Dela via

Så här verifierar du X.509 CA-certifikat med Device Provisioning Service

Ett verifierat X.509 CA-certifikat är ett CA-certifikat som laddas upp och registreras på din etableringstjänst och sedan verifieras, antingen automatiskt eller genom bevis på innehav hos tjänsten.

Verifierade certifikat spelar en viktig roll när du använder registreringsgrupper. Att verifiera certifikatägarskapet ger ett extra säkerhetslager genom att se till att uppladdaren av certifikatet har certifikatets privata nyckel. Kontroll förhindrar att en illvillig aktör avlyssnar din trafik för att extrahera ett mellanliggande certifikat och använda certifikatet för att skapa en registreringsgrupp i sin egen provisioneringstjänst, vilket effektivt kapar dina enheter. Genom att bevisa ägarskapet för roten eller ett mellanliggande certifikat i en certifikatkedja bevisar du att du har behörighet att generera lövcertifikat för de enheter som registreras som en del av registreringsgruppen. Därför måste det rotcertifikat eller mellanliggande certifikat som konfigurerats i en registreringsgrupp antingen vara ett verifierat certifikat eller så måste det kopplas till ett verifierat certifikat i certifikatkedjan som en enhet presenterar när den autentiserar med tjänsten. Mer information om X.509-certifikatattestering finns i X.509-certifikatattestering.

Förutsättningar

Innan du påbörjar stegen i den här artikeln måste du ha följande förutsättningar förberedda:

  • En DPS-instans som skapats i din Azure-prenumeration.
  • En .cer- eller .pem-certifikatfil.

Automatisk verifiering av mellanliggande eller rotutfärdarecertifikat genom självattestering

Om du använder en mellanliggande certifikatutfärdare eller rotcertifikatutfärdare som du litar på och vet att du har fullständigt ägarskap för certifikatet kan du själv intyga att du har verifierat certifikatet.

Följ dessa steg för att lägga till ett automatiskt verifierat certifikat:

  1. I Azure-portalen går du till etableringstjänsten och väljer Certifikat på den vänstra menyn.

  2. Välj Lägg till för att lägga till ett nytt certifikat.

  3. Ange ett användarvänligt visningsnamn för ditt certifikat.

  4. Bläddra till filen .cer eller .pem som representerar den offentliga delen av ditt X.509-certifikat. Välj överför.

  5. Markera kryssrutan bredvid Ange certifikatstatus som verifierad vid uppladdning.

    Skärmbild som visar hur du laddar upp ett certifikat och anger status till verifierad.

  6. Välj Spara.

  7. Certifikatet visas på certifikatfliken med statusen Verifierad.

    Skärmbild som visar det verifierade certifikatet efter uppladdningen.

Manuell verifiering av mellanliggande CA eller rot-CA

Automatisk verifiering rekommenderas när du laddar upp nya mellanliggande CA-certifikat eller rotcertifikat till DPS. Du kan dock fortfarande utföra proof-of-possession om det passar för ditt IoT-scenario.

Bevis på innehav omfattar följande steg:

  1. Hämta en unik verifieringskod som genereras av etableringstjänsten för ditt X.509 CA-certifikat. Du kan göra det här steget från Azure-portalen.
  2. Skapa ett X.509-verifieringscertifikat med verifieringskoden som ämne och signera certifikatet med den privata nyckeln som är associerad med ditt X.509 CA-certifikat.
  3. Ladda upp det signerade verifieringscertifikatet till tjänsten. Tjänsten validerar verifieringscertifikatet med hjälp av den offentliga delen av CA-certifikatet som ska verifieras, vilket bevisar att du har ca-certifikatets privata nyckel.

Registrera den offentliga delen av ett X.509-certifikat och hämta en verifieringskod

Följ dessa steg för att registrera ett CA-certifikat med din etableringstjänst och få en verifieringskod som du kan använda under innehavsbeviset.

  1. I Azure-portalen går du till etableringstjänsten och öppnar Certifikat från den vänstra menyn.

  2. Välj Lägg till för att lägga till ett nytt certifikat.

  3. Ange ett eget visningsnamn för certifikatet i fältet Certifikatnamn .

  4. Välj mappikonen och bläddra sedan till filen .cer eller .pem som representerar den offentliga delen av X.509-certifikatet. Välj Öppna.

  5. När du får ett meddelande om att certifikatet har laddats upp väljer du Spara.

    Skärmbild som visar uppladdning av ett certifikat utan automatisk verifiering.

    Certifikatutforskaren-listan visar ditt certifikat. Statusen för det här certifikatet är Overifierat.

  6. Välj det certifikat som du lade till i föregående steg för att öppna informationen.

  7. Observera att det finns ett tomt fält för verifieringskod i certifikatinformationen. Välj knappen Generera verifieringskod .

    Skärmbild som visar hur du genererar en verifieringskod för innehavsbevis.

  8. Etableringstjänsten skapar en verifieringskod som du kan använda för att verifiera certifikatägarskapet. Kopiera koden till klippbordet.

Signera verifieringskoden digitalt för att skapa ett verifieringscertifikat

Nu måste du signera verifieringskoden från DPS med den privata nyckeln som är associerad med ditt X.509 CA-certifikat, som genererar en signatur. Det här steget kallas bevis på innehav och resulterar i ett signerat verifieringscertifikat.

Microsoft tillhandahåller verktyg och exempel som kan hjälpa dig att skapa ett signerat verifieringscertifikat:

  • Azure IoT Hub C SDK innehåller PowerShell-skript (Windows) och Bash (Linux) som hjälper dig att skapa CA- och lövcertifikat för utveckling och för att utföra innehavsbevis med hjälp av en verifieringskod. Du kan ladda ned de filer som är relevanta för ditt system till en arbetsmapp och följa anvisningarna i Hantering av test-CA-certifikat för exempel och handledningar för att genomföra bevis på innehav för ett CA-certifikat.
  • Azure IoT Hub C# SDK innehåller verifieringsexemplet för gruppcertifikat, som du kan använda för att utföra innehavsbevis.

PowerShell- och Bash-skripten i dokumentationen och SDK:er förlitar sig på OpenSSL. Du kan också använda OpenSSL eller andra verktyg som inte kommer från Microsoft för att hjälpa dig att utföra innehavsbevis. Ett exempel på hur du använder verktyg som medföljer SDK:erna finns i Skapa en X.509-certifikatkedja.

Ladda upp det signerade verifieringscertifikatet

Ladda upp den resulterande signaturen som ett verifieringscertifikat till etableringstjänsten i Azure-portalen.

  1. I certifikatinformationen på Azure-portalen, där du kopierade verifieringskoden från, väljer du mappikonen bredvid fältet Verifieringscertifikat .pem eller .cer fil . Bläddra till det signerade verifieringscertifikatet från systemet och välj Öppna.

  2. När certifikatet har laddats upp väljer du Verifiera. Statusen för certifikatet ändras till Verifierad i listan Certifikat . Välj Uppdatera om den inte uppdateras automatiskt.

Nästa steg