Концепции отзыва сертификатов и управления политиками (предварительная версия)

Управление сертификатами в Центр Интернета вещей Azure позволяет выдавать, управлять и отзывать сертификаты X.509 на протяжении всего жизненного цикла. В этой статье приводятся основные понятия, связанные с отзывом сертификатов устройств, отменой политик, удалением политик и удалением ресурсов учетных данных. Эти операции являются частью согласованной стратегии управления жизненным циклом, которая помогает поддерживать состояние безопасности при истечении срока действия сертификатов, устройства удаляются или изменяются бизнес-требования.

Это важно

Центр Интернета вещей Azure с интеграцией реестра устройств Azure и управлением сертификатами X.509, поддерживаемым Microsoft, находятся на этапе публичной предварительной версии и не рекомендуются для производственных нагрузок. Дополнительные сведения см. в разделе FAQ: новые возможности Центр Интернета вещей?.

Связь между операциями жизненного цикла сертификатов

Жизненный цикл сертификатов в Реестре устройств Azure (ADR) следует структурированной иерархии: ресурс идентификационных данных устанавливает корневой ЦС на уровне пространства имен, политика определяет выдающий ЦС, который подписывает сертификаты устройств, и каждое устройство использует свой собственный сертификат. Связанные центры Интернета вещей доверяют удостоверяющему центру, где ADR синхронизируется с политикой. Операции отзыва и удаления позволяют действовать на правильном уровне для решения проблемы:

  • Отмена сертификатов устройств , если проблема ограничена одним устройством.
  • Отмените политику , когда проблема влияет на каждый сертификат, выданный политикой.
  • Удалите политику, когда путь выдачи больше не требуется для будущей генерации сертификатов.
  • Удалите ресурс учетных данных , если вам больше не нужно использовать управление сертификатами в пространстве имен.

Необходимые условия

Для выполнения операций отзыва сертификатов и управления политиками необходимо, чтобы у вас была назначена роль Azure Device Registry Credentials Contributor в пространство имен реестра устройств Azure. Эта роль предоставляет полный доступ к управлению учетными данными и политиками (microsoft.deviceregistry/namespaces/credentials/* и microsoft.deviceregistry/namespaces/credentials/policies/*).

Если у вас нет этой роли, обратитесь к администратору Azure, чтобы запросить необходимые разрешения.

Отзыв сертификатов устройств

При отмене сертификата устройства в реестре устройств Azure (ADR) все сертификаты, которые когда-либо были выданы на это устройство, отозваны. В рамках этого процесса уникальный идентификатор сертификата устройства добавляется в список отзыва сертификатов ЦС (CRL), предотвращая проверку подлинности устройства в Центр Интернета вещей с помощью любого ранее выданного сертификата.

Чтобы восстановить подключение, устройство необходимо повторно представить и запросить новый сертификат. Это действие рекомендуется, если устройство скомпрометировано, удалено или больше не является доверенным. По умолчанию устройство остается включено в Центр Интернета вещей и может повторно подключиться после выдачи нового сертификата. Однако если немедленный доступ необходимо заблокировать, можно отозвать сертификат и отключить устройство, чтобы предотвратить дальнейшие подключения.

Это важно

Центр Интернета вещей не оценивает список отзыва сертификатов УЦ (CRL) во время подключения к устройству. Вместо этого отмена применяется с помощью уникального идентификатора для каждого устройства, внедренного в сертификат во время выдачи. Когда устройство подключается с помощью сертификата, Центр Интернета вещей извлекает этот идентификатор и сравнивает его с текущим идентификатором устройства, хранящимся в службе, чтобы определить, был ли отозван сертификат. При отзыве сертификата устройства его уникальный идентификатор поворачивается. Все сертификаты, выданные после отзыва, содержат новый идентификатор, в то время как ранее выданные сертификаты больше не соответствуют и обрабатываются как отозванные.

Влияние отзыва сертификата устройства

Отзыв сертификатов устройства влияет только на целевое устройство и не влияет на другие устройства или политику, выдавающую сертификат.

  • сертификат устройства обновляется: регистрация устройств в Azure аннулирует все когда-либо выданные этому устройству сертификаты. Устройства должны пройти повторное предоставление для получения нового сертификата.

  • Обновления доверия Центр Интернета вещей: сертификат удостоверяющего центра, сохраненный в Центр Интернета вещей, принимает и новые сертификаты, выданные в соответствии с политикой.

  • Устройство может оставаться включено. По умолчанию удостоверение устройства остается включено, поэтому устройство может повторно подключиться после того, как он получит новый сертификат.

  • Отмена и отключение доступа: если вы отменяете и отключаете устройство, устройство не сможет подключиться, пока не включите его повторно.

  • Не влияет на политику или другие устройства: другие устройства, использующие ту же политику, сохраняют свои сертификаты.

Отмена политики

Отмена политики изменяет выданный ЦС для этой политики и влияет на каждый сертификат устройства, выданный политикой. Используйте это действие, если проблема затрагивает всю цепочку сертификата, например, при предполагаемом компрометировании ключа УЦ.

Поток отзыва отличается в зависимости от типа политики:

  • политика, подписанная корневым центром сертификации Microsoft: сертификат выдающего центра сертификации добавляется в список отзыва сертификатов корневого ЦС уровня пространства имен (CRL). Azure реестр устройств создает заменяющий сертификатный центр и автоматически синхронизирует новый сертификатный центр с подключенными IoT-хабами.

  • Политика, подписанная внешним УЦ: Вы не можете отозвать политику, настроенную с помощью внешнего УЦ. Необходимо гарантировать, что отзыв также распространяется на список отзыва сертификатов внешнего УЦ (CRL) или сервер OCSP.

Влияние отзыва политики

Поскольку политика действует как удостоверяющий центр, ее отзыв влияет на каждое устройство, сертификат которого был выдан этим центром.

  • ЦС для выдачи меняется: политика прекращает использование текущего выдающего ЦС и переходит к замене на новый выдающий ЦС.

  • Затронуты все выданные сертификаты устройств: устройства, использующие сертификаты из предыдущей выдачи ЦС, должны запрашивать и получать новые сертификаты устройств, прежде чем они смогут возобновить обычную проверку подлинности.

  • Изменения доверия в Центр Интернета вещей: связанные Центр Интернета вещей перестают доверять предыдущему удостоверяющему центру (ЦС) и должны доверять новому ЦС.

  • Поток стандартной политики завершается в ADR: для политики, управляемой службой, ADR автоматически синхронизирует заменяющий ЦС с связанными центрами.

  • Поток BYOR нуждается в действиях клиента: для политики BYOR необходимо подписать новый CSR, активировать политику и запустить синхронизацию учетных данных.

  • Другие политики остаются отдельными. Если развертывание использует несколько политик, отмена одной политики не влияет на сертификаты, выданные другими политиками.

  • Сдерживание угроз безопасности: Это действие полезно, если вы подозреваете, что выдающий УЦ или его личный ключ скомпрометирован, или когда требуется полное обновление сертификата для этого правила.

  • Корневой УЦ, управляемый Microsoft: инфраструктура PKI Azure управляет отзывом. Microsoft поддерживает список отзыва и управляет ими.

  • Внешний корневой ЦС: если внешний корневой ЦС подписал вашу политику, необходимо убедиться, что отзыв также распространяется на список отзыва сертификатов (CRL) внешнего ЦС или OCSP-ответчик.

Удаление политики

Удаление политики удаляет конфигурацию выдающего ЦС для последующей выдачи сертификата. Это действие является последним этапом очистки. В отличие от отзыва, удаление устраняет конфигурацию политики, вместо того чтобы заменять выдающий УЦ. Удалите политику только после подтверждения того, что вам больше не нужна политика для будущих операций с сертификатами устройств. Чтобы удалить политику, найдите политику на портале Azure и выберите Delete.

После удаления политики он больше не может выдавать новые сертификаты устройств, но Центр Интернета вещей продолжает принимать все допустимые сертификаты устройств. Если вы хотите вывести из эксплуатации все существующие сертификаты устройств по этой политике, необходимо удалить сертификат ЦС из IoT-хаба.

Это важно

Для политик, настроенных с помощью внешнего ЦС, необходимо отозвать каждый сертификат устройства перед удалением политики. Если вы не можете отозвать каждый сертификат устройства, необходимо удалить ресурс учетных данных и создать новую политику.

Влияние удаления политики

Удаление политики окончательно удаляет конфигурацию политики. В отличие от отзыва, удаление не просто помечает политику как недопустимую.

  • Политика окончательно удалена: политика и ее конфигурация удаляются из пространства имен ADR. Отменить эту операцию невозможно.
  • Зависимые ресурсы: Любая регистрация устройств, связанная с этой политикой в службе подготовки устройств (DPS), не может выпускать новые сертификаты. Записи в DPS, ссылающиеся на удаленную политику, должны быть обновлены для использования другой политики или отключены.
  • Сведения об аудите. Хотя политика удаляется, вы можете сохранить исторические записи и журналы аудита, связанные с политикой на основе ваших требований соответствия.
  • Никакого влияния на активные сертификаты: если сертификаты, выданные этой политикой, по-прежнему действительны, удаление политики не немедленно отменяет их. Однако выдача нового сертификата с помощью этой политики невозможна. Чтобы отозвать все существующие сертификаты устройств в рамках этой политики, необходимо удалить сертификат Центра сертификации из Центра Интернета вещей.

Удаление ресурса учетных данных

При удалении ресурса данных аутентификации, вы удаляете якорь доверия уровня пространства имен для цепочки сертификатов. Это действие делает путь учетных данных недействительным, от которого зависят политики. Удалите ресурс учетных данных только в том случае, если вы уверены, что он не требуется зависящим политикам или устройствам, например, когда вы выводите из эксплуатации полную цепочку сертификатов или отказываетесь от старой инфраструктуры сертификатов. Чтобы удалить ресурс учетных данных, перейдите в реестр устройств Azure, выберите пространство имен и в разделе Credential policies выберите ресурс учетных данных и Delete.

Влияние удаления ресурса учетных данных

Удаление учетных данных удаляет корень доверия для всей иерархии сертификатов пространства имен ADR.

  • Ресурс учетных данных окончательно удален: ресурс учетных данных и связанные с ним метаданные удаляются из пространства имен ADR.
  • Каскадное удаление: если какие-либо политики по-прежнему связаны с этими учетными данными, перед удалением учетных данных необходимо сначала отозвать или удалить эти политики.
  • Новая выдача сертификатов не предусмотрена: новая выдача сертификатов в соответствии с любой политикой, подписанной этими учетными данными, не может быть осуществлена.
  • Необратимая операция: удаление учетных данных не может быть отменено. Чтобы использовать управление сертификатами с этой цепочкой снова, необходимо создать новые учетные данные и политики.

Рекомендации по жизненному циклу сертификатов

Отмена сертификатов и удаление политик являются операциями с высокими последствиями, которые трудно или невозможно отменить. Хорошо определенная стратегия жизненного цикла помогает избежать незапланированных сбоев устройств, снижения риска безопасности и быстрого реагирования при возникновении инцидентов. Следующие практики применяются как для управления несколькими устройствами, так и тысячами устройств.

  • Отслеживайте срок действия сертификата: активно отслеживайте, когда сертификаты приближаются к истечению срока действия и планированию продления, чтобы избежать прерываний работы служб.
  • Используйте отдельные политики для когорт устройств, если это позволяет ваш проект: разделяйте политики по модели, производителю, сайту или среде, чтобы ограничить влияние отзыва политики. В текущей предварительной версии каждые учетные данные поддерживают одну политику, поэтому может потребоваться сопоставить когорты по отдельным учетным данным.
  • Ведение записей аудита: Используйте журналы аудита Azure для отслеживания всех операций отзыва сертификатов, удаления политик и удаления учетных данных для проведения проверок на соответствие и безопасности.