Что такое управление сертификатами (предварительная версия) в реестре устройств Azure?

Certificate management — это необязательная функция Azure Реестра устройств (ADR) упрощает управление выпусками и жизненным циклом сертификатов X.509 для устройств Интернета вещей. Эта функция настраивает уникальную облачную инфраструктуру открытых ключей (PKI) для каждого пространства имен ADR, устраняя потребность в локальных серверах, сложных соединителях или выделенном оборудовании. Автоматив выдачу и продление сертификата, ADR гарантирует, что подготовленные устройства поддерживают безопасное, простое подключение при проверке подлинности с помощью Центр Интернета вещей Azure.

Чтобы использовать управление сертификатами, необходимо использовать Центр Интернета вещей, Azure Реестр устройств (ADR) и Device Provisioning Service (DPS). Управление сертификатами в настоящее время находится в общедоступной предварительной версии.

Это важно

Центр Интернета вещей Azure с интеграцией реестра устройств Azure и управлением сертификатами X.509, поддерживаемым Microsoft, находятся на этапе публичной предварительной версии и не рекомендуются для производственных нагрузок. Дополнительные сведения см. в разделе FAQ: новые возможности Центр Интернета вещей?.

Общие сведения о функциях

Следующие функции поддерживаются для управления сертификатами для устройств Центр Интернета вещей в предварительной версии:

Функция Description
Создание нескольких центров сертификации (ЦС) в пространстве имен ADR Создайте двухуровневую иерархию PKI с корнем и центром сертификации в облаке.
Создайте уникальный корневой удостоверяющий центр для пространства имен ADR В каждом пространстве имен ADR создайте до одного ресурса учетных данных. Одни учетные данные управляют одним, уникальным корневым ЦС в вашей выделенной облачной инфраструктуре открытых ключей.
Создайте не более одного выдающего Центра Сертификации на пространство имен ADR Создайте до одной политики на каждое пространство имен ADR. Одна политика управляет одним, единственным и уникальным выдающим ЦС и позволяет настроить срок действия выданных сертификатов устройств. Вы можете выбрать, чтобы ваш выдающий ЦС был заверен корневым ЦС уровня пространства имен или внешним корневым ЦС, принадлежащим вашей организации.
Алгоритмы подписывания и шифрования Управление сертификатами поддерживает ECC (ECDSA) и кривую NIST P-384.
Алгоритмы хэширования Управление сертификатами поддерживает SHA-384.
Ключи HSM (подписывание и шифрование) Ключи подготавливаются с помощью управляемого модуля аппаратной безопасности Azure Key Vault (Azure Managed HSM). Центры сертификации, созданные в вашем пространстве имен ADR, автоматически используют ключи подписания и шифрования HSM. Для использования Azure HSM подписка Azure не требуется.
Выдача и продление сертификата устройства Сертификаты устройств, также известные как конечные сертификаты, подписываются ЦС и передаются на устройство через API. Конечные сертификаты также могут быть продлены выдающим ЦС.
Отзыв сертификата устройства Отменять отдельные сертификаты устройств, чтобы заблокировать подключения к устройству до тех пор, пока новый сертификат не будет выдан устройству. Отзываемые сертификаты добавляются в список отзыва сертификатов родительского ЦС (CRL).
Отзыв политики Отмените политику, чтобы удалить связанный сертификат ЦС из Центр Интернета вещей и добавить удостоверяющий центр в список отзыва сертификатов (CRL) родительского удостоверяющего центра. Это блокирует подключение всех устройств к Центр Интернета вещей с сертификатом, выданным этим ЦС. Отзыв не поддерживается для политик, подписанных внешним центром сертификации.
Точки распространения списка отзыва сертификатов (CRL) Azure размещает точку распространения CRL (CDP) для каждого ЦС. URL-адрес CDP внедрен в каждый сертификат. CRL обновляется при каждом отзыве сертификата.
** Точки доступа к информации уполномоченного центра (AIA) Azure размещает конечную точку AIA для каждого Центра Сертификации. URL-адрес AIA внедрен в каждый сертификат. Конечная точка AIA может использоваться доверяющими сторонами для получения родительских сертификатов.
Синхронизация сертификатов ЦС с Центрами Интернета вещей Синхронизируйте сертификат ЦС, управляемый вашей политикой, с узлами IoT, связанными с вашим пространством имен. Это позволяет Центр Интернета вещей доверять сертификатам устройств, подписанным одним из ваших выдающих ЦС.

Введение и операционные полномочия

Управление сертификатами поддерживает выдачу и продление операционных сертификатов для устройств. Он не управляет подключением учетных данных.

  • Учетные данные для встраивания: устройство использует эти учетные данные для аутентификации через Службу регистрации устройств (DPS) во время подготовки. Поддерживаемые типы учетных данных подключения включают сертификаты X.509 из стороннего центра сертификации (ЦС), симметричные ключи и доверенные модули платформы (TPM).
  • Operational certificate: После подключения устройства через DPS Реестр устройств Azure (ADR) выдает кратковременный сертификат X.509, который устройство использует для аутентификации напрямую с Центр Интернета вещей.

Как работает управление сертификатами

Управление сертификатами совместно использует Центр Интернета вещей, ADR и DPS для обеспечения возможностей инфраструктуры управляемых открытых ключей (PKI) для устройств Интернета вещей.

На высоком уровне:

  • Вы создаете ресурсы управления сертификатами в ADR, включая пространство имен, учетные данные и политику.

  • Вы настраиваете регистрации DPS для использования этой политики ADR во время подготовки.

  • Устройства настраивают через DPS и получают операционные сертификаты, выданные центром сертификации, выписывающим политику.

  • Центр Интернета вещей доверяет этим сертификатам устройства после того, как сертификат удостоверяющего центра будет синхронизирован с связанными узлами.

Дополнительные сведения см. в разделе Выпуск сертификатов в управлении сертификатами Центр Интернета вещей Azure.

Управление сертификатами в реестре устройств Azure поддерживает два типа политик.

  • Microsoft Root CA подписанный: Создайте политику, которая управляет сертифицирующим центром, подписанным уникальным корневым ЦС вашего пространства имен. Microsoft управляет жизненным циклом как для корневых, так и для выдающих ЦС в облачной инфраструктуре открытых ключей (PKI).

  • Подписанный внешним ЦС: Создайте политику, которая управляет выдачей сертификатов, подписанных внешним корневым ЦС вашей организации. Вы сохраняете полное владение внешним ЦС, а Microsoft управляет выдачой ЦС в облачном PKI. Используйте этот тип политики, если ваша организация поддерживает инфраструктуру закрытого открытого ключа (PKI) и требует, чтобы все устройства Интернета вещей были связаны с общим доверенным корнем.

На следующей схеме показана сквозная архитектура управления сертификатами, включая Центр Интернета вещей, Azure реестр устройств и службу подготовки устройств, интегрированную с PKI для управления сертификатами устройств.

Схема, на которой показано пространство имен ADR, связывающее центры Интернета вещей, реестр, политики учетных данных, PKI, DPS и устройства X.509 в облаке и поле.

Дополнительные сведения см. в разделе Выдача сертификатов в управлении сертификатами Центр Интернета вещей Azure.

Обновление сертификатов

Каждые учетные данные поддерживают одну политику, а срок действия политики — от 7 до 90 дней. Когда устройство обнаруживает, что его операционный сертификат близок к истечению срока действия, он может продлиться одним из двух способов:

  • Повторите выдачу сертификата через DPS и отправьте новый запрос на подпись сертификата (CSR) во время повторной подготовки.
  • Отправьте новый CSR непосредственно в Центр Интернета вещей для продления.

Каждое устройство должно отслеживать срок действия сертификата и начинать продление до истечения срока действия, чтобы избежать прерываний подключения.

Дополнительные сведения см. в разделе Обновление сертификатов в управлении сертификатами Центр Интернета вещей Azure.

Ограничения и квоты

Последние сведения об ограничениях и квотах для управления сертификатами с помощью Центр Интернета вещей см. в разделе Azure ограничения подписки и службы.