Configuración de certificados de CA de inquilino para servicios en la nube
Importante
Esta es la documentación de Azure Sphere (heredado). Azure Sphere (heredado) se retira el 27 de septiembre de 2027 y los usuarios deben migrar a Azure Sphere (integrado) en este momento. Use el selector de versiones situado encima de la TOC para ver la documentación de Azure Sphere (integrado).
El servicio de seguridad de Azure Sphere emite un certificado de ENTIDAD de certificación de inquilino cuando se crea un inquilino. Cada certificado de entidad de certificación de inquilino tiene una duración de dos años y la fecha de inicio y finalización se capturan en el certificado.
Cuando el dispositivo se conecta a Azure IoT Hub, Azure IoT Central o a un servicio back-end, el servicio debe poder comprobar que el dispositivo pertenece al inquilino de Azure Sphere y que el propio inquilino es legítimo. Para realizar esta autenticación, el servicio requiere una cadena de certificados de entidad de certificación de inquilino de Azure Sphere válida que se usa para firmar certificados que los dispositivos reciben como parte de la autenticación y la atestación diarias. Para más información, consulte Uso de certificados con Azure Sphere.
Cuando el certificado de entidad de certificación actual de un inquilino está a punto de expirar, se emite automáticamente un nuevo certificado de ENTIDAD de certificación de inquilino aproximadamente 90 días antes de que expire el certificado.
Debe configurar los servicios administrados de Azure IoT o el servicio back-end para confiar en ambos certificados de entidad de certificación de inquilino. Si ambos certificados son de confianza, el servicio podrá usar el nuevo certificado tan pronto como sea válido y, por tanto, evitará la interrupción de las comunicaciones cuando el servicio de seguridad de Azure Sphere cambie al uso del nuevo certificado de CA de inquilino.
Proporcionar un certificado de ENTIDAD de certificación de inquilino a los servicios en la nube
El proceso de configuración de un servicio en la nube para confiar en el certificado de ENTIDAD de certificación del inquilino implica:
- Paso 1: Enumeración e identificación de certificados de entidad de certificación de inquilino
- Paso 2: Descarga del certificado de entidad de certificación del inquilino
- Paso 3: Carga del certificado de entidad de certificación del inquilino y generación del código de verificación
- Paso 4: Comprobación de la identidad del inquilino
Paso 1: Enumeración e identificación de certificados de entidad de certificación de inquilino
Ejecute azsphere ca-certificate list para obtener una lista de certificados disponibles para el inquilino actual.
Cuando se debe renovar el certificado actual, el servicio de seguridad de Azure Sphere genera automáticamente el siguiente certificado, que se muestra junto con el certificado actual (activo).
En la lista de certificados, el estado del certificado de entidad de certificación de inquilino actual se muestra como Activo y el estado de los demás certificados se muestra como Inactivo.
En la tabla siguiente se proporcionan detalles del estado de los certificados:
| Estado | Descripción |
|---|---|
| Activas | Certificado de entidad de certificación del inquilino actual. |
| Inactivo | El estado puede significar cualquiera de los siguientes elementos: Nuevo certificado de ENTIDAD de certificación de inquilino: se emite un nuevo certificado de ENTIDAD de certificación de inquilino cuando el certificado de CA de inquilino actual está cerca de expirar. El estado del nuevo certificado se muestra como inactivo durante aproximadamente 45 días después de que se haya emitido. Certificado retirado: el período de validez del certificado activo actual y la superposición de certificados que expiran para evitar interrupciones o pérdida de conectividad, cuando se cambian los certificados. Cuando el estado del nuevo certificado cambia a activo, el estado del certificado anterior cambia a inactivo. Certificado expirado: el estado del certificado que ha expirado. |
| Revocada | Un certificado que no es de confianza. |
Paso 2: Descarga del certificado de entidad de certificación del inquilino
Ejecute azsphere ca-certificate download para descargar el certificado necesario como un archivo ".cer".
Ejemplo para especificar el índice para descargar un certificado necesario:
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
Ejemplo para especificar la huella digital para descargar un certificado necesario:
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
Nota:
Asegúrese de proporcionar o --index --thumbprint para descargar el certificado necesario. Si no se proporciona índice o huella digital, el certificado activo se descarga de forma predeterminada.
Paso 3: Carga del certificado de entidad de certificación de inquilino y generación de código de verificación
En el caso de los servicios administrados de Azure IoT, cargue el certificado de entidad de certificación de inquilino en Azure IoT Hub.
Si usa un servicio back-end, consulte la documentación proporcionada por el servicio.
Paso 4: Comprobación de la identidad del inquilino
Para los servicios administrados de Azure IoT, el registro es un proceso de dos pasos. El primer paso es cargar el nuevo certificado de entidad de certificación de inquilino en Azure IoT. El certificado de entidad de certificación de inquilino cargado debe comprobarse para demostrar la propiedad del inquilino de Azure Sphere. En el paso siguiente, el servicio de seguridad de Azure Sphere proporciona un certificado de prueba de posesión. Una vez cargado el certificado de prueba de posesión en Azure IoT, se completa el proceso de registro de certificados. Para más información sobre cómo comprobar el certificado de entidad de certificación de inquilino, consulte Configuración de una instancia de Azure IoT Hub o Configuración de Azure IoT Central.
Si usa un servicio back-end, consulte la documentación proporcionada por el servicio. Para más información, consulte Configuración de Una instancia de Azure IoT Hub o Configuración de una instancia de Azure IoT Hub para Azure Sphere con Device Provisioning Service.
Escala de tiempo para la renovación de certificados de entidad de certificación de inquilino
Cuando un certificado de ENTIDAD de certificación de inquilino está a punto de expirar, el servicio de seguridad de Azure Sphere inicia automáticamente el procedimiento de renovación.
En la ilustración siguiente se muestran las fases de renovación de certificados:
| Llamada | Fase |
|---|---|
| 1 | El certificado de CA de inquilino actual (certificado A) es válido durante 2 años y está marcado como Activo. |
| 2 | El proceso de renovación comienza aproximadamente 90 días antes de que expire el certificado A. Se crea un nuevo certificado de ENTIDAD de certificación de inquilino (certificado B) y se marca como Inactivo. En este momento, el certificado B está disponible para su descarga, pero el certificado A permanece como certificado activo durante aproximadamente 45 días. Debe tomar medidas en el período de 45 días para que los dispositivos continúen autenticando correctamente en los servicios en la nube. |
| 3 | El certificado B se convierte en el certificado activo aproximadamente 45 días después de que se haya emitido. En esta fase, el certificado A se marca como Inactivo y el Certificado B se convierte en el certificado activo . El certificado B se usará para reconocer y autenticar los dispositivos. Asegúrese de que los servicios en la nube están configurados con el certificado A y el certificado B para la operación correcta. |
| 4 | El certificado A ha expirado. Ahora puede quitar el certificado A de los servicios en la nube. |
| 5 | El certificado B es válido durante 2 años. |
Sugerencia
Las fechas de la imagen solo se proporcionan para la ilustración y variarán de cliente a cliente.
Es posible que tenga que implementar certificados para controlar la expiración del certificado. Para más información sobre los certificados graduales, consulte Servicios administrados de Azure IoT o consulte la documentación proporcionada por el servicio back-end preferido.