Configurar certificados de AC de locatário para serviços de nuvem
Importante
Esta é a documentação do Azure Sphere (herdado). O Azure Sphere (herdado) será desativado em 27 de setembro de 2027 e os usuários devem migrar para o Azure Sphere (integrado) até esse momento. Use o seletor de versão localizado acima do sumário para exibir a documentação do Azure Sphere (Integrado).
Um certificado de AC de locatário é emitido pelo Serviço de Segurança do Azure Sphere quando um locatário é criado. Cada certificado de autoridade de certificação de locatário tem uma vida útil de dois anos e a data de início e a data de término são capturadas no certificado.
Quando o dispositivo se conecta ao Hub IoT do Azure, ao Azure IoT Central ou a um serviço de back-end, o serviço deve ser capaz de verificar se o dispositivo pertence ao locatário do Azure Sphere e se o próprio locatário é legítimo. Para executar essa autenticação, o serviço requer uma cadeia de certificados de autoridade de certificação de locatário válida do Azure Sphere que é usada para assinar certificados que os dispositivos recebem como parte do atestado e da autenticação diários. Para obter mais informações, consulte Uso do certificado com o Azure Sphere.
Quando o certificado de autoridade de certificação atual de um locatário está próximo da expiração, um novo certificado de autoridade de certificação do locatário é emitido automaticamente aproximadamente 90 dias antes da expiração do certificado.
Você deve configurar os serviços gerenciados do Azure IoT ou o serviço de back-end para confiar em ambos os certificados de autoridade de certificação do locatário. Se ambos os certificados forem confiáveis, o serviço poderá usar o novo certificado assim que ele se tornar válido e, assim, evitar a interrupção das comunicações quando o Serviço de Segurança do Azure Sphere alternar para o uso do novo certificado de autoridade de certificação do locatário.
Fornecer certificado de autoridade de certificação de locatário para serviços de nuvem
O processo de configuração de um serviço de nuvem para confiar no certificado de autoridade de certificação do locatário envolve:
- Etapa 1: Listar e identificar certificados de autoridade de certificação de locatário
- Etapa 2: Baixar o certificado de autoridade de certificação do locatário
- Etapa 3: Carregar o certificado de autoridade de certificação do locatário e gerar o código de verificação
- Etapa 4: Verificar a identidade do locatário
Etapa 1: Listar e identificar certificados de autoridade de certificação de locatário
Execute azsphere ca-certificate list para obter uma lista de certificados disponíveis para o locatário atual.
Quando o certificado atual deve ser renovado, o Serviço de Segurança do Azure Sphere gera automaticamente o próximo certificado, que é exibido junto com o certificado atual (ativo).
Na lista de certificados, o status do certificado de autoridade de certificação do locatário atual é exibido como Ativo e o status dos outros certificados é exibido como Inativo.
A tabela a seguir fornece detalhes do status dos certificados:
| Status | Descrição |
|---|---|
| Ativo | O certificado de autoridade de certificação do locatário atual. |
| Inativo | O status pode significar qualquer um dos seguintes: Certificado de autoridade de certificação do novo locatário: um novo certificado de autoridade de certificação do locatário é emitido quando o certificado de autoridade de certificação do locatário atual está próximo da expiração. O status do novo certificado é exibido como inativo por aproximadamente 45 dias após sua emissão. Certificado desativado: o período de validade do certificado ativo atual e do certificado expirado se sobrepõe para evitar interrupção ou perda de conectividade, quando os certificados são alternados. Quando o status do novo certificado muda para ativo, o status do certificado antigo muda para inativo. Certificado expirado: o status do certificado que expirou. |
| Revogado | Um certificado não confiável. |
Etapa 2: Baixar o certificado de autoridade de certificação do locatário
Execute azsphere ca-certificate download para baixar o certificado necessário como um arquivo '.cer'.
Exemplo para especificar o índice para baixar um certificado necessário:
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
Exemplo para especificar a impressão digital para baixar um certificado necessário:
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
Observação
Certifique-se de fornecer o --index ou --thumbprint para baixar o certificado necessário. Se o índice ou a impressão digital não forem fornecidos, o certificado ativo será baixado por padrão.
Etapa 3: Carregar o certificado de autoridade de certificação do locatário e gerar o código de verificação
Para serviços gerenciados do Azure IoT, carregue o certificado de autoridade de certificação do locatário no Hub IoT do Azure
Se você estiver usando um serviço de back-end, consulte a documentação fornecida pelo serviço.
Etapa 4: Verificar a identidade do locatário
Para os serviços gerenciados do Azure IoT, o registro é um processo de duas etapas. A primeira etapa é carregar o novo certificado de autoridade de certificação do locatário no Azure IoT. O certificado de autoridade de certificação do locatário carregado deve ser verificado para provar a propriedade do locatário do Azure Sphere. Na próxima etapa, o Serviço de Segurança do Azure Sphere fornece um certificado de prova de posse. Depois que o certificado de prova de posse é carregado no Azure IoT, o processo de registro do certificado é concluído. Para obter mais informações sobre como verificar o certificado de autoridade de certificação do locatário, consulte Configurar um Hub IoT do Azure ou Configurar o Azure IoT Central.
Se você estiver usando um serviço de back-end, consulte a documentação fornecida pelo serviço. Para obter mais informações, consulte Configurar um Hub IoT do Azure ou Configurar um Hub IoT do Azure para o Azure Sphere com o Serviço de Provisionamento de Dispositivos.
Linha do tempo para renovação do certificado de autoridade de certificação do locatário
Quando um certificado de autoridade de certificação de locatário está prestes a expirar, o procedimento de renovação é iniciado automaticamente pelo Serviço de Segurança do Azure Sphere.
A ilustração a seguir mostra os estágios de renovação do certificado:
| Balão | Estágio |
|---|---|
| 1 | O certificado CA do locatário atual (Certificado A) é válido por 2 anos e está marcado como Ativo. |
| 2 | O processo de renovação começa aproximadamente 90 dias antes do Certificado A expirar. Um novo certificado de autoridade de certificação de locatário (Certificado B) é criado e marcado como Inativo. Neste ponto, o Certificado B está disponível para download, mas o Certificado A permanece como o certificado ativo por aproximadamente 45 dias. Você deve agir dentro do período de 45 dias para que seus dispositivos continuem a se autenticar corretamente em seus serviços de nuvem. |
| 3 | O certificado B torna-se o certificado ativo aproximadamente 45 dias após ter sido emitido. Nesse estágio, o Certificado A é marcado como Inativo e o Certificado B se torna o certificado Ativo . O certificado B será usado para reconhecer e autenticar seus dispositivos. Certifique-se de que seus serviços de nuvem estejam configurados com o Certificado A e o Certificado B para operação correta. |
| 4 | O certificado A expirou. Agora você pode remover o Certificado A de seus serviços em nuvem. |
| 5 | O certificado B é válido por 2 anos. |
Dica
As datas na imagem são fornecidas apenas para ilustração e variam de cliente para cliente.
Talvez seja necessário rolar certificados para lidar com a expiração do certificado. Para obter mais informações sobre certificados sem interrupção, consulte Serviços gerenciados do Azure IoT ou consulte a documentação fornecida pelo serviço de back-end de sua preferência.