Uso del certificato con Azure Sphere

Articolo
06/18/2024

Questo argomento offre una panoramica del certificato di Azure Sphere "orizzontale": i tipi di certificati usati dai vari componenti di Azure Sphere, da dove provengono, da dove vengono archiviati, da come vengono aggiornati e come accedervi quando necessario. Descrive anche come il sistema operativo, l'SDK e i servizi di Azure Sphere semplificano la gestione dei certificati. Si supponga di avere una conoscenza di base con le autorità di certificazione e la catena di attendibilità.

Dispositivi Azure Sphere

Ogni dispositivo Azure Sphere si basa sull'archivio radice attendibile, che fa parte del sistema operativo Azure Sphere. L'archivio radice attendibile contiene un elenco di certificati radice usati per convalidare l'identità del servizio di sicurezza di Azure Sphere quando il dispositivo si connette per l'autenticazione del dispositivo e l'attestazione (DAA), l'aggiornamento over-the-air (OTA) o la segnalazione degli errori. Questi certificati vengono forniti con il sistema operativo.

Quando l'attestazione giornaliera ha esito positivo, il dispositivo riceve due certificati: un certificato di aggiornamento e un certificato del cliente. Il certificato di aggiornamento consente al dispositivo di connettersi al servizio di aggiornamento di Azure Sphere per ottenere gli aggiornamenti software e caricare le segnalazioni degli errori; non è accessibile alle applicazioni o tramite la riga di comando. Il certificato del cliente, talvolta denominato certificato DAA, può essere usato dalle applicazioni per connettersi a servizi di terze parti, ad esempio wolfSSL che usano tls (Transport Layer Security). Questo certificato è valido per 24 ore. Le applicazioni possono recuperarla a livello di codice chiamando la funzione DeviceAuth_GetCertificatePath.

I dispositivi che si connettono a servizi basati su Azure, ad esempio hub IoT di Azure, Azure IoT Central e Azure IoT Edge devono presentare il certificato ca del catalogo di Azure Sphere per autenticare il catalogo di Azure Sphere. Il comando az sphere ca-certificate download nell'interfaccia della riga di comando restituisce il certificato ca del catalogo per tali usi.

Connessioni di rete EAP-TLS

I dispositivi che si connettono a una rete EAP-TLS necessitano di certificati per l'autenticazione con il server RADIUS della rete. Per eseguire l'autenticazione come client, il dispositivo deve passare un certificato client a RADIUS. Per eseguire l'autenticazione reciproca, il dispositivo deve anche disporre di un certificato CA radice per il server RADIUS in modo che possa autenticare il server. Microsoft non fornisce nessuno di questi certificati; l'utente o l'amministratore di rete sono responsabili della verifica dell'autorità di certificazione corretta per il server RADIUS della rete e quindi dell'acquisizione dei certificati necessari dall'autorità emittente.

Per ottenere i certificati per il server RADIUS, è necessario eseguire l'autenticazione all'autorità di certificazione. A questo scopo, è possibile usare il certificato DAA, come indicato in precedenza. Dopo aver acquisito i certificati per il server RADIUS, è necessario archiviarli nell'archivio certificati del dispositivo. L'archivio certificati del dispositivo è disponibile solo per l'autenticazione in una rete protetta con EAP-TLS. Il certificato DAA non viene mantenuto nell'archivio certificati del dispositivo e viene mantenuto in modo sicuro nel sistema operativo. Il comando az sphere device certificate nell'interfaccia della riga di comando consente di gestire l'archivio certificati dalla riga di comando. Le applicazioni Azure Sphere possono usare l'API CertStore per archiviare, recuperare e gestire i certificati nell'archivio certificati del dispositivo. L'API CertStore include anche funzioni per restituire informazioni sui singoli certificati in modo che le app possano prepararsi per la scadenza e il rinnovo del certificato.

Per altre informazioni, vedere Usare EAP-TLS per una descrizione completa dei certificati usati nella rete EAP-TLS e vedere Proteggere l'accesso Wi-Fi aziendale: EAP-TLS in Azure Sphere in Microsoft Tech Community.

Applicazioni Azure Sphere

Le applicazioni Azure Sphere necessitano di certificati per l'autenticazione ai servizi Web e ad alcune reti. A seconda dei requisiti del servizio o dell'endpoint, un'app può usare il certificato DAA o un certificato da un'autorità di certificazione esterna.

Le app che si connettono a un servizio di terze parti usando wolfSSL o una libreria simile possono chiamare la funzione DeviceAuth_GetCertificatePath per ottenere il certificato DAA per l'autenticazione. Questa funzione è stata introdotta nell'intestazione deviceauth.h nell'SDK 20.10.

La libreria Azure IoT integrata in Azure Sphere considera già attendibile la CA radice necessaria, quindi le app che usano questa libreria per accedere ai servizi IoT di Azure (hub IoT di Azure, Azure IoT Central, servizio device provisioning) non richiedono certificati aggiuntivi.

Se le app usano altri servizi di Azure, consultare la documentazione relativa a tali servizi per determinare quali certificati sono necessari.

Azure Sphere REST API

L'API REST di Azure Sphere è un set di endpoint di servizio che supportano le operazioni HTTP per la creazione e la gestione di risorse di Azure Sphere, ad esempio cataloghi, prodotti, distribuzioni e gruppi di dispositivi. L'API REST di Azure Sphere usa il protocollo HTTP REST (REpresentational State Transfer) per inviare richieste e risposte di operazioni. I dati restituiti nella risposta dell'operazione vengono formattati in JSON (JavaScript Object Notation). Le operazioni disponibili sono documentate nelle informazioni di riferimento sull'API REST di Azure Sphere.

Servizio di sicurezza di Azure Sphere

I servizi cloud di Azure Sphere in generale e il servizio di sicurezza gestiscono in particolare numerosi certificati usati nella comunicazione sicura da servizio a servizio. La maggior parte di questi certificati è interna ai servizi e ai relativi client, quindi Microsoft coordina gli aggiornamenti in base alle esigenze. Ad esempio, oltre ad aggiornare il certificato TLS dell'API pubblica in ottobre, il servizio di sicurezza di Azure Sphere ha aggiornato anche i certificati TLS per il servizio DAA e il servizio di aggiornamento. Prima dell'aggiornamento, i dispositivi hanno ricevuto un aggiornamento OTA nell'archivio radice attendibile che includeva il nuovo certificato radice richiesto. Non è stata necessaria alcuna azione del cliente per mantenere la comunicazione del dispositivo con il servizio di sicurezza.

In che modo Azure Sphere semplifica le modifiche ai certificati per i clienti?

La scadenza del certificato è una causa comune di errori per i dispositivi IoT che Azure Sphere può impedire.

Poiché il prodotto Azure Sphere include sia il sistema operativo che il servizio di sicurezza, i certificati usati da entrambi questi componenti sono gestiti da Microsoft. I dispositivi ricevono certificati aggiornati tramite il processo DAA, gli aggiornamenti del sistema operativo e dell'applicazione e la segnalazione degli errori senza richiedere modifiche nelle applicazioni. Quando Microsoft ha aggiunto il certificato DigiCert Global Root G2, non sono state necessarie modifiche al cliente per continuare a daa, aggiornamenti o segnalazione errori. I dispositivi offline al momento dell'aggiornamento hanno ricevuto l'aggiornamento non appena si riconnettevano a Internet.

Il sistema operativo Azure Sphere include anche la libreria IoT di Azure, quindi se Microsoft apporta ulteriori modifiche ai certificati usati dalle librerie Azure IoT, la libreria verrà aggiornata nel sistema operativo in modo che le applicazioni non debbano essere modificate. Verranno inoltre fornite informazioni tramite post di blog aggiuntivi su eventuali casi perimetrali o circostanze speciali che potrebbero richiedere modifiche alle app o agli script.

Entrambi questi casi mostrano come Azure Sphere semplifica la gestione delle applicazioni rimuovendo la necessità di aggiornamenti di manutenzione delle applicazioni per gestire le modifiche del certificato. Poiché ogni dispositivo riceve un certificato di aggiornamento come parte dell'attestazione giornaliera, è possibile gestire facilmente l'aggiornamento di tutti i certificati gestiti in locale usati dai dispositivi e dalle applicazioni. Ad esempio, se l'applicazione convalida l'identità del server line-of-business (come dovrebbe), è possibile distribuire un pacchetto di immagine dell'applicazione aggiornato che include i certificati aggiornati. I servizi di aggiornamento delle applicazioni forniti dalla piattaforma Azure Sphere forniscono tali aggiornamenti, rimuovendo la preoccupazione che il servizio di aggiornamento stesso incorra in un problema di scadenza del certificato.