Выдача сертификата устройства в управлении сертификатами Центр Интернета вещей Azure (предварительный просмотр)

Выдача сертификата устройства — это процесс, с помощью которого устройства запрашивают и получают сертификат в рамках подготовки. Реестр устройств Azure (ADR) создает и выдает новый сертификат типа X.509 вашим устройствам Интернета вещей во время ввода в эксплуатацию. В этой статье объясняется обязанность устройства отправлять запрос на подписывание сертификата (CSR), как ADR и служба подготовки устройств (DPS) работают совместно, чтобы выдавать сертификаты в больших объемах, и как Центр Интернета вещей доверяет выданным сертификатам.

Это важно

Центр Интернета вещей Azure с интеграцией реестра устройств Azure и управлением сертификатами X.509, поддерживаемым Microsoft, находятся на этапе публичной предварительной версии и не рекомендуются для производственных нагрузок. Дополнительные сведения см. в разделе FAQ: новые возможности Центр Интернета вещей?.

Как работает выдача сертификата устройства

В следующих шагах описывается полноцикличный процесс выпуска:

  1. Устройство Интернета вещей подключается к конечной точке DPS и проходит проверку подлинности с помощью предварительно настроенных учетных данных подключения, таких как симметричный ключ, сертификат X.509 или доверенный модуль платформы (TPM). В рамках этого вызова регистрации устройство отправляет запрос на подпись сертификата (CSR), который включает открытый ключ устройства и его идентификатор регистрации.
  2. DPS привязывает устройство Интернета вещей к Центр Интернета вещей на основе конфигурации записи.
  3. Идентификатор устройства создается в Центр Интернета вещей и регистрируется в пространстве имен ADR. CSR отправлено в уникальное PKI, назначенное для пространства имен ADR. PKI проверяет запрос и пересылает его политике, связанной с регистрацией DPS.
  4. Центр сертификации подписывает и выпускает операционный сертификат.
  5. DPS возвращает выданный сертификат и сведения о подключении к Центр Интернета вещей для устройства.
  6. Устройство проходит проверку подлинности с помощью Центр Интернета вещей путем представления полной цепочки сертификатов.

Диаграмма, показывающая, как реестр устройств Azure интегрируется с Центр Интернета вещей и DPS для управления сертификатами во время развертывания.

Требования к запросу на подпись сертификата

При настройке или повторной настройке устройства отправляется CSR в DPS. DPS ожидает, что CSR соответствует следующим требованиям:

  • Формат: Правила кодирования, представленные в кодировке DER, закодированные в Base64, согласно спецификации стандартов криптографии с открытым ключем (PKCS) #10. Заголовки и колонтитулы для писем с повышенной конфиденциальностью (PEM) не могут быть включены.
  • Общее имя (CN): Поле CN должно точно соответствовать идентификатору регистрации DPS устройства.
  • Алгоритм ключа: Ключ на эллиптической кривой (EC) с использованием кривой NIST P-384. Ключи RSA не поддерживаются в текущей предварительной версии.

Примеры реализации см. в примерах пакета SDK для устройств DPS.

Алгоритмы шифрования

Управление сертификатами использует следующие криптографические стандарты для всех сертификатов, выданных политикой:

Недвижимость Ценность
Алгоритм ключа ECC (ECDSA)
Кривая NIST P-384 (secp384r1)
Хэш-алгоритм SHA-384
Хранилище ключей управляемый HSM Azure

ECC с P-384 обеспечивает эквивалентную безопасность RSA на гораздо меньших размерах ключей. Этот алгоритм создает меньшие сертификаты, более быстрые подтверждения TLS и меньшее потребление энергии на ограниченных устройствах Интернета вещей.

Синхронизация доверия и учетных данных для Центр Интернета вещей

Чтобы устройство прошло аутентификацию в Центр Интернета вещей с использованием выданного сертификата, Центр Интернета вещей должен доверять выдающей ЦС, подписавшей сертификат устройства. ADR управляет этим доверием с помощью синхронизации учетных данных, которая отправляет сертификат УЦ из ADR в связанные узлы IoT.

Чтобы выполнить синхронизацию учетных данных вручную, используйте следующую команду Azure CLI:

az iot adr ns credential sync --namespace <namespace> -g <resource-group>

Центр Интернета вещей хранит выдавающий сертификат ЦС и использует его для проверки цепочки сертификатов, присутствующих на устройствах во время проверки подлинности TLS.