Настройка сертификатов ЦС клиента для облачных служб
Внимание
Это документация по Azure Sphere (устаревшая версия). Служба Azure Sphere (устаревшая версия) выходит на пенсию 27 сентября 2027 г., и к этому времени пользователи должны перейти в Azure Sphere (интегрированная). Используйте селектор версий, расположенный над toC, чтобы просмотреть документацию по Azure Sphere (интегрированная).
Сертификат ЦС клиента выдается службой безопасности Azure Sphere при создании клиента. Каждый сертификат ЦС клиента имеет срок существования двух лет, а дата начала и дата окончания записываются в сертификате.
Когда устройство подключается к Центр Интернета вещей Azure, Azure IoT Central или серверной службе, служба должна быть в состоянии убедиться, что устройство принадлежит клиенту Azure Sphere и что сам клиент является законным. Для выполнения этой проверки подлинности служба требует допустимой цепочки сертификатов ЦС клиента Azure Sphere, которая используется для подписывания сертификатов, которые устройства получают в рамках ежедневной аттестации и проверки подлинности. Дополнительные сведения см. в разделе "Использование сертификатов с Azure Sphere".
Когда текущий сертификат ЦС клиента близок к истечении срока действия, новый сертификат ЦС клиента автоматически выдается примерно через 90 дней до истечения срока действия сертификата.
Чтобы доверять сертификатам ЦС клиента, необходимо настроить управляемые службы Интернета вещей Azure или серверную службу. Если оба сертификата являются доверенными, служба сможет использовать новый сертификат сразу после того, как он станет действительным, и таким образом предотвратить прерывание обмена данными, когда служба безопасности Azure Sphere переключается на использование нового сертификата ЦС клиента.
Предоставление сертификата ЦС клиента облачным службам
Процесс настройки облачной службы для доверия сертификату ЦС клиента включает:
- Шаг 1. Вывод списка и идентификации сертификатов ЦС клиента
- Шаг 2. Скачивание сертификата ЦС клиента
- Шаг 3. Отправка сертификата ЦС клиента и создание кода проверки
- Шаг 4. Проверка удостоверения клиента
Шаг 1. Вывод списка и идентификации сертификатов ЦС клиента
Запустите azsphere ca-certificate list , чтобы получить список доступных сертификатов для текущего клиента.
Если текущий сертификат должен быть продлен, служба безопасности Azure Sphere автоматически создает следующий сертификат, который отображается вместе с текущим (активным) сертификатом.
В списке сертификатов состояние текущего сертификата ЦС клиента отображается как "Активный ", а состояние других сертификатов отображается как неактивный.
В следующей таблице приведены сведения о состоянии сертификатов:
| Состояние | Description |
|---|---|
| Активные | Сертификат ЦС текущего клиента. |
| Неактивный | Состояние может означать любое из следующих значений: Новый сертификат ЦС клиента: новый сертификат ЦС клиента выдается, когда текущий сертификат ЦС клиента близок к истечению срока действия. Состояние нового сертификата отображается как неактивное примерно через 45 дней после его выдачи. Устаревший сертификат: срок действия текущего активного сертификата и перекрывающийся сертификат с истекающим сроком действия, чтобы избежать прерывания или потери подключения при переключении сертификатов. Когда состояние нового сертификата изменяется на активный, состояние старого сертификата изменяется на неактивное. Истек срок действия сертификата: состояние сертификата, срок действия которого истек. |
| Отозван | Недоверенный сертификат. |
Шаг 2. Скачивание сертификата ЦС клиента
Запустите azsphere ca-certificate download , чтобы скачать необходимый сертификат в виде файла .cer.
Пример указания индекса для скачивания обязательного сертификата:
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
Пример указания отпечатка для скачивания необходимого сертификата:
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
Примечание.
Убедитесь, что вы предоставили --index необходимый сертификат или --thumbprint скачайте необходимый сертификат. Если индекс или отпечаток не указан, активный сертификат загружается по умолчанию.
Шаг 3. Отправка сертификата ЦС клиента и создание кода проверки
Для управляемых служб Интернета вещей Azure отправьте сертификат ЦС клиента в Центр Интернета вещей Azure
или Azure IoT Central.
При использовании внутренней службы обратитесь к документации, предоставленной службой.
Шаг 4. Проверка удостоверения клиента
Для управляемых служб Интернета вещей Azure регистрация — это двухэтапный процесс. Первым шагом является отправка нового сертификата ЦС клиента в Azure IoT. Чтобы подтвердить владение клиентом Azure Sphere, необходимо проверить сертификат ЦС отправленного клиента. На следующем шаге служба безопасности Azure Sphere предоставляет сертификат подтверждения владения. После отправки сертификата подтверждения владения в Azure IoT процесс регистрации сертификатов завершится. Дополнительные сведения о проверке сертификата ЦС клиента см. в статье "Настройка Центр Интернета вещей Azure" или "Настройка Azure IoT Central".
При использовании внутренней службы обратитесь к документации, предоставленной службой. Дополнительные сведения см. в статье "Настройка Центр Интернета вещей Azure" или "Настройка Центр Интернета вещей Azure для Azure Sphere" с помощью службы подготовки устройств.
Временная шкала обновления сертификата ЦС клиента
Когда срок действия сертификата ЦС клиента истекает, процедура продления автоматически инициируется службой безопасности Azure Sphere.
На следующем рисунке показаны этапы продления сертификата:
| Выноска | Этап |
|---|---|
| 1 | Текущий сертификат ЦС клиента (Сертификат A) действителен в течение 2 лет и помечается как активный. |
| 2 | Процесс продления начинается примерно через 90 дней до истечения срока действия сертификата A. Создается новый сертификат ЦС клиента (сертификат B) и помечается как неактивный. На этом этапе сертификат B доступен для скачивания, но сертификат A остается активным сертификатом примерно на 45 дней. Необходимо выполнить действия в течение 45-дневного периода, чтобы устройства продолжали проходить проверку подлинности в облачных службах. |
| 3 | Сертификат B становится активным сертификатом примерно через 45 дней после его выдачи. На этом этапе сертификат A помечается как неактивный, а сертификат B становится активным сертификатом. Сертификат B будет использоваться для распознавания и проверки подлинности устройств. Убедитесь, что облачные службы настроены как с сертификатом A, так и сертификатом B для правильной операции. |
| 4 | Срок действия сертификата A истек. Теперь вы можете удалить сертификат A из облачных служб. |
| 5 | Сертификат B действителен в течение 2 лет. |
Совет
Даты на изображении предоставляются только для иллюстрации и зависят от клиента к клиенту.
Для обработки истечения срока действия сертификата может потребоваться свернуть сертификаты. Дополнительные сведения о последовательности сертификатов см. в управляемой службе Интернета вещей Azure или в документации, предоставленной вашей предпочтительной серверной службой.