Ověření certifikátů certifikační autority X.509 ve službě Device Provisioning
Ověřený certifikát certifikační autority (CA) X.509 je certifikát certifikační autority, který byl nahraný a zaregistrovaný ve vaší službě zřizování a následně ověřený, a to buď automaticky, nebo prostřednictvím ověření vlastnictví ve službě.
Ověřené certifikáty hrají důležitou roli při používání skupin registrací. Ověření vlastnictví certifikátu poskytuje další vrstvu zabezpečení tím, že zajišťuje, aby nahrávač certifikátu získal privátní klíč certifikátu. Ověření zabrání škodlivému herci v extrahování zprostředkujícího certifikátu a jeho použití k vytvoření skupiny registrací ve vlastní službě zřizování, čímž efektivně zneškodní vaše zařízení. Když prokážete vlastnictví kořenového nebo zprostředkujícího certifikátu v řetězu certifikátů, prokážete, že máte oprávnění generovat listové certifikáty pro zařízení, která se budou registrovat jako součást této skupiny registrací. Z tohoto důvodu musí být kořenový nebo zprostředkující certifikát nakonfigurovaný ve skupině registrací ověřeným certifikátem nebo musí být součástí ověřeného certifikátu v řetězu certifikátů, který zařízení prezentuje při ověřování ve službě. Další informace o ověření certifikátu X.509 najdete v tématu Certifikáty X.509.
Požadavky
Než začnete s kroky v tomto článku, připravte následující požadavky:
- Instance DPS vytvořená ve vašem předplatném Azure.
- Soubor certifikátu .cer nebo .pem.
Automatické ověření zprostředkující nebo kořenové certifikační autority prostřednictvím samoobslužného ověření
Pokud používáte zprostředkující nebo kořenovou certifikační autoritu, které důvěřujete a víte, že máte úplné vlastnictví certifikátu, můžete certifikát ověřit sami.
Pokud chcete přidat automaticky ověřený certifikát, postupujte takto:
Na webu Azure Portal přejděte do služby zřizování a v nabídce vlevo vyberte Certifikáty .
Vyberte Přidat a přidejte nový certifikát.
Zadejte popisný zobrazovaný název certifikátu.
Přejděte do souboru .cer nebo .pem, který představuje veřejnou část vašeho certifikátu X.509. Klikněte na tlačítko Odeslat.
Zaškrtněte políčko vedle položky Nastavit stav certifikátu tak, aby se ověřil při nahrání.
Zvolte Uložit.
Váš certifikát se zobrazí na kartě certifikátu se stavem Ověřeno.
Ruční ověření zprostředkující nebo kořenové certifikační autority
Automatické ověření se doporučuje při nahrávání nových zprostředkujících nebo kořenových certifikátů ca do DPS. Pokud ale pro váš scénář IoT dává smysl, můžete i nadále provádět důkaz o vlastnictví.
Důkaz o vlastnictví zahrnuje následující kroky:
- Získejte jedinečný ověřovací kód vygenerovaný službou zřizování pro certifikát certifikační autority X.509. Můžete to udělat na webu Azure Portal.
- Vytvořte ověřovací certifikát X.509 s ověřovacím kódem jako jeho předmětem a podepište certifikát pomocí privátního klíče přidruženého k vašemu certifikátu certifikační autority X.509.
- Nahrajte podepsaný ověřovací certifikát do služby. Služba ověří ověřovací certifikát pomocí veřejné části certifikátu certifikační autority, která se má ověřit, a proto prokáže, že máte privátní klíč certifikátu certifikační autority.
Zaregistrujte veřejnou část certifikátu X.509 a získejte ověřovací kód.
Pokud chcete ve službě zřizování zaregistrovat certifikát certifikační autority a získat ověřovací kód, který můžete použít při ověření vlastnictví, postupujte takto.
Na webu Azure Portal přejděte do vaší služby zřizování a v nabídce vlevo otevřete certifikáty .
Vyberte Přidat a přidejte nový certifikát.
Do pole Název certifikátu zadejte popisný zobrazovaný název certifikátu.
Vyberte ikonu složky a pak přejděte do souboru .cer nebo .pem, který představuje veřejnou část vašeho certifikátu X.509. Vyberte Otevřít.
Jakmile se zobrazí oznámení o úspěšném nahrání certifikátu, vyberte Uložit.
Váš certifikát se zobrazí v seznamu Průzkumníka certifikátů. Všimněte si, že stav tohoto certifikátu je neověřený.
Výběrem certifikátu, který jste přidali v předchozím kroku, otevřete jeho podrobnosti.
V podrobnostech certifikátu si všimněte, že je prázdné pole ověřovacího kódu . Vyberte tlačítko Generovat ověřovací kód.
Služba zřizování vytvoří ověřovací kód , který můžete použít k ověření vlastnictví certifikátu. Zkopírujte kód do schránky.
Digitální podepsání ověřovacího kódu pro vytvoření ověřovacího certifikátu
Teď musíte podepsat ověřovací kód z DPS pomocí privátního klíče přidruženého k vašemu certifikátu certifikační autority X.509, který vygeneruje podpis. Tento krok se označuje jako doklad o vlastnictví a výsledkem je podepsaný ověřovací certifikát.
Microsoft poskytuje nástroje a ukázky, které vám pomůžou vytvořit podepsaný ověřovací certifikát:
- Sada Azure IoT Hub C SDK poskytuje skripty PowerShellu (Windows) a Bash (Linux), které vám pomůžou vytvářet certifikáty ca a list pro vývoj a ověřování pomocí ověřovacího kódu. Soubory, které jsou relevantní pro váš systém, si můžete stáhnout do pracovní složky a podle pokynů v souboru Readme pro správu certifikátů certifikační autority provést ověření vlastnictví certifikátu certifikační autority.
- Sada Azure IoT Hub SDK jazyka C# obsahuje ukázku ověření certifikátu skupiny, kterou můžete použít k ověření vlastnictví.
Skripty PowerShellu a Bash uvedené v dokumentaci a sadách SDK se spoléhají na OpenSSL. Můžete také použít OpenSSL nebo jiné nástroje třetích stran, které vám pomůžou provést důkaz o vlastnictví. Příklad použití nástrojů poskytovaných se sadami SDK najdete v tématu Vytvoření řetězu certifikátů X.509.
Nahrání podepsaného ověřovacího certifikátu
Nahrajte výsledný podpis jako ověřovací certifikát do služby zřizování na webu Azure Portal.
V podrobnostech o certifikátu na webu Azure Portal, ze kterého jste zkopírovali ověřovací kód, vyberte ikonu složky vedle pole Soubor .pem ověřovacího certifikátu nebo .cer souboru . V systému přejděte k podepsanému ověřovacímu certifikátu a vyberte Otevřít.
Po úspěšném nahrání certifikátu vyberte Ověřit. Stav certifikátu se změní na Ověřeno v seznamu Certifikáty. Pokud se aktualizace neaktualizuje automaticky, vyberte Aktualizovat .
Další kroky
- Další informace o tom, jak pomocí portálu vytvořit skupinu registrací, najdete v tématu Správa registrací zařízení pomocí webu Azure Portal.
- Další informace o použití sad SDK služby k vytvoření skupiny registrací najdete v tématu Správa registrací zařízení pomocí sad SDK služby.