設定雲端服務的租使用者 CA 憑證
重要
這是 Azure Sphere (舊版) 檔。 Azure Sphere(舊版)將於 2027 年 9 月 27 日淘汰,且使用者此時必須移轉至 Azure Sphere(整合式)。 使用位於 TOC 上方的版本選取器來檢視 Azure Sphere (整合式) 檔。
建立租使用者時,Azure Sphere 安全性服務會發出租使用者 CA 憑證。 每個租使用者 CA 憑證都有兩年的存留期,而且憑證中會擷取開始日期和結束日期。
當裝置連線到 Azure IoT 中樞、Azure IoT Central 或後端服務時,服務必須能夠確認裝置屬於您的 Azure Sphere 租使用者,且租使用者本身是合法的。 若要執行這項驗證,服務需要有效的 Azure Sphere 租使用者 CA 憑證鏈結,用來簽署裝置在每日證明和驗證期間收到的憑證。 如需詳細資訊,請參閱 憑證搭配 Azure Sphere 使用。
當租使用者的目前 CA 憑證即將到期時,新的租使用者 CA 憑證會在憑證到期前大約 90 天自動發行。
您必須設定 Azure IoT 受控服務或後端服務,以信任這兩個租使用者 CA 憑證。 如果這兩個憑證都受信任,服務就能夠在新憑證生效時立即使用,因此當 Azure Sphere 安全性服務切換到使用新的租使用者 CA 憑證時,不會中斷通訊。
將租使用者 CA 憑證提供給雲端服務
設定雲端服務以信任租使用者 CA 憑證的程式包括:
步驟 1:列出和識別租使用者 CA 憑證
執行 azsphere ca-certificate list 以取得目前租使用者的可用憑證清單。
當目前的憑證即將更新時,Azure Sphere 安全性服務會自動產生下一個憑證,該憑證會與目前 (使用中) 憑證一起顯示。
在憑證清單中,目前租使用者 CA 憑證的狀態會顯示為 [作用 中],而其他憑證的狀態會顯示為 [非作用中]。
下表提供憑證狀態的詳細數據:
| 狀態 | 描述 |
|---|---|
| 使用中 | 目前的租使用者 CA 憑證。 |
| 非使用中 | 狀態可能表示下列任何一項: 新的租使用者 CA 憑證:當目前的租使用者 CA 憑證即將到期時,會發出新的租使用者 CA 憑證。 新憑證的狀態會在發行后大約 45 天顯示為非使用中狀態。 已淘汰的憑證:當憑證切換時,目前作用中憑證和過期憑證的有效期間會重疊,以避免中斷或遺失連線。 當新憑證的狀態變更為作用中時,舊憑證的狀態會變更為非使用中狀態。 過期的憑證:已過期的憑證狀態。 |
| 已撤銷 | 不受信任的憑證。 |
步驟 2:下載租使用者 CA 憑證
執行 azsphere ca-certificate download,將所需的憑證下載 為 '.cer' 檔案。
指定索引以下載必要憑證的範例:
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
指定指紋以下載必要憑證的範例:
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
注意
請確定您提供 --index 或 --thumbprint 以下載所需的憑證。 如果未提供索引或指紋,預設會下載使用中的憑證。
步驟 3:上傳租使用者 CA 憑證併產生驗證碼
針對 Azure IoT 受控服務,將租使用者 CA 憑證上傳至 Azure IoT 中樞
如果您使用後端服務,請參閱服務所提供的檔。
步驟 4:驗證租使用者身分識別
針對 Azure IoT 受控服務,註冊是兩個步驟的程式。 第一個步驟是在 Azure IoT 中上傳新的租使用者 CA 憑證。 上傳的租使用者 CA 憑證必須經過驗證,才能證明 Azure Sphere 租使用者的擁有權。 在下一個步驟中,Azure Sphere 安全性服務會提供擁有證明憑證。 將擁有權證明上傳至 Azure IoT 之後,憑證註冊程式就會完成。 如需驗證租使用者 CA 憑證的詳細資訊,請參閱設定 Azure IoT 中樞 或設定 Azure IoT Central。
如果您使用後端服務,請參閱服務所提供的檔。 如需詳細資訊,請參閱使用裝置布建服務設定 Azure IoT 中樞 或設定 Azure Sphere 的 Azure IoT 中樞。
租使用者 CA 憑證更新的時程表
當租使用者 CA 憑證即將到期時,Azure Sphere 安全性服務會自動起始更新程式。
下圖顯示憑證更新的階段:
| 圖說文字 | 階段 |
|---|---|
| 1 | 目前的租使用者 CA 憑證 (憑證 A) 有效期為 2 年,並標示為 作用中。 |
| 2 | 更新程式大約會在憑證 A 到期前 90 天開始。 新的租使用者 CA 憑證 (憑證 B) 會建立並標示為 非使用中。 此時,憑證 B 可供下載,但憑證 A 會維持為作用中憑證約 45 天。 您必須在 45 天期間內採取動作,讓您的裝置繼續正確向雲端服務進行驗證。 |
| 3 | 憑證 B 會在發行后大約 45 天變成使用中的憑證。 在這個階段,憑證 A 會標示為非使用中,而憑證 B 會變成作用中憑證。 憑證 B 將用來辨識和驗證您的裝置。 請確定您的雲端服務已使用憑證 A 和憑證 B 來設定,以進行正確的作業。 |
| 4 | 憑證 A 已過期。 您現在可以從雲端服務中移除憑證 A。 |
| 5 | 憑證 B 的有效期限為 2 年。 |
提示
影像中的日期僅供說明使用,且會因客戶而異。
您可能需要變換憑證才能處理憑證到期。 如需輪流憑證的詳細資訊,請參閱 Azure IoT 受控服務,或參閱您慣用後端服務所提供的檔。