Configurer des certificats d’autorité de certification de locataire pour les services cloud
Important
Il s’agit de la documentation Azure Sphere (héritée). Azure Sphere (hérité) prend sa retraite le 27 septembre 2027 et les utilisateurs doivent migrer vers Azure Sphere (intégré) pour l’instant. Utilisez le sélecteur de version situé au-dessus du TOC pour afficher la documentation Azure Sphere (intégrée).
Un certificat d’autorité de certification de locataire est émis par le service de sécurité Azure Sphere lors de la création d’un locataire. Chaque certificat d’autorité de certification client a une durée de vie de deux ans et la date de début et de fin sont capturés dans le certificat.
Lorsque l’appareil se connecte à Azure IoT Hub, à Azure IoT Central ou à un service back-end, le service doit être en mesure de vérifier que l’appareil appartient à votre locataire Azure Sphere et que le locataire lui-même est légitime. Pour effectuer cette authentification, le service nécessite une chaîne de certificats d’autorité de certification de locataire Azure Sphere valide utilisée pour signer des certificats reçus par les appareils dans le cadre de l’attestation et de l’authentification quotidiennes. Pour plus d’informations, consultez Utilisation du certificat avec Azure Sphere.
Quand le certificat d’autorité de certification actuel d’un locataire est proche de l’expiration, un nouveau certificat d’autorité de certification client est émis automatiquement environ 90 jours avant l’expiration du certificat.
Vous devez configurer les services managés Azure IoT ou le service back-end pour approuver les deux certificats d’autorité de certification client. Si les deux certificats sont approuvés, le service est en mesure d’utiliser le nouveau certificat dès qu’il est valide et empêche ainsi toute interruption des communications lorsque le service de sécurité Azure Sphere bascule vers l’utilisation du nouveau certificat d’autorité de certification client.
Fournir un certificat d’autorité de certification client aux services cloud
Le processus de configuration d’un service cloud pour approuver le certificat d’autorité de certification client implique :
- Étape 1 : Répertorier et identifier les certificats d’autorité de certification client
- Étape 2 : Télécharger le certificat d’autorité de certification client
- Étape 3 : Charger le certificat d’autorité de certification client et générer le code de vérification
- Étape 4 : Vérifier l’identité du locataire
Étape 1 : Répertorier et identifier les certificats d’autorité de certification client
Exécutez azsphere ca-certificate list pour obtenir la liste des certificats disponibles pour le locataire actuel.
Lorsque le certificat actuel est dû au renouvellement, le service de sécurité Azure Sphere génère automatiquement le certificat suivant, qui s’affiche avec le certificat actuel (actif).
Dans la liste des certificats, l’état du certificat d’autorité de certification du locataire actuel s’affiche en tant qu’actif et l’état des autres certificats est affiché en tant qu’inactif.
Le tableau suivant fournit des détails sur l’état des certificats :
| Statut | Description |
|---|---|
| Actif | Certificat d’autorité de certification du locataire actuel. |
| Inactif | L’état peut signifier l’un des éléments suivants : Nouveau certificat d’autorité de certification client : un nouveau certificat d’autorité de certification client est émis lorsque le certificat d’autorité de certification client actuel est proche de l’expiration. L’état du nouveau certificat s’affiche comme inactif pendant environ 45 jours après son émission. Certificat supprimé : période de validité du certificat actif actuel et chevauchement du certificat arrivant à expiration afin d’éviter toute interruption ou perte de connectivité, lorsque les certificats sont basculés. Lorsque l’état du nouveau certificat passe à actif, l’état de l’ancien certificat devient inactif. Certificat expiré : état du certificat qui a expiré. |
| Révoqué | Certificat non approuvé. |
Étape 2 : Télécharger le certificat d’autorité de certification client
Exécutez azsphere ca-certificate download to download the required certificate as a '.cer' file.
Exemple de spécification d’index pour télécharger un certificat requis :
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
Exemple de spécification de l’empreinte numérique pour télécharger un certificat requis :
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
Remarque
Veillez à fournir le --index certificat requis ou --thumbprint à télécharger le certificat requis. Si l’index ou l’empreinte numérique n’est pas fourni, le certificat actif est téléchargé par défaut.
Étape 3 : Charger le certificat d’autorité de certification client et générer le code de vérification
Pour les services managés Azure IoT, chargez le certificat d’autorité de certification client sur Azure IoT Hub
Si vous utilisez un service back-end, consultez la documentation fournie par le service.
Étape 4 : Vérifier l’identité du locataire
Pour les services managés Azure IoT, l’inscription est un processus en deux étapes. La première étape consiste à charger le nouveau certificat d’autorité de certification client dans Azure IoT. Le certificat d’autorité de certification du locataire chargé doit être vérifié pour prouver la propriété du locataire Azure Sphere. À l’étape suivante, le service de sécurité Azure Sphere fournit un certificat de preuve de possession. Une fois le certificat de preuve de possession chargé dans Azure IoT, le processus d’inscription de certificat est terminé. Pour plus d’informations sur la vérification du certificat d’autorité de certification client, consultez Configurer un hub Azure IoT ou Configurer Azure IoT Central.
Si vous utilisez un service back-end, consultez la documentation fournie par le service. Pour plus d’informations, consultez Configurer un hub Azure IoT ou configurer un hub Azure IoT pour Azure Sphere avec le service Device Provisioning.
Chronologie du renouvellement du certificat d’autorité de certification client
Lorsqu’un certificat d’autorité de certification client est sur le point d’expirer, la procédure de renouvellement est automatiquement lancée par le service de sécurité Azure Sphere.
L’illustration suivante montre les étapes de renouvellement de certificat :
| Légende | Étape |
|---|---|
| 1 | Le certificat d’autorité de certification client actuel (certificat A) est valide pendant 2 ans et est marqué comme actif. |
| 2 | Le processus de renouvellement démarre environ 90 jours avant l’expiration du certificat A. Un nouveau certificat d’autorité de certification client (certificat B) est créé et marqué comme inactif. À ce stade, le certificat B est disponible en téléchargement, mais le certificat A reste le certificat actif pendant environ 45 jours. Vous devez prendre des mesures pendant la période de 45 jours afin que vos appareils continuent à s’authentifier auprès de vos services cloud correctement. |
| 3 | Le certificat B devient le certificat actif environ 45 jours après son émission. À ce stade, le certificat A est marqué comme inactif et le certificat B devient le certificat actif . Le certificat B sera utilisé pour reconnaître et authentifier vos appareils. Vérifiez que vos services cloud sont configurés avec le certificat A et le certificat B pour une opération correcte. |
| 4 | Le certificat A a expiré. Vous pouvez maintenant supprimer le certificat A de vos services cloud. |
| 5 | Le certificat B est valide pendant 2 ans. |
Conseil
Les dates de l’image sont fournies uniquement pour l’illustration et varient du client au client.
Vous devrez peut-être déployer des certificats pour gérer l’expiration du certificat. Pour plus d’informations sur le déploiement de certificats, consultez les services managés Azure IoT ou consultez la documentation fournie par votre service principal préféré.