Azure IoT Hub 中的憑證管理旨在簡化物聯網裝置 X.509 憑證的管理。 本文介紹了與憑證管理及基於憑證的認證相關的基本概念,應用於 IoT Hub。 欲了解更多資訊,請參閱 「什麼是憑證管理(預覽)?」。
這很重要
Azure IoT Hub 搭配 ADR 整合和 Microsoft 支援的 X.509 憑證管理目前處於 公開預覽 階段,不建議用於生產工作負載。 欲了解更多資訊,請參閱 常見問題集:IoT Hub 有什麼新意?
公鑰基礎建設(PKI)
PKI 是一種使用數位憑證對設備和服務之間的資料進行身份驗證和加密的系統。 PKI 憑證對於保護各種情境至關重要,例如網頁與裝置身份。 在物聯網環境中,管理 PKI 憑證可能具有挑戰性、成本高昂且複雜,尤其對於擁有大量裝置及嚴格安全要求的組織而言。 您可以利用憑證管理來提升裝置安全性,加速數位轉型,實現完全託管的雲端 PKI 服務。
Microsoft 與第三方 PKI 的比較
雖然 IoT Hub 支援兩種 PKI 供應商用於 X.509 憑證認證,但憑證管理目前僅支援 Microsoft 管理(第一方)PKI。 有關使用第三方 PKI 供應商的資訊,請參見 以 X.509 CA 憑證認證裝置。
| PKI 供應商 | 必須整合 | Azure 裝置註冊表為必需 | 需要裝置配置服務 |
|---|---|---|---|
| Microsoft 管理的 PKI | 否。 直接在 Azure 裝置註冊表設定憑證授權機構。 | Yes | Yes |
| 第三方公鑰基礎設施(DigiCert、GlobalSign 等) | 是的。 需要手動整合。 | 否 | 否 |
X.509 憑證
X.509 憑證是一種數位文件,將公鑰綁定於實體身份,例如裝置、使用者或服務。 基於憑證的認證相較於較不安全的方法有多項優勢:
- 憑證使用公私鑰密碼學。 公鑰可自由共享,而私鑰則留在裝置上,並可存放於可信平台模組(TPM)或安全元件中。 這防止攻擊者冒充裝置。
- 憑證透過憑證授權機構(CA)階層制度發行與驗證,讓組織能透過單一 CA 信任數百萬台裝置,而無需管理每個裝置的機密。
- 裝置向雲端認證,雲端向裝置進行認證,實現互惠傳輸層安全(TLS)認證。
- 證書有明確的有效期限,且可由中央單位續期或撤銷。
X.509 證書大致分為兩大類:
加州證書: 這些憑證由憑證授權機構(CA)簽發,你可以用它們來簽署其他憑證。 CA 證書包含根憑證與中間憑證。
根CA: 根憑證是來自受信任 CA 的頂層自簽憑證,可用來簽署中間的憑證。
中級或發行 CA:中介憑證是由受信任的根憑證簽署的 CA 憑證。 中介憑證也可以是發行機構憑證,前提是它們用於簽署終端實體憑證。
備註
使用不同的中介證書來針對不同裝置組合或群組,例如不同製造商的裝置或不同型號的裝置,可能會有幫助。 使用不同憑證的原因,是為了減少任何特定憑證被入侵時的整體安全影響。
終端實體憑證: 這些憑證可以是個別或葉式裝置憑證,由 CA 憑證簽署,並頒發給使用者、伺服器或裝置。
憑證簽署要求
憑證簽署請求(CSR)是用戶端(例如物聯網裝置)產生的數位簽章訊息,用以向憑證授權機構(CA)請求簽署憑證。 CSR 包含裝置的公開金鑰與識別資訊,如註冊 ID,並以裝置的私鑰簽署以證明金鑰的所有權。
CSR 必須遵守 PKI 的政策要求,包括核准的關鍵字演算法、關鍵字大小及主題欄位格式。 當裝置產生新的私鑰時,也會產生新的 CSR。 CA 驗證並核准 CSR 後,會發出 X.509 憑證,將裝置身份綁定於公鑰。 此過程確保只有能夠證明擁有私鑰的裝置才能獲得受信任憑證。
裝置配置服務中的憑證簽署請求要求
在憑證管理中,裝置會在配置或重新配置時提交 CSR。 裝置配置服務(DPS)期望CSR採用Base64編碼的區別編碼規則(DER)格式,遵循公鑰密碼標準(PKCS)#10規範。 本提交不包含隱私增強郵件(PEM)頁首與頁尾。 CSR 中的通用名稱(CN)欄位必須與裝置註冊 ID 完全一致。
驗證與授權
認證 就是向物聯網樞紐證明身份。 它用來驗證使用者或裝置是否就是它所聲稱的身份。 這個過程通常稱為 AuthN。
授權 是指確認已認證的使用者或裝置在物聯網中樞中能存取或執行什麼。 它定義了資源和指令的權限。 授權有時稱為 AuthZ。
X.509 憑證僅用於物聯網中樞的認證,不用於授權。 與 Microsoft Entra ID 及 共享存取簽章不同,X.509 憑證無法自訂權限。