，以瀏覽及上傳新的憑證。

如果有任何憑證遭到入侵，您應該儘快移除這些憑證。

如果您的其中一個憑證即將到期，只要第二個憑證在該日期之後仍處於作用中狀態，您就可以保留該憑證。
完成作業後，選取 [儲存]。
如果您已從布建服務中移除遭入侵的憑證，只要裝置註冊存在，憑證仍可用來建立與IoT中樞的裝置連線。您可以透過下列兩種方式來解決：

第一種方式是手動流覽至IoT中樞，並立即移除與遭入侵憑證相關聯的裝置註冊。然後，當裝置使用更新的憑證再次布建時，將會建立新的裝置註冊。

第二種方式是使用重新布建支援，將裝置重新布建至相同的IoT中樞。此方法可用來取代IoT中樞上裝置註冊的憑證。如需詳細資訊，請參閱如何重新布建裝置。

針對註冊群組輪替憑證

若要更新群組註冊以因應安全性缺口，您應該立即刪除遭入侵的根 CA 或中繼憑證。

如果您是以輪替憑證的方式來處理憑證過期，則應使用次要憑證組態，確保嘗試佈建的裝置不會停機。稍後當次要憑證也快要到期，而且需要輪替時，您可以輪換成使用主要組態。如此一來，輪流使用主要與次要憑證可確保嘗試佈建的裝置不會停機。

更新根 CA 憑證

從裝置布建服務實例導覽功能表的 [設定] 區段中選取 [憑證]。
從清單中選取遭入侵或過期的憑證，然後選取 [ 刪除]。輸入憑證名稱確認刪除，然後選取 [ 確定]。
請遵循設定已驗證的 CA 憑證中的步驟來新增和驗證新的根 CA 憑證。
從裝置布建服務實例導覽功能表的 [設定] 區段中選取 [管理註冊]，然後選取 [註冊群組] 索引卷標。
從清單中選取您的註冊組名。
在 [X.509 憑證設定 ] 區段中，選取新的根 CA 憑證來取代遭入侵或過期的憑證，或新增為次要憑證。
選取 [儲存]。
如果您已從布建服務移除遭入侵的憑證，只要裝置註冊存在，憑證仍可用來建立IoT中樞的裝置連線。您可以透過下列兩種方式來解決：

第一種方式是手動流覽至IoT中樞，並立即移除與遭入侵憑證相關聯的裝置註冊。然後，當您的裝置再次布建更新的憑證時，將會為每個裝置建立新的裝置註冊。

第二種方式是使用重新布建支援，將裝置重新布建至相同的IoT中樞。此方法可用來取代IoT中樞上裝置註冊的憑證。如需詳細資訊，請參閱如何重新布建裝置。

更新中繼憑證

從裝置布建服務實例導覽功能表的 [設定] 區段中選取 [管理註冊]，然後選取 [註冊群組] 索引卷標。
從清單中選取組名。
如果您想要刪除現有的憑證，請勾選 [移除或取代主要/次要憑證] 核取方塊。選取檔案資料夾圖示，以瀏覽及上傳新的憑證。

如果有任何憑證遭到入侵，您應該儘快移除這些憑證。

如果您的其中一個憑證即將到期，只要第二個憑證在該日期之後仍處於作用中狀態，您就可以保留該憑證。

每個中繼憑證都應該由已驗證的根 CA 憑證簽署，該憑證已新增至布建服務。如需詳細資訊，請參閱 X.509 憑證。
如果您已從布建服務移除遭入侵的憑證，只要裝置註冊存在，憑證仍可用來建立IoT中樞的裝置連線。您可以透過下列兩種方式來解決：

第一種方式是手動流覽至IoT中樞，並立即移除與遭入侵憑證相關聯的裝置註冊。然後，當您的裝置再次布建更新的憑證時，將會為每個裝置建立新的裝置註冊。

第二種方式是使用重新布建支援，將裝置重新布建至相同的IoT中樞。此方法可用來取代IoT中樞上裝置註冊的憑證。如需詳細資訊，請參閱如何重新布建裝置。

重新佈建裝置

在裝置和裝置佈建服務上輪替憑證之後，裝置可以連絡裝置佈建服務來重新佈建本身。

重新佈建的一個簡單方法，就是將裝置程式設計為連絡布建服務，以在裝置收到嘗試連線到IoT中樞時發生「未經授權」錯誤，以透過布建流程。

另一種方式是讓舊憑證和新憑證在短重疊中有效，並使用IoT中樞將命令傳送至裝置，讓他們透過布建服務重新註冊，以更新其IoT 中樞連線資訊。因為每個裝置都可以使用不同的方式處理命令，因此您必須將裝置程式設計為當叫用命令時知道該怎麼做。有數種方式可以透過 IoT 中樞命令裝置，建議您使用直接方法或作業來起始程式。

重新佈建完成後，裝置就能夠使用新的憑證連線到 IoT 中樞。

不允許憑證

為了因應安全性缺口，您可能需要不允許裝置憑證。若要不允許裝置憑證，請停用目標裝置/憑證的註冊項目。如需詳細資訊，請參閱管理取消註冊一文中的不允許裝置。

一旦憑證包含在已停用註冊專案的一部分，任何使用該憑證向IoT中樞註冊的嘗試都會失敗，即使它作為另一個註冊專案的一部分啟用也一樣。

下一步

若要深入了解裝置布建服務中的 X.509 憑證，請參閱 X.509 憑證證明
若要瞭解如何使用 Azure IoT 中樞裝置布建服務執行 X.509 CA 憑證的擁有證明，請參閱如何驗證憑證
若要瞭解如何使用入口網站來建立註冊群組，請參閱使用 Azure 入口網站管理裝置註冊。

分享方式：