Configurar certificados de CA de locatário para serviços de nuvem
Importante
Esta é a documentação do Azure Sphere (Legado). O Azure Sphere (Legado) será desativado em 27 de setembro de 2027 e os usuários devem migrar para o Azure Sphere (Integrado) até esse momento. Use o seletor de versão localizado acima do sumário para exibir a documentação do Azure Sphere (Integrado).
Um certificado de CA de locatário é emitido pelo Serviço de Segurança do Azure Sphere quando um locatário é criado. Cada certificado de autoridade de certificação de locatário tem uma vida útil de dois anos e a data de início e a data de término são capturadas no certificado.
Quando o dispositivo se conecta ao Hub IoT do Azure, ao Azure IoT Central ou a um serviço back-end, o serviço deve ser capaz de verificar se o dispositivo pertence ao seu locatário do Azure Sphere e se o próprio locatário é legítimo. Para executar essa autenticação, o serviço requer uma cadeia de certificados de CA de locatário válida do Azure Sphere que é usada para assinar certificados que os dispositivos recebem como parte do atestado e autenticação diários. Para obter mais informações, consulte Uso de certificado com o Azure Sphere.
Quando o certificado de autoridade de certificação atual de um locatário está perto da expiração, um novo certificado de autoridade de certificação de locatário é emitido automaticamente aproximadamente 90 dias antes de o certificado expirar.
Você deve configurar os serviços gerenciados do Azure IoT ou o serviço back-end para confiar em ambos os certificados de CA do locatário. Se ambos os certificados forem confiáveis, o serviço poderá usar o novo certificado assim que ele se tornar válido e, assim, evitar a interrupção das comunicações quando o Serviço de Segurança do Azure Sphere passar a usar o novo certificado de CA do locatário.
Fornecer certificado de autoridade de certificação de locatário para serviços de nuvem
O processo de configuração de um serviço de nuvem para confiar no certificado da autoridade de certificação do locatário envolve:
- Etapa 1: Listar e identificar certificados de CA de locatários
- Etapa 2: Baixar o certificado da autoridade de certificação do locatário
- Etapa 3: Carregue o certificado da autoridade de certificação do locatário e gere o código de verificação
- Etapa 4: Verificar a identidade do locatário
Etapa 1: Listar e identificar certificados de CA de locatários
Execute azsphere ca-certificate list para obter uma lista de certificados disponíveis para o locatário atual.
Quando o certificado atual deve ser renovado, o Serviço de Segurança do Azure Sphere gera automaticamente o próximo certificado, que é exibido junto com o certificado atual (ativo).
Na lista de certificados, o status do certificado da autoridade de certificação do locatário atual é exibido como Ativo e o status dos outros certificados é exibido como Inativo.
A tabela a seguir fornece detalhes do status dos certificados:
| Status | Description |
|---|---|
| Activo | O certificado de autoridade de certificação do locatário atual. |
| Inativo | O status pode significar qualquer um dos seguintes: Certificado de nova autoridade de certificação de locatário: um novo certificado de autoridade de certificação de locatário é emitido quando o certificado de autoridade de certificação de locatário atual está perto de expirar. O status do novo certificado é exibido como inativo por aproximadamente 45 dias após sua emissão. Certificado desativado: o período de validade do certificado ativo atual e o certificado que expira se sobrepõem para evitar interrupção ou perda de conectividade, quando os certificados são trocados. Quando o status do novo certificado muda para ativo, o status do certificado antigo muda para inativo. Certificado expirado: o status do certificado que expirou. |
| Revogado | Um certificado não confiável. |
Etapa 2: Baixar o certificado da autoridade de certificação do locatário
Execute azsphere ca-certificate download para baixar o certificado necessário como um arquivo '.cer'.
Exemplo para especificar o índice para baixar um certificado necessário:
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
Exemplo para especificar a impressão digital para baixar um certificado necessário:
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
Nota
Certifique-se de fornecer o --index ou --thumbprint para baixar o certificado necessário. Se o índice ou a impressão digital não forem fornecidos, o certificado ativo será baixado por padrão.
Etapa 3: Carregue o certificado da autoridade de certificação do locatário e gere o código de verificação
Para serviços gerenciados do Azure IoT, carregue o certificado de CA do locatário no Hub IoT do Azure
Se você estiver usando um serviço de back-end, consulte a documentação fornecida pelo serviço.
Etapa 4: Verificar a identidade do locatário
Para os serviços gerenciados do Azure IoT, o registro é um processo de duas etapas. A primeira etapa é carregar o novo certificado de CA de locatário no Azure IoT. O certificado de CA de locatário carregado deve ser verificado para provar a propriedade do locatário do Azure Sphere. Na próxima etapa, o Serviço de Segurança do Azure Sphere fornece um certificado de prova de posse. Depois que o certificado de prova de posse for carregado no Azure IoT, o processo de registro do certificado será concluído. Para obter mais informações sobre como verificar o certificado da autoridade de certificação do locatário, consulte Configurar um Hub IoT do Azure ou Configurar o Azure IoT Central.
Se você estiver usando um serviço de back-end, consulte a documentação fornecida pelo serviço. Para obter mais informações, consulte Configurar um Hub IoT do Azure ou Configurar um Hub IoT do Azure para o Azure Sphere com o Serviço de Provisionamento de Dispositivo.
Cronograma para renovação do certificado de CA do locatário
Quando um certificado de CA de locatário está prestes a expirar, o procedimento de renovação é iniciado automaticamente pelo Serviço de Segurança do Azure Sphere.
A ilustração a seguir mostra as etapas da renovação do certificado:
| Chamada | Fase |
|---|---|
| 1 | O certificado de CA do locatário atual (Certificado A) é válido por 2 anos e está marcado como Ativo. |
| 2 | O processo de renovação começa aproximadamente 90 dias antes do Certificado A expirar. Um novo certificado de autoridade de certificação de locatário (Certificado B) é criado e marcado como Inativo. Neste ponto, o Certificado B está disponível para download, mas o Certificado A permanece como o certificado Ativo por aproximadamente 45 dias. Tem de tomar medidas dentro do período de 45 dias para que os seus dispositivos continuem a autenticar-se corretamente nos seus serviços na nuvem. |
| 3 | O certificado B torna-se o certificado ativo aproximadamente 45 dias após ter sido emitido. Nesta fase, o Certificado A é marcado como Inativo e o Certificado B torna-se o certificado Ativo . O certificado B será utilizado para reconhecer e autenticar os seus dispositivos. Certifique-se de que seus serviços de nuvem estejam configurados com o Certificado A e o Certificado B para o funcionamento correto. |
| 4 | O certificado A expirou. Agora você pode remover o Certificado A de seus serviços de nuvem. |
| 5 | O certificado B é válido por 2 anos. |
Gorjeta
As datas na imagem são fornecidas apenas para ilustração e variam de cliente para cliente.
Talvez seja necessário rolar certificados para lidar com a expiração do certificado. Para obter mais informações sobre certificados contínuos, consulte Serviços gerenciados do Azure IoT ou consulte a documentação fornecida pelo seu serviço back-end preferido.