Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Certificate management — это необязательная функция Azure Реестра устройств (ADR) упрощает управление выпусками и жизненным циклом сертификатов X.509 для устройств Интернета вещей. Эта функция настраивает уникальную облачную инфраструктуру открытых ключей (PKI) для каждого пространства имен ADR, устраняя потребность в локальных серверах, сложных соединителях или выделенном оборудовании. Автоматив выдачу и продление сертификата, ADR гарантирует, что подготовленные устройства поддерживают безопасное, простое подключение при проверке подлинности с помощью Центр Интернета вещей Azure.
Чтобы использовать управление сертификатами, необходимо использовать Центр Интернета вещей, Azure Реестр устройств (ADR) и Device Provisioning Service (DPS). Управление сертификатами в настоящее время находится в общедоступной предварительной версии.
Это важно
Центр Интернета вещей Azure с интеграцией реестра устройств Azure и управлением сертификатами X.509, поддерживаемым Microsoft, находятся на этапе публичной предварительной версии и не рекомендуются для производственных нагрузок. Дополнительные сведения см. в разделе FAQ: новые возможности Центр Интернета вещей?.
Общие сведения о функциях
Следующие функции поддерживаются для управления сертификатами для устройств Центр Интернета вещей в предварительной версии:
| Функция | Description |
|---|---|
| Создание нескольких центров сертификации (ЦС) в пространстве имен ADR | Создайте двухуровневую иерархию PKI с корнем и центром сертификации в облаке. |
| Создайте уникальный корневой удостоверяющий центр для пространства имен ADR | В каждом пространстве имен ADR создайте до одного ресурса учетных данных. Одни учетные данные управляют одним, уникальным корневым ЦС в вашей выделенной облачной инфраструктуре открытых ключей. |
| Создайте не более одного выдающего Центра Сертификации на пространство имен ADR | Создайте до одной политики на каждое пространство имен ADR. Одна политика управляет одним, единственным и уникальным выдающим ЦС и позволяет настроить срок действия выданных сертификатов устройств. Вы можете выбрать, чтобы ваш выдающий ЦС был заверен корневым ЦС уровня пространства имен или внешним корневым ЦС, принадлежащим вашей организации. |
| Алгоритмы подписывания и шифрования | Управление сертификатами поддерживает ECC (ECDSA) и кривую NIST P-384. |
| Алгоритмы хэширования | Управление сертификатами поддерживает SHA-384. |
| Ключи HSM (подписывание и шифрование) | Ключи подготавливаются с помощью управляемого модуля аппаратной безопасности Azure Key Vault (Azure Managed HSM). Центры сертификации, созданные в вашем пространстве имен ADR, автоматически используют ключи подписания и шифрования HSM. Для использования Azure HSM подписка Azure не требуется. |
| Выдача и продление сертификата устройства | Сертификаты устройств, также известные как конечные сертификаты, подписываются ЦС и передаются на устройство через API. Конечные сертификаты также могут быть продлены выдающим ЦС. |
| Отзыв сертификата устройства | Отменять отдельные сертификаты устройств, чтобы заблокировать подключения к устройству до тех пор, пока новый сертификат не будет выдан устройству. Отзываемые сертификаты добавляются в список отзыва сертификатов родительского ЦС (CRL). |
| Отзыв политики | Отмените политику, чтобы удалить связанный сертификат ЦС из Центр Интернета вещей и добавить удостоверяющий центр в список отзыва сертификатов (CRL) родительского удостоверяющего центра. Это блокирует подключение всех устройств к Центр Интернета вещей с сертификатом, выданным этим ЦС. Отзыв не поддерживается для политик, подписанных внешним центром сертификации. |
| Точки распространения списка отзыва сертификатов (CRL) | Azure размещает точку распространения CRL (CDP) для каждого ЦС. URL-адрес CDP внедрен в каждый сертификат. CRL обновляется при каждом отзыве сертификата. |
| ** Точки доступа к информации уполномоченного центра (AIA) | Azure размещает конечную точку AIA для каждого Центра Сертификации. URL-адрес AIA внедрен в каждый сертификат. Конечная точка AIA может использоваться доверяющими сторонами для получения родительских сертификатов. |
| Синхронизация сертификатов ЦС с Центрами Интернета вещей | Синхронизируйте сертификат ЦС, управляемый вашей политикой, с узлами IoT, связанными с вашим пространством имен. Это позволяет Центр Интернета вещей доверять сертификатам устройств, подписанным одним из ваших выдающих ЦС. |
Введение и операционные полномочия
Управление сертификатами поддерживает выдачу и продление операционных сертификатов для устройств. Он не управляет подключением учетных данных.
- Учетные данные для встраивания: устройство использует эти учетные данные для аутентификации через Службу регистрации устройств (DPS) во время подготовки. Поддерживаемые типы учетных данных подключения включают сертификаты X.509 из стороннего центра сертификации (ЦС), симметричные ключи и доверенные модули платформы (TPM).
- Operational certificate: После подключения устройства через DPS Реестр устройств Azure (ADR) выдает кратковременный сертификат X.509, который устройство использует для аутентификации напрямую с Центр Интернета вещей.
Как работает управление сертификатами
Управление сертификатами совместно использует Центр Интернета вещей, ADR и DPS для обеспечения возможностей инфраструктуры управляемых открытых ключей (PKI) для устройств Интернета вещей.
На высоком уровне:
Вы создаете ресурсы управления сертификатами в ADR, включая пространство имен, учетные данные и политику.
Вы настраиваете регистрации DPS для использования этой политики ADR во время подготовки.
Устройства настраивают через DPS и получают операционные сертификаты, выданные центром сертификации, выписывающим политику.
Центр Интернета вещей доверяет этим сертификатам устройства после того, как сертификат удостоверяющего центра будет синхронизирован с связанными узлами.
Дополнительные сведения см. в разделе Выпуск сертификатов в управлении сертификатами Центр Интернета вещей Azure.
Управление сертификатами в реестре устройств Azure поддерживает два типа политик.
Microsoft Root CA подписанный: Создайте политику, которая управляет сертифицирующим центром, подписанным уникальным корневым ЦС вашего пространства имен. Microsoft управляет жизненным циклом как для корневых, так и для выдающих ЦС в облачной инфраструктуре открытых ключей (PKI).
Подписанный внешним ЦС: Создайте политику, которая управляет выдачей сертификатов, подписанных внешним корневым ЦС вашей организации. Вы сохраняете полное владение внешним ЦС, а Microsoft управляет выдачой ЦС в облачном PKI. Используйте этот тип политики, если ваша организация поддерживает инфраструктуру закрытого открытого ключа (PKI) и требует, чтобы все устройства Интернета вещей были связаны с общим доверенным корнем.
На следующей схеме показана сквозная архитектура управления сертификатами, включая Центр Интернета вещей, Azure реестр устройств и службу подготовки устройств, интегрированную с PKI для управления сертификатами устройств.
Дополнительные сведения см. в разделе Выдача сертификатов в управлении сертификатами Центр Интернета вещей Azure.
Обновление сертификатов
Каждые учетные данные поддерживают одну политику, а срок действия политики — от 7 до 90 дней. Когда устройство обнаруживает, что его операционный сертификат близок к истечению срока действия, он может продлиться одним из двух способов:
- Повторите выдачу сертификата через DPS и отправьте новый запрос на подпись сертификата (CSR) во время повторной подготовки.
- Отправьте новый CSR непосредственно в Центр Интернета вещей для продления.
Каждое устройство должно отслеживать срок действия сертификата и начинать продление до истечения срока действия, чтобы избежать прерываний подключения.
Дополнительные сведения см. в разделе Обновление сертификатов в управлении сертификатами Центр Интернета вещей Azure.
Ограничения и квоты
Последние сведения об ограничениях и квотах для управления сертификатами с помощью Центр Интернета вещей см. в разделе Azure ограничения подписки и службы.
Связанный контент
- Deploy Центр Интернета вещей Azure с интеграцией ADR и управлением сертификатами
- FAQ: новые возможности Центр Интернета вещей Azure?
- Выпуск сертификатов в управлении сертификатами Центр Интернета вещей Azure
- Обновление сертификата в управлении сертификатами Центр Интернета вещей Azure
- Концепции отзыва сертификатов и управления политиками (предварительная версия)
- Отмена сертификатов и удаление политик (предварительная версия)
- Отключение или включение устройства (предварительная версия)
- Основные понятия для управления сертификатами
- Интеграция с реестром устройств Azure