Uso de certificado com o Azure Sphere

Artigo
11/23/2024

Este tópico fornece uma visão geral sobre o "cenário" de certificados do Azure Sphere: os tipos de certificados que os vários componentes do Azure Sphere usam, de onde vêm, onde estão armazenados, como são atualizados e como acessá-los quando necessário. Ele também descreve como o sistema operacional, o SDK e os serviços do Azure Sphere facilitam o gerenciamento de certificados para você. Presumimos que você tenha uma familiaridade básica com as autoridades de certificação e a cadeia de confiança.

Dispositivos do Azure Sphere

Cada dispositivo do Azure Sphere depende do repositório raiz confiável, que faz parte do sistema operacional do Azure Sphere. O repositório raiz confiável contém uma lista de certificados raiz que são usados para validar a identidade do Serviço de Segurança do Azure Sphere quando o dispositivo se conecta para autenticação e atestado de dispositivo (DAA), atualização OTA (over-the-air) ou relatório de erros. Esses certificados são fornecidos com o sistema operacional.

Quando o atestado diário é bem-sucedido, o dispositivo recebe dois certificados: um certificado de atualização e um certificado de cliente. O certificado de atualização permite que o dispositivo se conecte ao Serviço de Atualização do Azure Sphere para obter atualizações de software e carregar relatórios de erros; não é acessível a aplicativos ou por meio da linha de comando. O certificado do cliente, às vezes chamado de certificado DAA, pode ser usado por aplicativos para se conectar a serviços de terceiros, como wolfSSL, que usam TLS (Transport Layer Security). Este certificado é válido por 24 horas. Os aplicativos podem recuperá-lo programaticamente chamando a função DeviceAuth_GetCertificatePath.

Os dispositivos que se conectam a serviços baseados no Azure, como o Hub IoT do Azure, o Azure IoT Central e o Azure IoT Edge, devem apresentar seu certificado de autoridade de certificação do catálogo do Azure Sphere para autenticar seu catálogo do Azure Sphere. O comando az sphere ca-certificate download na CLI retorna o certificado CA do catálogo para esses usos.

Conexões de rede EAP-TLS

Os dispositivos que se conectam a uma rede EAP-TLS precisam de certificados para se autenticar com o servidor RADIUS da rede. Para autenticar como cliente, o dispositivo deve passar um certificado de cliente para o RADIUS. Para executar a autenticação mútua, o dispositivo também deve ter um certificado de autoridade de certificação raiz para o servidor RADIUS para que ele possa autenticar o servidor. A Microsoft não fornece nenhum desses certificados; você ou o administrador da rede são responsáveis por determinar a autoridade de certificação correta para o servidor RADIUS da rede e, em seguida, adquirir os certificados necessários do emissor.

Para obter os certificados para o servidor RADIUS, você precisará se autenticar na autoridade de certificação. Você pode usar o certificado DAA, conforme mencionado anteriormente, para essa finalidade. Depois de adquirir os certificados para o servidor RADIUS, você deve armazená-los no repositório de certificados do dispositivo. O repositório de certificados do dispositivo está disponível apenas para uso na autenticação em uma rede segura com EAP-TLS. (O certificado DAA não é mantido no repositório de certificados do dispositivo; ele é mantido com segurança no sistema operacional.) O comando az sphere device certificate na CLI permite gerenciar o repositório de certificados na linha de comando. Os aplicativos do Azure Sphere podem usar a API CertStore para armazenar, recuperar e gerenciar certificados no repositório de certificados do dispositivo. A API CertStore também inclui funções para retornar informações sobre certificados individuais para que os aplicativos possam se preparar para a expiração e renovação do certificado.

Consulte Usar EAP-TLS para obter uma descrição completa dos certificados usados na rede EAP-TLS e consulte Proteger o acesso Wi-Fi corporativo: EAP-TLS no Azure Sphere na Microsoft Tech Community para obter informações adicionais.

Aplicativos do Azure Sphere

Os aplicativos do Azure Sphere precisam de certificados para se autenticar em serviços Web e em algumas redes. Dependendo dos requisitos do serviço ou endpoint, um aplicativo pode usar o certificado DAA ou um certificado de uma autoridade de certificação externa.

Os aplicativos que se conectam a um serviço de terceiros usando wolfSSL ou uma biblioteca semelhante podem chamar a função DeviceAuth_GetCertificatePath para obter o certificado DAA para autenticação. Essa função foi introduzida no cabeçalho deviceauth.h no SDK 20.10.

A biblioteca do Azure IoT integrada ao Azure Sphere já confia na autoridade de certificação raiz necessária, portanto, os aplicativos que usam essa biblioteca para acessar os serviços do Azure IoT (Hub IoT do Azure, Azure IoT Central, serviço de provisionamento de dispositivos) não exigem certificados adicionais.

Se seus aplicativos usarem outros serviços do Azure, verifique a documentação desses serviços para determinar quais certificados são necessários.

Azure Sphere REST API

A API REST do Azure Sphere é um conjunto de pontos de extremidade de serviço que dão suporte a operações HTTP para criar e gerenciar recursos do Azure Sphere, como catálogos, produtos, implantações e grupos de dispositivos. A API REST do Azure Sphere usa o protocolo HTTP REST (REpresentational State Transfer) para enviar solicitações e respostas de operação. Os dados retornados na resposta da operação são formatados em JSON (JavaScript Object Notation). As operações disponíveis estão documentadas na referência da API REST do Azure Sphere.

Serviço de Segurança do Azure Sphere

Os serviços de nuvem do Azure Sphere em geral, e o Serviço de Segurança em particular, gerenciam vários certificados que são usados na comunicação segura de serviço a serviço. A maioria desses certificados é interna aos serviços e seus clientes, portanto, a Microsoft coordena as atualizações conforme necessário. Por exemplo, além de atualizar o certificado TLS da API pública em outubro, o Serviço de Segurança do Azure Sphere também atualizou seus certificados TLS para o serviço DAA e o serviço Update. Antes da atualização, os dispositivos recebiam uma atualização OTA para o repositório raiz confiável que incluía o novo certificado raiz necessário. Nenhuma ação do cliente foi necessária para manter a comunicação do dispositivo com o Serviço de Segurança.

Como o Azure Sphere facilita as alterações de certificado para os clientes?

A expiração do certificado é uma causa comum de falhas para dispositivos IoT que o Azure Sphere pode evitar.

Como o produto do Azure Sphere inclui o sistema operacional e o Serviço de Segurança, os certificados usados por ambos os componentes são gerenciados pela Microsoft. Os dispositivos recebem certificados atualizados por meio do processo DAA, atualizações do sistema operacional e do aplicativo e relatórios de erros sem exigir alterações nos aplicativos. Quando a Microsoft adicionou o certificado DigiCert Global Root G2, nenhuma alteração do cliente foi necessária para continuar o DAA, as atualizações ou o relatório de erros. Os dispositivos que estavam offline no momento da atualização receberam a atualização assim que se reconectaram à Internet.

O sistema operacional do Azure Sphere também inclui a biblioteca do Azure IoT, portanto, se a Microsoft fizer mais alterações nos certificados que as bibliotecas do Azure IoT usam, atualizaremos a biblioteca no sistema operacional para que seus aplicativos não precisem ser alterados. Também informaremos você por meio de postagens de blog adicionais sobre quaisquer casos extremos ou circunstâncias especiais que possam exigir modificações em seus aplicativos ou scripts.

Ambos os casos mostram como o Azure Sphere simplifica o gerenciamento de aplicativos, removendo a necessidade de atualizações de manutenção de aplicativos para lidar com alterações de certificado. Como cada dispositivo recebe um certificado de atualização como parte de seu atestado diário, você pode gerenciar facilmente a atualização de todos os certificados gerenciados localmente que seus dispositivos e aplicativos usam. Por exemplo, se o aplicativo validar a identidade do servidor de linha de negócios (como deveria), você poderá implantar um pacote de imagem de aplicativo atualizado que inclua certificados atualizados. Os serviços de atualização de aplicativo fornecidos pela plataforma do Azure Sphere fornecem essas atualizações, eliminando a preocupação de que o próprio serviço de atualização incorra em um problema de expiração de certificado.