Основные понятия для управления сертификатами (предварительная версия)

Управление сертификатами в Центр Интернета вещей Azure предназначено для упрощения управления сертификатами X.509 для устройств Интернета вещей. В этой статье представлены основные понятия, связанные с управлением сертификатами и проверкой подлинности на основе сертификатов в Центр Интернета вещей. Дополнительные сведения см. в разделе "Что такое управление сертификатами (предварительная версия)"?

Это важно

Центр Интернета вещей Azure с интеграцией реестра устройств Azure и управлением сертификатами X.509, поддерживаемым Microsoft, находятся на этапе публичной предварительной версии и не рекомендуются для производственных нагрузок. Дополнительные сведения см. в разделе FAQ: новые возможности Центр Интернета вещей?.

Инфраструктура открытых ключей (PKI)

PKI — это система, которая использует цифровые сертификаты для проверки подлинности и шифрования данных между устройствами и службами. PKI-сертификаты необходимы для защиты различных сценариев, таких как удостоверение веб-сайта и устройства. В параметрах Интернета вещей управление PKI-сертификатами может быть сложным, дорогостоящим и сложным, особенно для организаций, имеющих большое количество устройств и строгих требований к безопасности. Вы можете использовать управление сертификатами для повышения безопасности устройств и ускорения цифрового преобразования в полностью управляемую облачную PKI-службу.

Microsoft против сторонних систем PKI

Хотя Центр Интернета вещей поддерживает два типа поставщиков PKI для проверки подлинности сертификата X.509, управление сертификатами в настоящее время поддерживает только PKI, управляемые Microsoft (первой стороной). Сведения об использовании сторонних поставщиков PKI см. в разделе "Проверка подлинности устройств с сертификатами ЦС X.509".

Поставщик PKI Требуется интеграция Требуется Azure реестр устройств Требуется служба развертывания устройств
PKI, управляемый Microsoft Нет. Настройте центры сертификации непосредственно в реестре устройств Azure. Да Да
Сторонние PKI (DigiCert, GlobalSign и т. д.) Да. Требуется интеграция вручную. нет нет

Сертификаты X.509

Сертификат X.509 — это цифровой документ, который привязывает открытый ключ к удостоверению сущности, например устройства, пользователя или службы. Проверка подлинности на основе сертификатов обеспечивает несколько преимуществ по сравнению с менее безопасными методами:

  • Сертификаты используют криптографию открытого и закрытого ключа. Открытый ключ предоставляется свободно, в то время как закрытый ключ остается на устройстве и может находиться в доверенных модулях платформы (TPM) или защищенных элементах. Это предотвращает атакам на устройство со стороны злоумышленников.
  • Сертификаты выдаются и проверяются с помощью иерархии центра сертификации ( ЦС), позволяя организациям доверять миллионам устройств через один ЦС без управления секретами для каждого устройства.
  • Устройства проходят проверку подлинности для облака, а облако проходит проверку подлинности для устройства, что обеспечивает взаимную проверку подлинности посредством безопасности транспортного уровня (TLS).
  • Сертификаты имеют определенные сроки действия и могут быть продлены или отозваны централизованно.

Существует две общие категории сертификатов X.509:

  • Сертификаты ЦС: Эти сертификаты выдаются центром сертификации (ЦС) и используются для подписывания других сертификатов. Сертификаты ЦС включают корневые и промежуточные сертификаты.

    • Корневой ЦС: Корневой сертификат — это самозаверяющий сертификат из доверенного ЦС, который можно использовать для подписи промежуточных ЦС.

    • Промежуточный или выдавающий ЦС: Промежуточный сертификат — это сертификат ЦС, подписанный доверенным корневым сертификатом. Промежуточные сертификаты также могут выдавать ЦС, если они используются для подписывания сертификатов конечных сущностей.

    Замечание

    Может быть полезно использовать разные промежуточные сертификаты для различных наборов или групп устройств, таких как устройства от разных производителей или различных моделей устройств. Причина использования различных сертификатов заключается в сокращении общего влияния на безопасность при компрометации какого-либо конкретного сертификата.

  • Сертификаты конечных сущностей: Эти сертификаты, которые могут быть отдельными или конечными сертификатами устройств, подписаны сертификатами ЦС и выдаются пользователям, серверам или устройствам.

Запрос на подпись сертификата

Запрос на сертификат (CSR) — это цифровое сообщение с цифровой подписью, которое клиент, например устройство Интернета вещей, генерирует для запроса подписанного сертификата у Центра сертификации (ЦС). CSR включает открытый ключ устройства и идентифицирующие сведения, такие как его идентификатор регистрации, и подписан закрытым ключом устройства, чтобы подтвердить владение ключом.

CSR должен соответствовать требованиям политики PKI, включая утвержденные ключевые алгоритмы, размеры ключей и форматы полей субъекта. При создании нового закрытого ключа устройство также создает новый CSR. После того как Центр сертификации (ЦС) проверяет и утверждает запрос на сертификат (CSR), он выпускает сертификат X.509, который привязывает идентичность устройства к его открытому ключу. Этот процесс гарантирует, что только устройства, способные продемонстрировать владение закрытым ключом, получают доверенные сертификаты.

Требования к запросу на подписывание сертификата в службе предоставления устройств

При управлении сертификатами устройства передают CSR во время подготовки или повторной подготовки. Служба подготовки устройств (DPS) ожидает CSR в формате закодированном по правилам DER (Distinguished Encoding Rules) в кодировке Base64, следуя спецификации стандартов криптографии с открытым ключом (PKCS) #10. Отправка исключает заголовки и нижние колонтитулы почты (PEM) с повышенной конфиденциальностью. Поле общего имени (CN) в CSR должно точно совпадать с идентификатором регистрации устройства.

Проверка подлинности и авторизация

  • Аутентификация означает подтверждение личности в Центр Интернета вещей. Он проверяет, является ли пользователь или устройство тем, кто он утверждает. Этот процесс часто называется AuthN.

  • Authorization означает подтверждение того, что прошедший проверку подлинности пользователь или устройство может получить доступ к Центр Интернета вещей. Он определяет разрешения для ресурсов и команд. Авторизация иногда называется AuthZ.

Сертификаты X.509 используются только для проверки подлинности в Центр Интернета вещей, а не авторизации. В отличие от Microsoft Entra ID и общих подписей доступа нельзя настраивать разрешения с помощью сертификатов X.509.