TLS-ondersteuning in Azure IoT Hub Device Provisioning Service (DPS)
DPS maakt gebruik van Transport Layer Security (TLS) om verbindingen van IoT-apparaten te beveiligen.
De huidige versies van het TLS-protocol die door DPS worden ondersteund, zijn:
- TLS 1.2
Verbindingen beperken tot een minimale TLS-versie
U kunt uw DPS-exemplaren zo configureren dat alleen clientverbindingen van apparaten met een minimale TLS-versie of hoger zijn toegestaan.
Belangrijk
Op dit moment biedt DPS alleen ondersteuning voor TLS 1.2. U hoeft dus niet de minimale TLS-versie op te geven wanneer u een DPS-exemplaar maakt. Deze functie is beschikbaar voor toekomstige uitbreiding.
Hiervoor richt u een nieuwe DPS-resource in waarmee de eigenschap 1.2
wordt ingesteld in de minTlsVersion
DPS-resourcespecificatie van uw Azure Resource Manager-sjabloon. In de volgende voorbeeldsjabloon JSON wordt de minTlsVersion
eigenschap voor een nieuw DPS-exemplaar opgegeven.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Devices/ProvisioningServices",
"apiVersion": "2020-01-01",
"name": "<provide-a-valid-DPS-resource-name>",
"location": "<any-region>",
"properties": {
"minTlsVersion": "1.2"
},
"sku": {
"name": "S1",
"capacity": 1
},
}
]
}
U kunt de sjabloon implementeren met de volgende Azure CLI-opdracht.
az deployment group create -g <your resource group name> --template-file template.json
Zie DPS instellen met een Azure Resource Manager-sjabloon voor meer informatie over het maken van DPS-resources met Resource Manager-sjablonen.
De DPS-resource die met deze configuratie is gemaakt, weigert apparaten die verbinding proberen te maken met TLS-versies 1.0 en 1.1.
Notitie
De minTlsVersion
eigenschap heeft het kenmerk Alleen-lezen en kan niet worden gewijzigd nadat uw DPS-resource is gemaakt. Het is daarom essentieel dat u uw IoT-apparaten goed test en valideert dat al uw IoT-apparaten compatibel zijn met TLS 1.2 en de aanbevolen coderingen van tevoren.
Notitie
Na failovers blijft de minTlsVersion
eigenschap van uw DPS effectief in de geografisch gekoppelde regio na een failover.
Aanbevolen coderingen
DPS-exemplaren dwingen het gebruik van de volgende aanbevolen en verouderde coderingssuites af:
Aanbevolen TLS 1.2-coderingssuites |
---|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
Verouderde coderingssuites
Deze coderingssuites worden nog steeds ondersteund door DPS, maar worden afgeschaft. Gebruik indien mogelijk de aanbevolen coderingssuites.
Optie 1 (betere beveiliging) |
---|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 (uses SHA-1) TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 (uses SHA-1) TLS_RSA_WITH_AES_256_GCM_SHA384 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_128_GCM_SHA256 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_256_CBC_SHA256 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_128_CBC_SHA256 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_256_CBC_SHA (uses SHA-1, lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_128_CBC_SHA (uses SHA-1, lack of Perfect Forward Secrecy) |
Optie 2 (betere prestaties) |
---|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 (uses SHA-1) TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 (uses SHA-1) TLS_RSA_WITH_AES_128_GCM_SHA256 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_256_GCM_SHA384 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_128_CBC_SHA256 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_256_CBC_SHA256 (lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_128_CBC_SHA (uses SHA-1, lack of Perfect Forward Secrecy) TLS_RSA_WITH_AES_256_CBC_SHA (uses SHA-1, lack of Perfect Forward Secrecy) |
Wederzijdse TLS-ondersteuning
Wanneer DPS-inschrijvingen zijn geconfigureerd voor X.509-verificatie, wordt wederzijdse TLS (mTLS) ondersteund door DPS.
TLS-servercertificaat
Tijdens een TLS-handshake presenteert DPS RSA-servercertificaten voor het verbinden van clients. Alle DPS-exemplaren in de globale Azure-cloud gebruiken het TLS-certificaat dat is uitgegeven door het DigiCert Global Root G2-certificaat.
We raden u ook aan de Microsoft RSA-basiscertificaatautoriteit 2017-certificaten toe te voegen aan uw apparaten om onderbrekingen te voorkomen als de DigiCert Global Root G2 onverwacht buiten gebruik wordt gesteld. Hoewel basis-CA-migraties zeldzaam zijn, moet u voor tolerantie in het moderne beveiligingslandschap uw IoT-scenario voorbereiden op het onwaarschijnlijke geval dat een basis-CA is aangetast of een nood-CA-migratie nodig is.
We raden alle apparaten ten zeerste aan de volgende basis-CA's te vertrouwen:
- DigiCert Global G2-basis-CA
- Microsoft RSA root CA 2017
Zie de details van de Azure-certificeringsinstantie voor koppelingen om deze certificaten te downloaden.
Certificaatvertrouwen in de SDK's
De SDK's voor Azure IoT-apparaten verbinden en verifiëren apparaten met Azure IoT-services. De verschillende SDK's beheren certificaten op verschillende manieren, afhankelijk van de taal en versie, maar de meeste zijn afhankelijk van het vertrouwde certificaatarchief van het apparaat in plaats van certificaten rechtstreeks in de codebasis vast te maken. Deze aanpak biedt flexibiliteit en flexibiliteit voor het afhandelen van toekomstige wijzigingen in basiscertificaten.
De volgende tabel bevat een overzicht van de SDK-versies die ondersteuning bieden voor het vertrouwde certificaatarchief:
Azure IoT Device SDK | Ondersteunde versies |
---|---|
E | Alle momenteel ondersteunde versies |
C# | Alle momenteel ondersteunde versies |
Java | Versie 2.x.x en hoger |
Node.js | Alle momenteel ondersteunde versies |
Python | Alle momenteel ondersteunde versies |
Certificaat vastmaken
Het vastmaken en filteren van certificaten van TLS-server (ook wel bladcertificaten genoemd) en tussenliggende certificaten die zijn gekoppeld aan DPS-eindpunten, wordt afgeraden omdat Microsoft deze certificaten regelmatig met weinig of geen kennisgeving implementeert. Als u dat wilt, moet u alleen de basiscertificaten vastmaken.
TLS 1.2 gebruiken in de IoT SDK's
Gebruik de onderstaande koppelingen om TLS 1.2 en toegestane coderingen te configureren in de SDK's van de Azure IoT-client.
Taal | Versies die TLS 1.2 ondersteunen | Documentatie |
---|---|---|
E | Tag 2019-12-11 of hoger | Koppeling |
Python | Versie 2.0.0 of hoger | Koppeling |
C# | Versie 1.21.4 of hoger | Koppeling |
Java | Versie 1.19.0 of hoger | Koppeling |
NodeJS | Versie 1.12.2 of hoger | Koppeling |
TLS 1.2 gebruiken met IoT Hub
IoT Hub kan worden geconfigureerd voor het gebruik van TLS 1.2 bij het communiceren met apparaten. Zie IoT Hub TLS-afdwinging voor meer informatie.
TLS 1.2 gebruiken met IoT Edge
IoT Edge-apparaten kunnen worden geconfigureerd voor het gebruik van TLS 1.2 bij de communicatie met IoT Hub en DPS. Zie de documentatiepagina van IoT Edge voor meer informatie.