TLS-Unterstützung in Azure IoT Hub Device Provisioning Service (DPS)
DPS verwendet Transport Layer Security (TLS) zum Sichern von Verbindungen mit IoT-Geräten.
Diese aktuellen TLS-Protokollversionen werden von DPS unterstützt:
- TLS 1.2
Einschränken von Verbindungen auf eine TLS-Mindestversion
Sie können Ihre DPS-Instanzen so konfigurieren, dass nur Geräteclientverbindungen zugelassen werden, die mindestens eine bestimmte TLS-Version (oder eine höhere Version) verwenden.
Wichtig
Derzeit unterstützt DPS nur TLS 1.2. Daher müssen Sie beim Erstellen einer DPS-Instanz keine TLS-Mindestversion angeben. Dieses Feature wird für zukünftige Erweiterungen bereitgestellt.
Legen Sie dazu eine neue DPS-Ressourceneinstellung der minTlsVersion
-Eigenschaft für 1.2
in der DPS-Ressourcenspezifikation Ihrer Azure Resource Manager-Vorlage fest. Im folgenden Beispiel einer JSON-Vorlage wird die Eigenschaft minTlsVersion
für eine neue DPS-Instanz angegeben.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Devices/ProvisioningServices",
"apiVersion": "2020-01-01",
"name": "<provide-a-valid-DPS-resource-name>",
"location": "<any-region>",
"properties": {
"minTlsVersion": "1.2"
},
"sku": {
"name": "S1",
"capacity": 1
},
}
]
}
Sie können die Vorlage mit dem folgenden Azure CLI-Befehl bereitstellen.
az deployment group create -g <your resource group name> --template-file template.json
Weitere Informationen zum Erstellen von DPS-Ressourcen mit Resource Manager-Vorlagen finden Sie unter Einrichten von DPS mit einer Azure Resource Manager-Vorlage.
Die mit dieser Konfiguration erstellte DPS-Ressource lehnt Geräte ab, die versuchen, mithilfe der TLS-Versionen 1.0 und 1.1 eine Verbindung herzustellen.
Hinweis
Die Eigenschaft minTlsVersion
ist schreibgeschützt und kann nach Erstellung Ihrer DPS-Ressource nicht mehr geändert werden. Daher ist es von entscheidender Bedeutung, dass Sie im Voraus ordnungsgemäß testen und überprüfen, ob alle Ihre IoT-Geräte mit TLS 1.2 und den empfohlenen Verschlüsselungen kompatibel sind.
Hinweis
Nach einem Failover bleibt die Eigenschaft minTlsVersion
Ihres DPS in der geografisch gekoppelten Region wirksam.
Empfohlene Verschlüsselungen
DPS-Instanzen erzwingen die Nutzung der folgenden empfohlenen und älteren Verschlüsselungssammlungen:
Empfohlene TLS 1.2-Verschlüsselungssammlungen |
---|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
Legacy-Verschlüsselungssammlungen
Diese Verschlüsselungssammlungen werden weiterhin von DPS unterstützt, werden jedoch als veraltet markiert. Verwenden Sie nach Möglichkeit die empfohlenen Verschlüsselungssammlungen.
Option 1 (höhere Sicherheit) |
---|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 (uses SHA-1) TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 (uses SHA-1) TLS_RSA_WITH_AES_256_GCM_SHA384 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_128_GCM_SHA256 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_256_CBC_SHA256 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_128_CBC_SHA256 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_256_CBC_SHA (uses SHA-1, lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_128_CBC_SHA (uses SHA-1, lack of Perfect Forward Secrecy) |
Option 2 (höhere Leistung) |
---|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 (uses SHA-1) TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 (uses SHA-1) TLS_RSA_WITH_AES_128_GCM_SHA256 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_256_GCM_SHA384 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_128_CBC_SHA256 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_256_CBC_SHA256 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_128_CBC_SHA (uses SHA-1, lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_256_CBC_SHA (uses SHA-1, lack of Perfect Forward Secrecy) |
Gegenseitige TLS-Unterstützung
Wenn DPS-Registrierungen für die X.509-Authentifizierung konfiguriert sind, wird gegenseitiges TLS (mTLS) von DPS unterstützt.
TLS-Serverzertifikat
Während eines TLS-Handshakes präsentiert DPS RSA-schlüsselgebundene Serverzertifikate zum Verbinden von Clients. Alle DPS-Instanzen in der globalen Azure-Cloud verwenden das TLS-Zertifikat, das vom DigiCert Global Root G2-Zertifikat ausgestellt wird.
Außerdem wird empfohlen, die Zertifikate der Microsoft-RSA-Stammzertifizierungsstelle 2017 zu Ihren Geräten hinzuzufügen, um Unterbrechungen zu verhindern, falls das DigiCert Global Root G2 unerwartet eingestellt wird. Obwohl Migrationen von Stammzertifizierungsstellen selten sind, sollten Sie für Resilienz in der modernen Sicherheitslandschaft Ihr IoT-Szenario für das unwahrscheinliche Ereignis vorbereiten, dass eine Stammzertifizierungsstelle kompromittiert ist oder eine notfallbedingte Migration der Stammzertifizierungsstelle erforderlich ist.
Es wird dringend empfohlen, dass alle Geräte den folgenden Stamm-ZS vertrauen:
- DigiCert Global G2
- Microsoft RSA 2017
Links zum Herunterladen dieser Zertifikate finden Sie unter Details zur Azure-Zertifizierungsstelle.
Zertifikatsvertrauen in den SDKs
Die Azure IoT-Geräte-SDKs verbinden und authentifizieren Geräte mit Azure IoT-Diensten. Die verschiedenen SDKs verwalten Zertifikate je nach Sprache und Version unterschiedlich, verlassen sich jedoch am meisten auf den vertrauenswürdigen Zertifikatspeicher des Geräts, anstatt Zertifikate direkt in der Codebasis anheften zu müssen. Dieser Ansatz bietet Flexibilität und Resilienz zur Behandlung zukünftiger Änderungen in Stammzertifikaten.
In der folgenden Tabelle wird zusammengefasst, welche SDK-Versionen den vertrauenswürdigen Zertifikatspeicher unterstützen:
Azure IoT-Geräte-SDK | Unterstützte Versionen |
---|---|
K | Alle derzeit unterstützten Versionen |
C# | Alle derzeit unterstützten Versionen |
Java | Version 2.x.x und höher |
Node.js | Alle derzeit unterstützten Versionen |
Python | Alle derzeit unterstützten Versionen |
Anheften von Zertifikaten
Vom Anheften von Zertifikaten sowie vom Filtern der TLS-Serverzertifikate (auch Blattzertifikate genannt) und Zwischenzertifikate, die mit DSP-Endpunkten verknüpft sind, wird abgeraten, da Microsoft diese Zertifikate ohne oder mit nur geringer Vorankündigung ändert. Wenn Sie müssen, heften Sie nur die Stammzertifikate an.
Verwenden von TLS 1.2 in den IoT-SDKs
Verwenden Sie die nachstehenden Links zum Konfigurieren von TLS 1.2 und zulässigen Verschlüsselungen in den Azure IoT-Client-SDKs.
Sprache | Versionen mit Unterstützung von TLS 1.2 | Dokumentation |
---|---|---|
C | Tag 2019-12-11 oder höher | Link |
Python | Version 2.0.0 oder höher | Link |
C# | Version 1.21.4 oder höher | Link |
Java | Version 1.19.0 oder höher | Link |
NodeJS | Version 1.12.2 oder höher | Link |
Verwenden von TLS 1.2 mit IoT Hub
IoT Hub kann für die Verwendung von TLS 1.2 bei der Kommunikation mit Geräten konfiguriert werden. Weitere Informationen finden Sie unter IoT Hub-TLS-Durchsetzung.
Verwenden von TLS 1.2 bei IoT Edge
IoT Edge-Geräte können für die Verwendung von TLS 1.2 bei der Kommunikation mit IoT Hub und DPS konfiguriert werden. Weitere Informationen finden Sie auf der Dokumentationsseite zu IoT Edge.