مشاركة عبر

مصادقة الهويات باستخدام شهادات X.509

  • مقالة

يستخدم IoT Hub شهادات X.509 لمصادقة الأجهزة. تسمح مصادقة X.509 بمصادقة جهاز IoT كجزء من إنشاء اتصال قياسي لأمان طبقة النقل (TLS).

شهادة المرجع المصدق X.509 (CA) هي شهادة رقمية يمكنها توقيع شهادات أخرى. تعتبر الشهادة الرقمية شهادة X.509 إذا كانت تتوافق مع معيار تنسيق الشهادة الذي يحدده معيار RFC 5280 ل IETF.

تتيح ميزة X.509 CA مصادقة الجهاز على مركز إنترنت الأشياء باستخدام مرجع مصدق (CA). إنه يبسط عملية تسجيل الجهاز الأولية والخدمات اللوجستية لسلسلة التوريد أثناء تصنيع الأجهزة.

المصادقة والتخويل

المصادقة هي عملية إثبات أنك كما تقول. تتحقق المصادقة من هوية مستخدم أو جهاز إلى IoT Hub. في بعض الأحيان، يشار إليها اختصارًا بـ AuthN.

التخويل هو عملية تأكيد الأذونات لمستخدم أو جهاز مصادق عليه على IoT Hub. وهو يحدد الموارد والأوامر المسموح لك بالوصول إليها، وما يمكنك فعله بهذه الموارد والأوامر. في بعض الأحيان، يشار إليه اختصارًا بـ AuthZ.

يتم استخدام شهادات X.509 فقط للمصادقة في IoT Hub، وليس التخويل. على عكس معرف Microsoft Entra وتوقيعات الوصول المشتركة، لا يمكنك تخصيص الأذونات باستخدام شهادات X.509.

أنواع مصادقة الشهادة

يمكنك استخدام أي شهادة X.509 لمصادقة جهاز باستخدام IoT Hub عن طريق تحميل بصمة إبهام الشهادة أو مرجع مصدق (CA) إلى IoT Hub.

  • X.509 CA موقع - يوصى بهذا الخيار لسيناريوهات الإنتاج وهو محور هذه المقالة.

    إذا كان جهازك يحتوي على شهادة X.509 موقعة من قبل المرجع المصدق، فإنك تقوم بتحميل شهادة المرجع المصدق الجذر أو المتوسطة في سلسلة التوقيع إلى IoT Hub قبل تسجيل الجهاز. يحتوي الجهاز على شهادة X.509 مع المرجع المصدق X.509 الذي تم التحقق منه في سلسلة الشهادات الخاصة به. عند اتصال الجهاز، فإنه يقدم سلسلة الشهادات الكاملة الخاصة به ويمكن لمركز IoT التحقق من صحته لأنه يعرف المرجع المصدق X.509. يمكن مصادقة أجهزة متعددة مقابل نفس X.509 CA الذي تم التحقق منه.

  • X.509 موقع ذاتيا

    إذا كان جهازك يحتوي على شهادة X.509 موقعة ذاتيا، فأنت تمنح IoT Hub إصدارا من الشهادة للمصادقة. عند تسجيل جهاز، يمكنك تحميل بصمة إبهام الشهادة، وهي تجزئة لشهادة X.509 الخاصة بالجهاز. عندما يتصل الجهاز، فإنه يقدم شهادته ويمكن لمركز IoT التحقق من صحته مقابل التجزئة التي يعرفها.

هام

الوظيفة التالية للأجهزة التي تستخدم مصادقة المرجع المصدق X.509 (CA) غير متوفرة بشكل عام بعد، ويجب تمكين وضع المعاينة:

  • HTTPS وMQTT عبر WebSockets وAMQP عبر بروتوكولات WebSockets.
  • تحميلات الملف (كل البروتوكولات).

تتوفر هذه الميزات بشكل عام على الأجهزة التي تستخدم مصادقة X.509 thumbprint.

فرض مصادقة X.509

لمزيد من الأمان، يمكن تكوين مركز IoT لعدم السماح بمصادقة SAS للأجهزة والوحدات النمطية، تاركا X.509 كخيار المصادقة الوحيد المقبول. حاليًا، هذه الميزة غير متوفرة في مدخل Microsoft Azure. لتكوين خصائص مورد مركز IoT وتعيينها disableDeviceSAS وdisableModuleSAS إلى true:

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --set properties.disableDeviceSAS=true properties.disableModuleSAS=true

مزايا مصادقة شهادة المرجع المصدق X.509

يتطلب إنترنت الأشياء هوية فريدة لكل جهاز يتصل. بالنسبة للمصادقة المستندة إلى الشهادة، تكون هذه الهويات في شكل شهادات.

هناك طريقة صالحة ولكنها غير فعالة لتوفير شهادة فريدة على كل جهاز وهي إنشاء الشهادات مسبقا ومنح جميع شركاء سلسلة التوريد المفاتيح الخاصة المقابلة. تأتي هذه الطريقة مع تحديات يجب التغلب عليها لضمان الثقة، كما يلي:

  • إن الاضطرار إلى مشاركة المفاتيح الخاصة للجهاز مع شركاء سلسلة التوريد، بالإضافة إلى تجاهل أفضل ممارسات البنية الأساسية للمفاتيح العمومية لعدم مشاركة المفاتيح الخاصة مطلقاً، يجعل بناء الثقة في سلسلة التوريد مكلفاً. ويتطلب هذا أنظمة مثل الغرف الآمنة لإيواء المفاتيح الخاصة للجهاز، وعمليات مثل عمليات تدقيق الأمان الدورية. كلاهما يضيف تكلفة إلى سلسلة التوريد.

  • تصبح المحاسبة الآمنة للأجهزة في سلسلة التوريد، وإدارتها لاحقا في النشر من خلال إيقاف الجهاز، مهمة واحدة لواحد لكل زوج من المفاتيح إلى الجهاز. تمنع هذه العلاقة إدارة المجموعة للأجهزة ما لم يتم تضمين مفهوم المجموعات بشكل صريح في العملية بطريقة ما. وبالتالي، تصبح المحاسبة الآمنة وإدارة دورة حياة الجهاز عبئاً ثقيلاً للعمليات.

توفر مصادقة شهادة X.509 CA حلولاً أنيقة لهذه التحديات من خلال استخدام سلاسل الشهادات. تنتج سلسلة الشهادات من توقيع المرجع المصدق على مرجع مصدق وسيط يقوم بدوره بالتوقيع على مرجع مصدق وسيط آخر، وهكذا، حتى يوقع المرجع المصدق الوسيط النهائي على الجهاز. تنشئ سلاسل الشهادات علاقة واحد لأكثر بين شهادة CA وأجهزة انتقال البيانات من الخادم الخاصة بها. تتيح لك هذه العلاقة تسجيل أي عدد من الأجهزة في IoT Hub عن طريق تسجيل شهادة المرجع المصدق X.509 مرة واحدة.

تعمل مصادقة المرجع المصدق X.509 أيضا على تبسيط الخدمات اللوجستية لسلسلة التوريد. يتضمن التدفق النموذجي لتصنيع الجهاز عدة خطوات وأوصياء. باستخدام المراجع المصدقة، يمكنك توقيع كل أمين في سلسلة تشفير من الثقة بدلا من تكليفهم بمفاتيح خاصة بالجهاز. يقوم كل وصي بالتوقيع على الأجهزة في الخطوة الخاصة به في تدفق التصنيع. والنتيجة الإجمالية هي سلسلة توريد مثالية ذات مساءلة مضمنة من خلال استخدام سلسلة الثقة المشفرة.

هذه العملية توفر أكبر قدر من الأمان عندما تحمي الأجهزة مفاتيحها الخاصة الفريدة. لهذه الغاية، نوصي باستخدام الوحدات النمطية الآمنة للأجهزة (HSM) القادرة على إنشاء مفاتيح خاصة داخليا.

تسهّل خدمة توفير جهاز (DPS) مركز إنترنت الأشياء من Azure توفير مجموعات من الأجهزة إلى المراكز. لمزيد من المعلومات، راجع البرنامج التعليمي: تكوين إعدادات تشغيل أجهزة X.509 متعددة باستخدام مجموعات التسجيل.

تدفق شهادة X.509

يصف هذا القسم كيفية استخدام شهادات المرجع المصدق X.509 لمصادقة الأجهزة المتصلة ب IoT Hub، والذي يتضمن الخطوات التالية:

  • احصل على شهادة المرجع المصدق X.509.
  • توقيع الأجهزة باستخدام شهادات المرجع المصدق X.509.
  • تسجيل شهادة المرجع المصدق X.509 إلى IoT Hub.
  • مصادقة الأجهزة الموقعة باستخدام X.509 CAs.
  • إبطال شهادة جهاز إذا تم اختراقها.

الحصول على شهادة X.509 CA

شهادة المرجع المصدق X.509 هي أعلى سلسلة الشهادات لكل جهاز من أجهزتك. يمكنك شراء واحدة أو إنشائها استنادا إلى كيفية استخدامها.

بالنسبة لبيئات الإنتاج، نوصي بشراء شهادة المرجع المصدق X.509 من موفر خدمات شهادات احترافي.

يمكنك أيضا إنشاء شهادة X.509 CA موقعة ذاتيا لأغراض الاختبار. لمزيد من المعلومات حول إنشاء شهادات للاختبار، راجع إنشاء الشهادات وتحميلها للاختبار. لا نوصي بالشهادات الموقعة ذاتيا لبيئات الإنتاج.

بغض النظر عن كيفية الحصول على شهادة المرجع المصدق X.509، تأكد من الاحتفاظ بسر المفتاح الخاص المقابل الخاص به وحمايته دائما.

شراء شهادة

يتمتع شراء شهادة CA بميزة وجود مرجع مصدق جذر معروف جيداً كطرف ثالث موثوق به لضمان شرعية أجهزة إنترنت الأشياء عند اتصال الأجهزة. حدد هذا الخيار إذا كانت أجهزتك جزءا من شبكة IoT مفتوحة حيث تتفاعل مع منتجات أو خدمات تابعة لجهة خارجية.

لشراء شهادة المرجع المصدق X.509، اختر موفر خدمة شهادة الجذر. يرشدك موفر المرجع المصدق الجذر إلى كيفية إنشاء زوج مفاتيح عام/خاص وكيفية إنشاء طلب توقيع شهادة (CSR) لخدماته. CSR هي العملية الرسمية للتقدم للحصول على شهادة من هيئة إصدار الشهادات. نتيجة هذا الشراء هي شهادة للاستخدام كشهادة تفويض. نظراً لوجود شهادات X.509 في كل مكان، فمن المحتمل أن تكون الشهادة قد تم تنسيقها بشكل صحيح وفقاً لمعيار IETF RFC 5280.

إنشاء شهادة موقَّعة ذاتيًا

تشبه عملية إنشاء شهادة X.509 CA موقعة ذاتيًا عملية شراء واحدة، باستثناء أنها لا تتضمن موقّعًا تابعًا لجهة خارجية مثل مرجع الشهادة الجذر.

قد تختار هذا الخيار للاختبار حتى تكون جاهزًا لشراء شهادة تفويض. يمكنك أيضا استخدام شهادة المرجع المصدق X.509 الموقعة ذاتيا في الإنتاج إذا لم تتصل أجهزتك بأي خدمات تابعة لجهة خارجية خارج IoT Hub.

تسجيل الأجهزة في سلسلة شهادات الثقة

يمكن لمالك شهادة المرجع المصدق X.509 التوقيع بشكل مشفر على مرجع مصدق متوسط يمكنه بدوره توقيع مرجع مصدق وسيط آخر، وهكذا، حتى يوقع المرجع المصدق الوسيط الأخير شهادة جهاز. والنتيجة هي سلسلة متتالية من الشهادات تُعرف باسم سلسلة شهادات الثقة. هذا التفويض للثقة مهم لأنه ينشئ سلسلة من الاحتجاز ويتجنب تقاسم مفاتيح التوقيع.

تمثل سلسلة الشهادات هذه في السلسلة التسليم المنطقي للمرجع. تتبع العديد من سلاسل التوريد هذه التسليمة المنطقية حيث يتم تسجيل كل مرجع مصدق وسيط في السلسلة أثناء تلقي جميع شهادات المرجع المصدق المصدر. أخيرا يقوم المرجع المصدق الوسيط الأخير بتوقيع كل جهاز وحقن جميع شهادات المرجع من السلسلة في الجهاز.

رسم تخطيطي يوضح الشهادات في سلسلة من الثقة.

يجب أن يكون لشهادة الجهاز (تسمى أيضا شهادة طرفية) اسمها الشائع (CN) معينا على معرف الجهاز (CN=deviceId) المستخدم عند تسجيل جهاز IoT في Azure IoT Hub. هذا الإعداد مطلوب للمصادقة.

بالنسبة للوحدات النمطية التي تستخدم مصادقة X.509، يجب أن يكون اسم شهادة الوحدة النمطية (CN) منسقا مثل CN=deviceId/moduleId.

تعرّف على كيفية إنشاء سلسلة شهادات كما يحدث عند توقيع الأجهزة.

تسجيل شهادة X.509 CA في مركز إنترنت الأشياء

سجل شهادة المرجع المصدق X.509 إلى IoT Hub، الذي يستخدمها لمصادقة أجهزتك. يمكن لشهادة المرجع المصدق X.509 مصادقة أي جهاز يحتوي على المرجع المصدق في سلسلة الشهادات الخاصة به. يعد تسجيل شهادة X.509 CA عملية من خطوتين تشمل تحميل ملف الشهادة ثم إنشاء إثبات الحيازة.

تستلزم عملية التحميل تحميل ملف يحتوي على شهادتك. يجب ألا يحتوي هذا الملف على أي مفاتيح خاصة.

تتضمن خطوة إثبات الحيازة تحديا تشفيريا وعملية استجابة بينك وبين IoT Hub للتحقق من أنك تملك حقا شهادة المرجع المصدق. يمكنك اختيار التحقق من الملكية تلقائيا أو يدويا. للتحقق اليدوي، ينشئ IoT Hub تحديا عشوائيا تقوم بتسجيله باستخدام المفتاح الخاص لشهادة المرجع المصدق. إذا احتفظت بسر المفتاح الخاص وحمايته كما هو موصى به، فأنت الوحيد الذي يمتلك المعرفة لإكمال هذه الخطوة. سرية المفاتيح الخاصة هي مصدر الثقة في هذه الطريقة. بعد توقيع التحدي، يمكنك تحميل ملف يحتوي على النتائج لإكمال التحقق.

تعرف على كيفية تسجيل شهادة المرجع المصدق.

مصادقة الأجهزة الموقّعة بشهادات X.509 CA

مع شهادة المرجع المصدق X.509 المسجلة والأجهزة الموقعة مع سلسلة شهادات الثقة، فإن الخطوة الأخيرة هي مصادقة الجهاز. عندما يتصل جهاز موقَّع من قِبل X.509 CA، فإنه يقوم بتحميل سلسلة الشهادات الخاصة به للتحقق من صحتها. باستخدام هذه المعلومات، يصادق IoT Hub الجهاز في عملية من خطوتين.

أولا، يتحقق IoT Hub بشكل مشفر من صحة سلسلة الشهادات للاتساق الداخلي. ثم، يصدر IoT Hub تحدي إثبات الحيازة للجهاز. يعلن IoT Hub أن الجهاز أصلي بناءً على استجابة ناجحة لإثبات الحيازة من الجهاز. يفترض هذا الإعلان أن المفتاح الخاص للجهاز محمي وأن الجهاز وحده يمكنه الاستجابة بنجاح لهذا التحدي. نوصي باستخدام شرائح آمنة مثل وحدات تأمين الأجهزة (HSM) في الأجهزة لحماية المفاتيح الخاصة.

يكمل اتصال الجهاز الناجح بـ IoT Hub عملية المصادقة ويشير أيضاً إلى الإعداد الصحيح. في كل مرة يتصل فيها أحد الأجهزة، يعيد IoT Hub التفاوض على جلسة TLS ويتحقق من شهادة X.509 للجهاز.

إبطال شهادة جهاز

لا يتحقق IoT Hub من قوائم إبطال الشهادات من المرجع المصدق عند مصادقة الأجهزة ذات المصادقة المستندة إلى الشهادة. إذا كان لديك جهاز يحتاج إلى حظر الاتصال ب IoT Hub بسبب شهادة يحتمل اختراقها، ف قم بتعطيل الجهاز في سجل الهوية. لمزيد من المعلومات، راجع تعطيل جهاز أو حذفه.

سيناريو مثال

تعمل شركة Company-X على إنشاء عناصر واجهة المستخدم Smart-X-Widgets المصممة للتثبيت الاحترافي. شركة- X تستعين بمصادر خارجية للتصنيع والتركيب. يقوم Factory-Y بتصنيع Smart-X-Widgets ويقوم Technician-Z بتثبيتها. تريد Company-X شحن Smart-X-Widget مباشرة من Factory-Y إلى Technician-Z للتثبيت ثم للاتصال مباشرة بمثيل Company-X من مركز إنترنت الأشياء. لتحقيق ذلك، تحتاج Company-X إلى إكمال بعض عمليات الإعداد لمرة واحدة لإعداد Smart-X-Widget للاتصال التلقائي. يتضمن هذا السيناريو الشامل الخطوات التالية:

  1. الحصول على شهادة المرجع المصدق X.509

  2. تسجيل شهادة X.509 CA في مركز إنترنت الأشياء

  3. قم بتسجيل الأجهزة في سلسلة شهادات الثقة

  4. توصيل الأجهزة

يتم توضيح هذه الخطوات في البرنامج التعليمي: إنشاء الشهادات وتحميلها للاختبار.

الحصول على الشهادة

يمكن لشركة Company-X شراء شهادة X.509 CA من مرجع عام لشهادة الجذر أو إنشاء واحدة من خلال عملية موقعة ذاتيًا. يستلزم أي من الخيارين على خطوتين أساسيتين، إنشاء زوج مفاتيح عام/خاص وتوقيع المفتاح العام في شهادة.

تختلف التفاصيل حول كيفية تنفيذ هذه الخطوات باختلاف مقدمي الخدمة.

رسم تخطيطي يوضح تدفق إنشاء شهادة المرجع المصدق X.509.

تسجيل الشهادة في مركز إنترنت الأشياء

تحتاج Company-X إلى تسجيل المرجع المصدق X.509 في مركز IoT حيث تعمل على مصادقة Smart-X-Widgets أثناء اتصالها. هذه عملية لمرة واحدة تتيح القدرة على مصادقة وإدارة أي عدد من أجهزة Smart-X-Widget. تعد علاقة واحد لأكثر بين شهادة المرجع المصدق وشهادات الجهاز واحدة من المزايا الرئيسية لاستخدام أسلوب مصادقة المرجع المصدق X.509. سيكون البديل هو تحميل بصمات إبهام شهادة فردية لكل جهاز Smart-X-Widget وبالتالي زيادة تكاليف التشغيل.

يعد تسجيل شهادة X.509 CA عملية من خطوتين: تحميل الشهادة ثم توفير إثبات الحيازة.

رسم تخطيطي يوضح تدفق العملية لتسجيل شهادة المرجع المصدق X.509.

حمّل الشهادة

عملية تحميل شهادة X.509 CA هي مجرد: تحميل شهادة CA إلى مركز إنترنت الأشياء. يتوقع IoT Hub الشهادة في ملف.

يجب ألا يحتوي ملف الشهادة تحت أي ظرف من الظروف على أي مفاتيح خاصة. تنص أفضل الممارسات من المعايير التي تحكم البنية الأساسية للمفتاح العام (PKI) على أن المعرفة الخاصة بالمفتاح الخاص لشركة X موجودة حصرياً داخل الشركة X.

إثبات الحيازة

شهادة X.509 CA، مثلها مثل أي شهادة رقمية، هي معلومات عامة عرضة للتنصت. على هذا النحو، يمكن للتنصت اعتراض شهادة ومحاولة تحميلها كشهادة خاصة بهم. في مثالنا، يتعين على مركز إنترنت الأشياء التأكد من أن شهادة CA التي يتم تحميلها من Company-X تنتمي حقًا إلى Company-X. تقوم بذلك عن طريق تحدي الشركة X لإثبات أنها تمتلك الشهادة من خلال تدفق إثبات الحيازة (PoP).

بالنسبة لتدفق إثبات الحيازة، يقوم IoT Hub بإنشاء رقم عشوائي ل Company-X للتوقيع باستخدام مفتاحه الخاص. إذا اتبعت الشركة X أفضل ممارسات البنية الأساسية للمفتاح العام وحمت مفتاحها الخاص، فعندئذٍ ستكون فقط قادرة على الاستجابة بشكل صحيح لتحدي إثبات الحيازة. يواصل IoT Hub تسجيل شهادة X.509 CA عند الاستجابة الناجحة لتحدي إثبات الحيازة.

الرد الناجح على تحدي إثبات الحيازة من IoT Hub يكمل تسجيل X.509 CA.

قم بتسجيل الأجهزة في سلسلة شهادات الثقة

في مثالنا، تعني المصادقة المستندة إلى الشهادة أن كل Smart-X-Widget يجب أن يمتلك شهادة جهاز فريدة. بدلا من إنشاء أزواج شهادات/مفاتيح فردية لكل جهاز، تقرر Company-X استخدام شهادات المرجع المصدق وإنشاء سلسلة شهادات من الثقة لكل جهاز.

في مثالنا، توقع الشركة X Factory-Y، والتي بدورها توقع Technician-Z الذي يوقع أخيراً Smart-X-Widget.

رسم تخطيطي يوضح مثالا للتسلسل الهرمي لسلسلة الشهادات.

يوضح الرسم التخطيطي التالي كيف تأتي سلسلة شهادات الثقة معًا في مثال Smart-X-Widget لدينا.

رسم تخطيطي يوضح سلسلة شهادات الثقة من شهادات شركة إلى شهادات شركة أخرى.

  1. لا تتفاعل شركة Company-X فعليًا أبدًا مع أي من Smart-X-Widgets. تبدأ سلسلة الشهادات للثقة عن طريق توقيع شهادة المرجع المصدق المتوسطة لـ Factory-Y.
  2. يحتوي Factory-Y الآن على شهادة CA وسيطة خاصة به مع توقيع من Company-X. يقوم بتمرير نسخ من هذه العناصر إلى كل جهاز. كما يستخدم شهادة CA الوسيطة الخاصة به لتوقيع شهادة المرجع المصدق المتوسطة الخاصة ب الفني-Z وشهادات جهاز Smart-X-Widget.
  3. لدى الفني Z الآن شهادة CA وسيطة خاصة به مع توقيع من Factory-Y. يقوم بتمرير نسخ من هذه العناصر إلى كل جهاز. كما يستخدم شهادة CA الوسيطة الخاصة به لتوقيع شهادات جهاز Smart-X-Widget.
  4. يحتوي كل جهاز Smart-X-Widget الآن على شهادة الجهاز الفريدة الخاصة به ونُسخ من المفاتيح والتوقيعات العامة من كل شهادة CA وسيطة تفاعل معها في جميع أنحاء سلسلة التوريد. يمكن تتبع هذه الشهادات والتوقيعات مرة أخرى إلى جذر Company-X الأصلي.

تضفي طريقة المصادقة CA مسؤولية آمنة في سلسلة توريد تصنيع الجهاز. بسبب عملية سلسلة الشهادات، يتم تسجيل تصرفات كل عضو في السلسلة بشكل مشفر والتحقق منها.

تعتمد هذه العملية على افتراض أن زوج المفاتيح العامة/الخاصة للجهاز الفريد يتم إنشاؤه بشكل مستقل وأن المفتاح الخاص محمي داخل الجهاز دائمًا. لحسن الحظ، توجد رقائق سليكون آمنة في شكل وحدات تأمين الأجهزة (HSM) القادرة على إنشاء مفاتيح داخليًا وحماية المفاتيح الخاصة. تحتاج شركة X فقط إلى إضافة واحدة من هذه الرقائق الآمنة إلى فاتورة مواد مكونات Smart-X-Widget.

مصادقة الأجهزة

الأجهزة المصنعة لمصادقة X.509 CA مزوّدة بشهادات فريدة للجهاز وسلسلة شهادات من سلسلة التوريد التصنيعية الخاصة بها. يحدث اتصال الجهاز، حتى لأول مرة، في عملية من خطوتين: تحميل سلسلة الشهادات وإثبات الحيازة.

في مثالنا، تقوم كل Smart-X-Widget بتحميل شهادة الجهاز الفريدة الخاصة بها جنبا إلى جنب مع شهادات المرجع المصدق Factory-Y وInvent-Z X.509 ثم تستجيب لتحدي إثبات الحيازة من IoT Hub.

باستخدام شهادة المرجع المصدق X.509 المسجلة مسبقا من Company-X، يتحقق IoT Hub من أن سلسلة الشهادات التي تم تحميلها متسقة داخليا وأن المالك الصالح لشهادة المرجع المصدق X.509 أنشأ السلسلة. كما هو الحال مع عملية تسجيل X.509 CA، يستخدم مركز إنترنت الأشياء عملية الاستجابة لتحدي إثبات الملكية للتأكد من أن السلسلة ومن ثم شهادة الجهاز تنتمي بالفعل إلى الجهاز الذي يقوم بتحميلها. تؤدي الاستجابة الناجحة إلى تشغيل IoT Hub لقبول الجهاز على أنه أصلي ومنحه الاتصال.

رسم تخطيطي يوضح تدفق التحقق من صحة شهادة الجهاز.

أساس الثقة يكمن في حماية المفاتيح الخاصة بما في ذلك المفاتيح الخاصة للجهاز. لذلك لا يمكننا التأكيد بما فيه الكفاية على أهمية رقائق السيليكون الآمنة في شكل وحدات الأجهزة الآمنة (HSM) لحماية المفاتيح الخاصة بالجهاز، وأفضل ممارسة عامة بعدم مشاركة المفاتيح الخاصة أبدا من أي شهادة في السلسلة.

الخطوات التالية

استخدم خدمة توفير الأجهزة لتوفير أجهزة X.509 متعددة باستخدام مجموعات التسجيل.

لمعرفة المزيد حول الحقول التي تشكل شهادة X.509، راجع شهادات X.509.

إذا كان لديك شهادة المرجع المصدق الجذر أو شهادة المرجع المصدق التابع وتريد تحميلها إلى مركز IoT الخاص بك، يجب التحقق من أنك تملك تلك الشهادة. لمزيد من المعلومات، راجع البرنامج التعليمي: إنشاء الشهادات وتحميلها للاختبار.