Použití certifikátu s Azure Sphere

Článek
06/18/2024

Toto téma obsahuje přehled o certifikátu Azure Sphere na šířku: typy certifikátů, které používají různé komponenty Azure Sphere, odkud pocházejí, odkud se ukládají, jak se aktualizují a jak k nim v případě potřeby přistupovat. Popisuje také, jak vám operační systém Azure Sphere, sada SDK a služby usnadňují správu certifikátů. Předpokládáme, že máte základní znalost certifikačních autorit a řetězce důvěryhodnosti.

Zařízení Azure Sphere

Každé zařízení Azure Sphere spoléhá na důvěryhodné kořenové úložiště, které je součástí operačního systému Azure Sphere. Důvěryhodné kořenové úložiště obsahuje seznam kořenových certifikátů, které slouží k ověření identity služby zabezpečení Azure Sphere, když se zařízení připojí k ověřování zařízení a ověření identity (DAA), aktualizaci přes vzduch (OTA) nebo hlášení chyb. Tyto certifikáty jsou k dispozici s operačním systémem.

Když se denní ověření identity podaří, zařízení obdrží dva certifikáty: aktualizační certifikát a certifikát zákazníka. Aktualizační certifikát umožňuje zařízení připojit se ke službě Azure Sphere Update Service, aby získalo aktualizace softwaru a nahrálo zprávy o chybách; není přístupný pro aplikace nebo prostřednictvím příkazového řádku. Certifikát zákazníka, někdy označovaný jako certifikát DAA, můžou aplikace použít k připojení ke službám třetích stran, jako je wolfSSL, které používají protokol TLS (Transport Layer Security). Tento certifikát je platný po dobu 24 hodin. Aplikace ji můžou načíst programově voláním funkce DeviceAuth_GetCertificatePath.

Zařízení, která se připojují ke službám založeným na Azure, jako jsou Azure IoT Hub, Azure IoT Central a Azure IoT Edge, musí předložit certifikát certifikační autority katalogu Azure Sphere pro ověření katalogu Azure Sphere. Příkaz az sphere ca-certificate download v rozhraní příkazového řádku vrátí certifikát certifikační autority katalogu pro takové použití.

Síťová připojení EAP-TLS

Zařízení, která se připojují k síti EAP-TLS, potřebují k ověření pomocí serveru RADIUS sítě certifikáty. Aby bylo možné provést ověření jako klient, musí zařízení předat klientský certifikát protokolu RADIUS. Aby bylo možné provést vzájemné ověřování, musí mít zařízení také kořenový certifikát certifikační autority pro server RADIUS, aby mohl server ověřit. Společnost Microsoft neposkytuje ani jeden z těchto certifikátů; vy nebo správce sítě zodpovídáte za zjištění správné certifikační autority pro server RADIUS vaší sítě a následné získání potřebných certifikátů od vystavitele.

Pokud chcete získat certifikáty pro server RADIUS, budete muset ověřit certifikační autoritu. K tomuto účelu můžete použít certifikát DAA, jak jsme už zmínili. Po získání certifikátů pro server RADIUS byste je měli uložit do úložiště certifikátů zařízení. Úložiště certifikátů zařízení je k dispozici pouze pro ověřování v zabezpečené síti pomocí protokolu EAP-TLS. (Certifikát DAA se neuchová v úložišti certifikátů zařízení; je bezpečně uložený v operačním systému.) Příkaz az sphere device certificate v rozhraní příkazového řádku umožňuje spravovat úložiště certifikátů z příkazového řádku. Aplikace Azure Sphere můžou používat rozhraní CertStore API k ukládání, načítání a správě certifikátů v úložišti certifikátů zařízení. Rozhraní CertStore API také obsahuje funkce pro vrácení informací o jednotlivých certifikátech, aby se aplikace mohly připravit na vypršení platnosti a prodloužení platnosti certifikátu.

Další informace najdete v tématu Použití protokolu EAP-TLS pro úplný popis certifikátů používaných v sítích EAP-TLS a v tématu Zabezpečení podnikového wi-Fi přístupu: EAP-TLS v Azure Sphere na webu Microsoft Tech Community.

Aplikace Azure Sphere

Aplikace Azure Sphere potřebují k ověření webových služeb a některých sítí certifikáty. V závislosti na požadavcích služby nebo koncového bodu může aplikace používat certifikát DAA nebo certifikát od externí certifikační autority.

Aplikace, které se připojují ke službě třetí strany pomocí wolfSSL nebo podobné knihovny, můžou volat funkci DeviceAuth_GetCertificatePath a získat certifikát DAA k ověření. Tato funkce byla představena v hlavičce deviceauth.h v sadě SDK verze 20.10.

Knihovna Azure IoT, která je integrovaná do Azure Sphere, už důvěřuje nezbytné kořenové certifikační autoritě, takže aplikace, které tuto knihovnu používají pro přístup ke službám Azure IoT (Azure IoT Hub, Azure IoT Central, služba zřizování zařízení), nevyžadují žádné další certifikáty.

Pokud vaše aplikace používají jiné služby Azure, projděte si dokumentaci k těmto službám a zjistěte, které certifikáty se vyžadují.

Azure Sphere REST API

Rozhraní REST API Azure Sphere je sada koncových bodů služby, které podporují operace HTTP pro vytváření a správu prostředků Azure Sphere, jako jsou katalogy, produkty, nasazení a skupiny zařízení. Rozhraní REST API Azure Sphere používá k odesílání požadavků na operace a odpovědí protokol HTTP (REpresentational State Transfer). Data vrácená v odpovědi operace jsou naformátovaná ve formátu JSON (JavaScript Object Notation). Dostupné operace jsou popsané v referenčních informacích k rozhraní REST API Azure Sphere.

Služba zabezpečení Azure Sphere

Cloudové služby Azure Sphere obecně a služba zabezpečení zejména spravují řadu certifikátů, které se používají při zabezpečené komunikaci mezi službami. Většina těchto certifikátů je interní pro služby a jejich klienty, takže Společnost Microsoft koordinuje aktualizace podle potřeby. Kromě aktualizace certifikátu TLS veřejného rozhraní API v říjnu služba zabezpečení Azure Sphere také aktualizovala certifikáty TLS pro službu DAA a službu Update. Před aktualizací obdržela zařízení aktualizaci OTA do důvěryhodného kořenového úložiště, které obsahovalo nový požadovaný kořenový certifikát. K údržbě komunikace zařízení se službou zabezpečení nebyla nutná žádná akce zákazníka.

Jak azure Sphere usnadňuje změnám certifikátů pro zákazníky?

Vypršení platnosti certifikátu je běžnou příčinou selhání zařízení IoT, kterým může Azure Sphere zabránit.

Vzhledem k tomu, že produkt Azure Sphere zahrnuje operační systém i službu zabezpečení, certifikáty používané oběma těmito komponentami spravuje Microsoft. Zařízení dostávají aktualizované certifikáty prostřednictvím procesu DAA, aktualizací operačního systému a aplikací a zasílání zpráv o chybách bez nutnosti změn v aplikacích. Když Společnost Microsoft přidala globální kořenový certifikát G2 digiCert, nebyly k pokračování DAA, aktualizací nebo zasílání zpráv o chybách potřeba žádné změny zákazníků. Zařízení, která byla v době aktualizace offline, obdržela aktualizaci hned po opětovném připojení k internetu.

Operační systém Azure Sphere obsahuje také knihovnu Azure IoT, takže pokud Microsoft provede další změny certifikátů, které používají knihovny Azure IoT, aktualizujeme knihovnu v operačním systému tak, aby se vaše aplikace nemusely měnit. Dáme vám také vědět prostřednictvím dalších blogových příspěvků o všech hraničních případech nebo zvláštních okolnostech, které můžou vyžadovat úpravy vašich aplikací nebo skriptů.

Oba tyto případy ukazují, jak Azure Sphere zjednodušuje správu aplikací tím, že odstraňuje potřebu aktualizací údržby aplikací pro zpracování změn certifikátů. Vzhledem k tomu, že každé zařízení obdrží certifikát aktualizace jako součást denního ověření identity, můžete snadno spravovat aktualizaci všech místně spravovaných certifikátů, které vaše zařízení a aplikace používají. Pokud například vaše aplikace ověří identitu vašeho obchodního serveru (jak by mělo), můžete nasadit aktualizovaný balíček imagí aplikace, který obsahuje aktualizované certifikáty. Služby aktualizace aplikací poskytované platformou Azure Sphere tyto aktualizace poskytují. Tím se odeberou obavy, že samotná aktualizační služba způsobí problém s vypršením platnosti certifikátu.