Použití certifikátu s Azure Sphere

Článek
09/23/2024

Důležité

Toto je dokumentace k Azure Sphere (starší verze). Azure Sphere (starší verze) se vyřazuje 27. září 2027 a uživatelé musí do této doby migrovat do Azure Sphere (integrované). K zobrazení dokumentace k Azure Sphere (integrované) použijte selektor verzí umístěný nad obsahem.

Toto téma obsahuje přehled o certifikátu Azure Sphere na šířku: typy certifikátů, které používají různé komponenty Azure Sphere, odkud pocházejí, odkud se ukládají, jak se aktualizují a jak k nim v případě potřeby přistupovat. Popisuje také, jak vám operační systém Azure Sphere, sada SDK a služby usnadňují správu certifikátů. Předpokládáme, že máte základní znalost certifikačních autorit a řetězce důvěryhodnosti.

Zařízení Azure Sphere

Každé zařízení Azure Sphere spoléhá na důvěryhodné kořenové úložiště, které je součástí operačního systému Azure Sphere. Důvěryhodné kořenové úložiště obsahuje seznam kořenových certifikátů, které slouží k ověření identity služby zabezpečení Azure Sphere, když se zařízení připojí k ověřování zařízení a ověření identity (DAA), aktualizaci přes vzduch (OTA) nebo hlášení chyb. Tyto certifikáty jsou k dispozici s operačním systémem.

Když se denní ověření identity podaří, zařízení obdrží dva certifikáty: aktualizační certifikát a certifikát zákazníka. Aktualizační certifikát umožňuje zařízení připojit se ke službě Azure Sphere Update Service, aby získalo aktualizace softwaru a nahrálo zprávy o chybách; není přístupný pro aplikace nebo prostřednictvím příkazového řádku. Certifikát zákazníka, někdy označovaný jako certifikát DAA, můžou aplikace použít k připojení ke službám třetích stran, jako je wolfSSL, které používají protokol TLS (Transport Layer Security). Tento certifikát je platný po dobu 24 hodin. Aplikace ji můžou načíst programově voláním funkce DeviceAuth_GetCertificatePath.

Zařízení, která se připojují ke službám založeným na Azure, jako jsou Azure IoT Hub, Azure IoT Central a Azure IoT Edge, musí předložit certifikát certifikační autority tenanta Azure Sphere pro ověření tenanta Azure Sphere. Příkaz azsphere ca-certificate download v rozhraní příkazového řádku vrátí certifikát certifikační autority tenanta pro takové použití.

Síťová připojení EAP-TLS

Zařízení, která se připojují k síti EAP-TLS, potřebují k ověření pomocí serveru RADIUS sítě certifikáty. Aby bylo možné provést ověření jako klient, musí zařízení předat klientský certifikát protokolu RADIUS. Aby bylo možné provést vzájemné ověřování, musí mít zařízení také kořenový certifikát certifikační autority pro server RADIUS, aby mohl server ověřit. Společnost Microsoft neposkytuje ani jeden z těchto certifikátů; vy nebo správce sítě zodpovídáte za zjištění správné certifikační autority pro server RADIUS vaší sítě a následné získání potřebných certifikátů od vystavitele.

Pokud chcete získat certifikáty pro server RADIUS, budete muset ověřit certifikační autoritu. K tomuto účelu můžete použít certifikát DAA, jak jsme už zmínili. Po získání certifikátů pro server RADIUS byste je měli uložit do úložiště certifikátů zařízení. Úložiště certifikátů zařízení je k dispozici pouze pro ověřování v zabezpečené síti pomocí protokolu EAP-TLS. (Certifikát DAA se neuchová v úložišti certifikátů zařízení; je bezpečně uložený v operačním systému.) Příkaz azsphere device certificate v rozhraní příkazového řádku umožňuje spravovat úložiště certifikátů z příkazového řádku. Aplikace Azure Sphere můžou používat rozhraní CertStore API k ukládání, načítání a správě certifikátů v úložišti certifikátů zařízení. Rozhraní CertStore API také obsahuje funkce pro vrácení informací o jednotlivých certifikátech, aby se aplikace mohly připravit na vypršení platnosti a prodloužení platnosti certifikátu.

Další informace najdete v tématu Použití protokolu EAP-TLS pro úplný popis certifikátů používaných v sítích EAP-TLS a v tématu Zabezpečení podnikového wi-Fi přístupu: EAP-TLS v Azure Sphere na webu Microsoft Tech Community.

Aplikace Azure Sphere

Aplikace Azure Sphere potřebují k ověření webových služeb a některých sítí certifikáty. V závislosti na požadavcích služby nebo koncového bodu může aplikace používat certifikát DAA nebo certifikát od externí certifikační autority.

Aplikace, které se připojují ke službě třetí strany pomocí wolfSSL nebo podobné knihovny, můžou volat funkci DeviceAuth_GetCertificatePath a získat certifikát DAA k ověření. Tato funkce byla představena v hlavičce deviceauth.h v sadě SDK verze 20.10.

Knihovna Azure IoT, která je integrovaná do Azure Sphere, už důvěřuje nezbytné kořenové certifikační autoritě, takže aplikace, které tuto knihovnu používají pro přístup ke službám Azure IoT (Azure IoT Hub, Azure IoT Central, služba zřizování zařízení), nevyžadují žádné další certifikáty.

Pokud vaše aplikace používají jiné služby Azure, projděte si dokumentaci k těmto službám a zjistěte, které certifikáty se vyžadují.

Veřejné rozhraní API Azure Sphere

Veřejné rozhraní API Azure Sphere (PAPI) komunikuje se službou zabezpečení Azure Sphere za účelem vyžádání a načtení informací o nasazených zařízeních. Služba zabezpečení používá k ověření těchto připojení certifikát TLS. To znamená, že všechny kódy nebo skripty, které používají veřejné rozhraní API, spolu s ostatními klienty služby Security Service, jako je sada Azure Sphere SDK (včetně azure Sphere Classic CLI i Azure Sphere CLI), musí důvěřovat tomuto certifikátu, aby se mohl připojit ke službě zabezpečení. Sada SDK používá certifikáty v systémovém úložišti certifikátů hostitelského počítače pro ověřování služby zabezpečení Azure Sphere stejně jako mnoho aplikací veřejného rozhraní API.

13. října 2020 služba zabezpečení aktualizovala svůj certifikát TLS veřejného rozhraní API na jeden vystavený z globálního kořenového certifikátu DigiCert G2. Systémy Windows i Linux zahrnují certifikát DigiCert Global Root G2, takže požadovaný certifikát je snadno dostupný. Jak jsme ale popsali v dřívějším blogovém příspěvku, pouze scénáře zákazníků, které zahrnovaly připnutí předmětu, názvu nebo vystavitele (SNI), aby se přizpůsobily této aktualizaci.

Služba zabezpečení Azure Sphere

Cloudové služby Azure Sphere obecně a služba zabezpečení zejména spravují řadu certifikátů, které se používají při zabezpečené komunikaci mezi službami. Většina těchto certifikátů je interní pro služby a jejich klienty, takže Společnost Microsoft koordinuje aktualizace podle potřeby. Kromě aktualizace certifikátu TLS veřejného rozhraní API v říjnu služba zabezpečení Azure Sphere také aktualizovala certifikáty TLS pro službu DAA a službu Update. Před aktualizací obdržela zařízení aktualizaci OTA do důvěryhodného kořenového úložiště, které obsahovalo nový požadovaný kořenový certifikát. K údržbě komunikace zařízení se službou zabezpečení nebyla nutná žádná akce zákazníka.

Jak azure Sphere usnadňuje změnám certifikátů pro zákazníky?

Vypršení platnosti certifikátu je běžnou příčinou selhání zařízení IoT, kterým může Azure Sphere zabránit.

Vzhledem k tomu, že produkt Azure Sphere zahrnuje operační systém i službu zabezpečení, certifikáty používané oběma těmito komponentami spravuje Microsoft. Zařízení dostávají aktualizované certifikáty prostřednictvím procesu DAA, aktualizací operačního systému a aplikací a zasílání zpráv o chybách bez nutnosti změn v aplikacích. Když Společnost Microsoft přidala globální kořenový certifikát G2 digiCert, nebyly k pokračování DAA, aktualizací nebo zasílání zpráv o chybách potřeba žádné změny zákazníků. Zařízení, která byla v době aktualizace offline, obdržela aktualizaci hned po opětovném připojení k internetu.

Operační systém Azure Sphere obsahuje také knihovnu Azure IoT, takže pokud Microsoft provede další změny certifikátů, které používají knihovny Azure IoT, aktualizujeme knihovnu v operačním systému tak, aby se vaše aplikace nemusely měnit. Dáme vám také vědět prostřednictvím dalších blogových příspěvků o všech hraničních případech nebo zvláštních okolnostech, které můžou vyžadovat úpravy vašich aplikací nebo skriptů.

Oba tyto případy ukazují, jak Azure Sphere zjednodušuje správu aplikací tím, že odstraňuje potřebu aktualizací údržby aplikací pro zpracování změn certifikátů. Vzhledem k tomu, že každé zařízení obdrží certifikát aktualizace jako součást denního ověření identity, můžete snadno spravovat aktualizaci všech místně spravovaných certifikátů, které vaše zařízení a aplikace používají. Pokud například vaše aplikace ověří identitu vašeho obchodního serveru (jak by mělo), můžete nasadit aktualizovaný balíček imagí aplikace, který obsahuje aktualizované certifikáty. Služby aktualizace aplikací poskytované platformou Azure Sphere tyto aktualizace poskytují. Tím se odeberou obavy, že samotná aktualizační služba způsobí problém s vypršením platnosti certifikátu.