Identitások hitelesítése X.509-tanúsítványokkal
Az IoT Hub X.509-tanúsítványokat használ az eszközök hitelesítéséhez. Az X.509-hitelesítés lehetővé teszi egy IoT-eszköz hitelesítését a Transport Layer Security (TLS) standard kapcsolati létesítmény részeként.
Az X.509 hitelesítésszolgáltatói (CA)-tanúsítvány olyan digitális tanúsítvány, amely más tanúsítványokat is aláírhat. A digitális tanúsítvány X.509-tanúsítványnak minősül, ha megfelel az IETF RFC 5280 szabványában előírt tanúsítványformázási szabványnak.
Az X.509 hitelesítésszolgáltatói funkció lehetővé teszi az eszközhitelesítést az IoT Hubon hitelesítésszolgáltató (CA) használatával. Leegyszerűsíti a kezdeti eszközregisztrációs folyamatot és az ellátási lánc logisztikát az eszközgyártás során.
Hitelesítés és engedélyezés
A hitelesítés annak bizonyítása, hogy Ön az, akinek mondja magát. A hitelesítés ellenőrzi egy felhasználó vagy eszköz identitását az IoT Hubon. Néha rövidítve van AuthN-ra.
Az engedélyezés egy hitelesített felhasználó vagy eszköz engedélyeinek megerősítésének folyamata az IoT Hubon. Meghatározza, hogy milyen erőforrásokhoz és parancsokhoz férhet hozzá, és mit tehet ezekkel az erőforrásokkal és parancsokkal. Az engedélyezés néha rövidítve van az AuthZ-hez.
Az X.509-tanúsítványokat csak az IoT Hubon történő hitelesítéshez használják, hitelesítéshez nem. A Microsoft Entra-azonosítótól és a közös hozzáférésű jogosultságkódoktól eltérően nem szabhatja testre az engedélyeket X.509-tanúsítványokkal.
A tanúsítványhitelesítés típusai
Bármely X.509-tanúsítványsal hitelesíthet egy eszközt az IoT Hubbal, ha feltölt egy tanúsítvány-ujjlenyomatot vagy egy hitelesítésszolgáltatót (CA) az IoT Hubba.
X.509 hitelesítésszolgáltató aláírta - : Ez a beállítás éles forgatókönyvekhez ajánlott, és a cikk középpontjában áll.
Ha az eszköz hitelesítésszolgáltató által aláírt X.509-tanúsítvánnyal rendelkezik, akkor az eszköz regisztrálása előtt feltölt egy legfelső szintű vagy köztes hitelesítésszolgáltatói tanúsítványt az aláírási láncba. Az eszköz rendelkezik egy X.509-tanúsítvánnyal, amely az ellenőrzött X.509 hitelesítésszolgáltatóval rendelkezik a megbízhatósági tanúsítványláncában. Amikor az eszköz csatlakozik, bemutatja a teljes tanúsítványláncát, és az IoT Hub érvényesítheti azt, mert ismeri az X.509 hitelesítésszolgáltatót. Több eszköz is hitelesíthető ugyanahhoz az ellenőrzött X.509 CA-hez.
X.509 önaláírt
Ha az eszköz rendelkezik önaláírt X.509-tanúsítvánnyal, akkor az IoT Hubnak meg kell adnia a tanúsítvány egy verzióját a hitelesítéshez. Amikor regisztrál egy eszközt, feltölt egy tanúsítvány ujjlenyomatát, amely az eszköz X.509-tanúsítványának kivonata. Amikor az eszköz csatlakozik, bemutatja a tanúsítványát, és az IoT Hub érvényesítheti azt az általa ismert kivonaton.
Fontos
Az X.509 hitelesítésszolgáltatói (CA) hitelesítést használó eszközökhöz még nem érhető el általánosan a következő funkció, és engedélyezni kell az előnézeti módot:
- HTTPS, MQTT over WebSockets, és AMQP over WebSockets protokollok.
- Fájlfeltöltések (minden protokoll).
Ezek a funkciók általánosan elérhetők az X.509 ujjlenyomat-hitelesítést használó eszközökön.
X.509-hitelesítés kényszerítése
A fokozott biztonság érdekében az IoT Hub úgy konfigurálható, hogy ne engedélyezze az SAS-hitelesítést az eszközökhöz és modulokhoz, így az X.509 marad az egyetlen elfogadott hitelesítési lehetőség. Ez a funkció jelenleg nem érhető el az Azure Portalon. Az IoT Hub-erőforrás tulajdonságainak konfigurálása, beállítása disableDeviceSAS
és disableModuleSAS
beállítása true
:
az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --set properties.disableDeviceSAS=true properties.disableModuleSAS=true
Az X.509 hitelesítésszolgáltatói tanúsítványhitelesítés előnyei
Az IoT minden csatlakoztatott eszközhöz egyedi identitást igényel. A tanúsítványalapú hitelesítéshez ezek az identitások tanúsítványok formájában vannak.
Az egyedi tanúsítványok minden eszközön való megadásának érvényes, de nem hatékony módja a tanúsítványok előgenerálása és az ellátási lánc minden partnerének a megfelelő titkos kulcsok átadása. Ez a módszer olyan kihívásokkal jár, amelyeket meg kell oldani a bizalom biztosítása érdekében, az alábbiak szerint:
Ha meg kell osztania az eszköz titkos kulcsait az ellátási lánc partnereivel, amellett, hogy figyelmen kívül hagyja a PKI ajánlott eljárásait, hogy soha ne ossza meg a titkos kulcsokat, költségessé teszi az ellátási láncba vetett bizalom kiépítését. Ehhez olyan rendszerekre van szükség, mint a biztonságos szobák az eszköz titkos kulcsainak és az olyan folyamatoknak, mint a rendszeres biztonsági auditok. Mindkettő hozzáadja a költségeket az ellátási lánchoz.
Az ellátási láncban lévő eszközök biztonságos könyvelése, majd az üzembe helyezéskor az eszközök kivonása révén történő kezelése minden kulcs–eszköz pár egy-az-egyhez feladatává válik. Ez a kapcsolat nem zárja ki az eszközök csoportkezelését, kivéve, ha a csoportok fogalma valamilyen módon kifejezetten be van építve a folyamatba. A biztonságos könyvelés és az eszközök életciklusának kezelése ezért komoly üzemeltetési terhet jelent.
Az X.509 hitelesítésszolgáltatói tanúsítványhitelesítés elegáns megoldásokat kínál ezekre a kihívásokra tanúsítványláncok használatával. A tanúsítványlánc egy olyan köztes hitelesítésszolgáltató aláírásából ered, amely egy másik köztes hitelesítésszolgáltatót ír alá, és így tovább, amíg egy végső köztes hitelesítésszolgáltató nem ír alá egy eszközt. A tanúsítványláncok egy-a-többhöz kapcsolatot hoznak létre egy hitelesítésszolgáltatói tanúsítvány és annak alsóbb rétegbeli eszközei között. Ezzel a kapcsolattal tetszőleges számú eszközt regisztrálhat az IoT Hubra egy X.509-es hitelesítésszolgáltatói tanúsítvány egyszeri regisztrálásával.
Az X.509 CA-hitelesítés az ellátási lánc logisztikáit is leegyszerűsíti. Egy tipikus eszközgyártási folyamat több lépésből és gondnokból áll. A hitelesítésszolgáltatók használatával az egyes letétkezelőket egy titkosítási bizalmi láncba írhatja alá ahelyett, hogy az eszköz titkos kulcsaival bízza meg őket. Minden gondnok a gyártási folyamat megfelelő lépésében aláírja az eszközöket. Az összesített eredmény egy optimális ellátási lánc, amely beépített elszámoltathatósággal rendelkezik a titkosítási bizalmi lánc használatával.
Ez a folyamat a legnagyobb biztonságot nyújtja, ha az eszközök védik egyedi titkos kulcsaikat. Ennek érdekében javasoljuk a hardveres biztonságos modulok (HSM) használatát, amelyek képesek belsőleg generálni a titkos kulcsokat.
Az Azure IoT Hub Device Provisioning Service (DPS) segítségével egyszerűen kiépíthet eszközcsoportokat a központokba. További információ : Oktatóanyag: Több X.509-eszköz üzembe helyezése regisztrációs csoportok használatával.
X.509-tanúsítványfolyamat
Ez a szakasz azt ismerteti, hogyan használhat X.509 hitelesítésszolgáltatói tanúsítványokat az IoT Hubhoz csatlakozó eszközök hitelesítésére, amely a következő lépéseket tartalmazza:
- X.509 hitelesítésszolgáltatói tanúsítvány lekérése.
- Eszközök aláírása X.509 hitelesítésszolgáltatói tanúsítványokkal.
- Regisztrálja az X.509 hitelesítésszolgáltatói tanúsítványt az IoT Hubon.
- Az X.509 hitelesítésszolgáltatóval aláírt eszközök hitelesítése.
- Az eszköztanúsítvány visszavonása, ha az sérült.
X.509 hitelesítésszolgáltatói tanúsítvány lekérése
Az X.509 hitelesítésszolgáltatói tanúsítvány az egyes eszközök tanúsítványláncának tetején található. A használat módjától függően vásárolhat vagy hozhat létre egyet.
Éles környezetekben javasoljuk, hogy vásároljon egy X.509-es hitelesítésszolgáltatói tanúsítványt egy professzionális tanúsítványszolgáltatótól.
Tesztelési célból önaláírt X.509 CA-tanúsítványt is létrehozhat. További információ a tanúsítványok teszteléshez való létrehozásáról: Tanúsítványok létrehozása és feltöltése teszteléshez. Éles környezetekhez nem javasoljuk az önaláírt tanúsítványokat.
Az X.509 hitelesítésszolgáltatói tanúsítvány beszerzésétől függetlenül ügyeljen arra, hogy a megfelelő titkos kulcs titkos maradjon, és mindig védve legyen.
Tanúsítvány vásárlása
A hitelesítésszolgáltatói tanúsítvány megvásárlásának előnye, hogy egy jól ismert legfelső szintű hitelesítésszolgáltató megbízható harmadik félként működik, hogy az eszközök csatlakozásakor az IoT-eszközök legitimitását érvényesíteni tudja. Akkor válassza ezt a lehetőséget, ha az eszközei egy nyílt IoT-hálózat részei, ahol külső termékekkel vagy szolgáltatásokkal kommunikálnak.
X.509 hitelesítésszolgáltatói tanúsítvány vásárlásához válasszon egy főtanúsítvány-szolgáltatót. A legfelső szintű hitelesítésszolgáltató bemutatja, hogyan hozhatja létre a nyilvános/titkos kulcspárt, és hogyan hozhat létre tanúsítvány-aláírási kérést (CSR) a szolgáltatásaikhoz. A CSR a hitelesítésszolgáltatótól származó tanúsítvány igénylésének hivatalos folyamata. A vásárlás eredménye egy hitelesítésszolgáltatói tanúsítványként használható tanúsítvány. Az X.509-tanúsítványok elterjedtsége miatt a tanúsítvány valószínűleg megfelelően lett formázva az IETF RFC 5280 szabványához.
Önaláírt tanúsítvány létrehozása
Az önaláírt X.509 hitelesítésszolgáltatói tanúsítvány létrehozásának folyamata hasonló a vásárláshoz, azzal a kivétellel, hogy nem jár olyan külső aláíróval, mint a főtanúsítvány-szolgáltató.
Ezt a lehetőséget választhatja a teszteléshez, amíg nem áll készen egy hatósági tanúsítvány megvásárlására. Önaláírt X.509 hitelesítésszolgáltatói tanúsítványt is használhat éles környezetben, ha az eszközei nem csatlakoznak az IoT Hubon kívüli külső szolgáltatásokhoz.
Eszközök aláírása a megbízhatósági tanúsítványláncba
Az X.509 hitelesítésszolgáltatói tanúsítvány tulajdonosa képes kriptográfiailag aláírni egy köztes hitelesítésszolgáltatót, amely egy másik köztes hitelesítésszolgáltatót is aláírhat, és így tovább, amíg az utolsó köztes hitelesítésszolgáltató nem ír alá egy eszköztanúsítványt. Az eredmény a tanúsítványok kaszkádolt lánca, amelyet megbízhatósági tanúsítványláncnak neveznek. Ez a bizalmi delegálás azért fontos, mert felügyeleti láncot hoz létre, és elkerüli az aláírási kulcsok megosztását.
A láncban lévő tanúsítványok kaszkádolása a jogosultság logikai átadását jelenti. Számos ellátási lánc követi ezt a logikai átadást, amely során minden köztes hitelesítésszolgáltató bejelentkezik a láncba, miközben megkapja az összes felsőbb szintű hitelesítésszolgáltatói tanúsítványt. Az utolsó köztes hitelesítésszolgáltató végül aláírja az egyes eszközöket, és a lánc összes hatósági tanúsítványát az eszközbe injektálja.
Az eszköztanúsítványnak (más néven levéltanúsítványnak) az IoT-eszköz Azure IoT Hubban való regisztrálásakor használt eszközazonosítóra (CN) kell beállítania a közös nevét (CN=deviceId
CN). Ez a beállítás szükséges a hitelesítéshez.
Az X.509-hitelesítést használó modulok esetében a modul tanúsítványának a köznapi neve (CN) formátuma szerint CN=deviceId/moduleId
kell lennie.
Megtudhatja, hogyan hozhat létre tanúsítványláncot az eszközök aláírása során.
Az X.509 hitelesítésszolgáltatói tanúsítvány regisztrálása az IoT Hubon
Regisztrálja az X.509 hitelesítésszolgáltatói tanúsítványt az IoT Hubon, amely az eszközök hitelesítésére használja. Az X.509 hitelesítésszolgáltatói tanúsítvány minden olyan eszközt hitelesíthet, amely rendelkezik a hitelesítésszolgáltatóval a megbízhatósági láncában. Az X.509 hitelesítésszolgáltatói tanúsítvány regisztrálása egy kétlépéses folyamat, amely magában foglalja a tanúsítványfájl feltöltését, majd a birtoklás igazolását.
A feltöltési folyamat magában foglalja a tanúsítványt tartalmazó fájl feltöltését. Ennek a fájlnak soha nem szabad titkos kulcsokat tartalmaznia.
A birtoklás igazolása lépés magában foglal egy titkosítási kihívást és válaszfolyamatot Ön és az IoT Hub között annak ellenőrzéséhez, hogy valóban Ön rendelkezik-e a ca-tanúsítványsal. Dönthet úgy, hogy automatikusan vagy manuálisan ellenőrzi a tulajdonjogot. A manuális ellenőrzéshez az IoT Hub véletlenszerű kihívást hoz létre, amelyet a hitelesítésszolgáltatói tanúsítvány titkos kulcsával ír alá. Ha megtartotta a titkos kulcs titkos kulcsát, és az ajánlott módon védett, akkor csak Ön rendelkezik a lépés végrehajtásához megfelelő tudással. Ebben a módszerben a titkos kulcsok titkossága a bizalom forrása. A feladat aláírása után feltölt egy fájlt, amely az eredményeket tartalmazza az ellenőrzés befejezéséhez.
Megtudhatja, hogyan regisztrálhatja a hitelesítésszolgáltatói tanúsítványt.
X.509 hitelesítésszolgáltatói tanúsítvánnyal aláírt eszközök hitelesítése
Az X.509 hitelesítésszolgáltatói tanúsítvány regisztrálva és a megbízhatósági tanúsítványlánccal aláírt eszközökkel az utolsó lépés az eszközhitelesítés. Amikor egy X.509 hitelesítésszolgáltató által aláírt eszköz csatlakozik, feltölti a tanúsítványláncát az ellenőrzéshez. Ezekkel az információkkal az IoT Hub két lépésben hitelesíti az eszközt.
Először az IoT Hub kriptográfiailag ellenőrzi a tanúsítványláncot a belső konzisztencia érdekében. Ezután az IoT Hub a tulajdonjog igazolásával kapcsolatos kihívást állít ki az eszközön. Az IoT Hub hitelesnek nyilvánítja az eszközt az eszközről kapott sikeres birtoklási igazolási válaszon. Ez a deklaráció feltételezi, hogy az eszköz titkos kulcsa védett, és hogy csak az eszköz tud sikeresen válaszolni erre a kihívásra. Javasoljuk, hogy a titkos kulcsok védelme érdekében biztonságos chipeket, például hardveres biztonsági modulokat (HSM) használjon az eszközökön.
Az IoT Hubhoz való sikeres eszközkapcsolat befejezi a hitelesítési folyamatot, és a megfelelő beállításra is utal. Minden alkalommal, amikor egy eszköz csatlakozik, az IoT Hub újratárgyalja a TLS-munkamenetet, és ellenőrzi az eszköz X.509-tanúsítványát.
Eszköztanúsítvány visszavonása
Az IoT Hub nem ellenőrzi a tanúsítvány-visszavonási listákat a hitelesítésszolgáltatótól, amikor tanúsítványalapú hitelesítéssel rendelkező eszközöket hitelesít. Ha olyan eszköze van, amelyet egy potenciálisan feltört tanúsítvány miatt le kell tiltani az IoT Hubhoz való csatlakozástól, tiltsa le az eszközt az identitásjegyzékben. További információ: Eszköz letiltása vagy törlése.
Példaforgatókönyv
A Company-X olyan Smart-X-widgeteket készít, amelyek professzionális telepítésre vannak tervezve. A Company-X kiszervezi a gyártást és a telepítést is. A Factory-Y gyártja a Smart-X-Widgeteket, és a Technician-Z telepíti őket. A Company-X azt szeretné, hogy a Smart-X-widget közvetlenül a Factory-Y-ből a Technician-Z-be legyen szállítva telepítésre, majd hogy közvetlenül csatlakozzon az X vállalat IoT Hub-példányához. Ennek érdekében a Company-X-nek végre kell hajtania néhány egyszeri beállítási műveletet, hogy előkészítse a Smart-X-Widgetet az automatikus kapcsolathoz. Ez a végpontok közötti forgatókönyv a következő lépéseket tartalmazza:
Az X.509 hitelesítésszolgáltatói tanúsítvány lekérése
Az X.509 hitelesítésszolgáltatói tanúsítvány regisztrálása az IoT Hubon
Eszközök aláírása megbízhatósági tanúsítványláncba
Az eszközök csatlakoztatása
Ezeket a lépéseket a következő oktatóanyag mutatja be: Tanúsítványok létrehozása és feltöltése teszteléshez.
A tanúsítvány lekérése
Az X vállalat megvásárolhat egy X.509-es hitelesítésszolgáltatói tanúsítványt egy nyilvános főtanúsítvány-szolgáltatótól, vagy létrehozhat egyet egy önaláírt folyamaton keresztül. Mindkét lehetőség két alapvető lépéssel jár: egy nyilvános/titkos kulcspár létrehozása és a nyilvános kulcs tanúsítványba való aláírása.
A lépések végrehajtásának részletei különböznek a különböző szolgáltatóktól.
A tanúsítvány regisztrálása az IoT Hubon
A Company-X-nek regisztrálnia kell az X.509 hitelesítésszolgáltatót az IoT Hubon, ahol a smart-X-widgetek hitelesítésére szolgál a csatlakozáskor. Ez az egyszeri folyamat lehetővé teszi tetszőleges számú Smart-X-Widget-eszköz hitelesítését és kezelését. A hitelesítésszolgáltatói tanúsítvány és az eszköztanúsítványok közötti egy-a-többhöz kapcsolat az X.509 hitelesítésszolgáltatói hitelesítési módszer használatának egyik fő előnye. Az alternatív megoldás az lenne, ha minden Smart-X-Widget-eszközhöz külön tanúsítvány-ujjlenyomatokat töltene fel, ezáltal növelve az üzemeltetési költségeket.
Az X.509 hitelesítésszolgáltatói tanúsítvány regisztrálása két lépésből áll: töltse fel a tanúsítványt, majd adja meg a birtoklási igazolást.
A tanúsítvány feltöltése
Az X.509 hitelesítésszolgáltatói tanúsítvány feltöltési folyamata csak ennyi: a ca-tanúsítvány feltöltése az IoT Hubra. Az IoT Hub egy fájlban várja a tanúsítványt.
A tanúsítványfájl semmilyen körülmények között nem tartalmazhat titkos kulcsokat. A nyilvános kulcsú infrastruktúrát (PKI) szabályozó szabványok ajánlott eljárásai arra kötelezik, hogy az X vállalat titkos kulcsának ismerete kizárólag a Company-X-ben található.
Tulajdonjog igazolása
Az X.509 hitelesítésszolgáltatói tanúsítvány, mint minden digitális tanúsítvány, nyilvános információ, amely hajlamos a lehallgatásra. Így egy lehallgató elfoghat egy tanúsítványt, és megpróbálhatja feltölteni sajátként. Példánkban az IoT Hubnak meg kell győződnie arról, hogy a feltöltött Company-X hitelesítésszolgáltatói tanúsítvány valóban a Company-X-hez tartozik. Ezt úgy teszi, hogy a Company-X-et arra kér, hogy bizonyítsa, hogy rendelkezik a tanúsítvánnyal egy birtoklási igazolási (PoP) folyamaton keresztül.
A birtoklás igazolási folyamatához az IoT Hub véletlenszerű számot hoz létre, hogy a Company-X a titkos kulcsával jelentkezzen be. Ha a Company-X követte a PKI ajánlott eljárásait, és védte a titkos kulcsát, akkor csak ők tudnak megfelelően válaszolni a tulajdonjog igazolásával kapcsolatos kihívásra. Az IoT Hub folytatja az X.509 hitelesítésszolgáltatói tanúsítvány regisztrálását a tulajdonjog-igazolási feladat sikeres válasza esetén.
Az IoT Hub igazolási kihívására adott sikeres válasz befejezi az X.509 hitelesítésszolgáltató regisztrációját.
Eszközök aláírása megbízhatósági tanúsítványláncba
Példánkban a tanúsítványalapú hitelesítés azt jelenti, hogy minden Smart-X-Widgetnek egyedi eszköztanúsítvánnyal kell rendelkeznie. Az egyes eszközökhöz tartozó egyedi tanúsítvány-/kulcspárok létrehozása helyett a Company-X úgy dönt, hogy ca-tanúsítványokat használ, és minden eszközhöz létrehoz egy megbízhatósági tanúsítványláncot.
A példánkban a Company-X a Factory-Y-t írja elő, amely pedig a Technician-Z jelzéseket, amelyek végül a Smart-X-Widgetet aláírják.
Az alábbi ábra bemutatja, hogyan jön létre a megbízhatósági tanúsítványlánc a Smart-X-Widget-példában.
- A Company-X soha nem kommunikál fizikailag a Smart-X-Widgetek egyikével sem. A Factory-Y köztes hitelesítésszolgáltató tanúsítványának aláírásával kezdeményezi a tanúsítványláncot.
- A Factory-Y már rendelkezik saját köztes hitelesítésszolgáltatói tanúsítvánnyal, amely az X vállalattól származó aláírással rendelkezik. Minden eszköznek átadja ezeknek az elemeknek a másolatait. Emellett a köztes hitelesítésszolgáltatói tanúsítványával aláírja a Technician-Z köztes hitelesítésszolgáltatói tanúsítványát és a Smart-X-Widget eszköztanúsítványait.
- A Technician-Z már rendelkezik saját köztes hitelesítésszolgáltatói tanúsítvánnyal, amely a Factory-Y aláírásával rendelkezik. Minden eszköznek átadja ezeknek az elemeknek a másolatait. Emellett a köztes hitelesítésszolgáltatói tanúsítványával is aláírja a Smart-X-Widget eszköztanúsítványokat.
- Minden Smart-X-Widget-eszköz rendelkezik saját egyedi eszköztanúsítvánnyal, valamint a nyilvános kulcsok és aláírások másolataival minden olyan köztes hitelesítésszolgáltatói tanúsítványból, amellyel az ellátási lánc során kommunikált. Ezek a tanúsítványok és aláírások visszavezethetők az eredeti Company-X gyökérre.
A hitelesítésszolgáltatói hitelesítési módszer biztonságos elszámoltathatóságot biztosít az eszközgyártási ellátási láncba. A tanúsítványlánc folyamata miatt a lánc minden tagjának műveletei kriptográfiailag rögzítve és ellenőrizhetők.
Ez a folyamat arra a feltételezésre támaszkodik, hogy az egyedi eszköz nyilvános/titkos kulcs párja egymástól függetlenül jön létre, és hogy a titkos kulcs mindig az eszközön belül van védve. Szerencsére a biztonságos szilícium chipek hardveres biztonságos modulok (HSM) formájában léteznek, amelyek képesek a kulcsok belső generálására és a titkos kulcsok védelmére. A Company-X-nek csak egy ilyen biztonságos chipet kell hozzáadnia a Smart-X-Widget összetevő anyagjegyzékéhez.
Eszközök hitelesítése
Az X.509 CA-hitelesítéshez gyártott eszközök egyedi eszköztanúsítványokkal és a hozzájuk tartozó gyártási ellátási lánc tanúsítványláncával vannak felszerelve. Az eszközkapcsolat még az első alkalommal is kétlépéses folyamat során történik: a tanúsítványlánc feltöltése és a birtoklás igazolása.
A példánkban minden Smart-X-Widget feltölti egyedi eszköztanúsítványát a Factory-Y és a Technician-Z X.509 CA tanúsítványokkal együtt, majd válaszol az IoT Hub tulajdonjog-igazolási feladatára.
Az X vállalattól származó előre regisztrált X.509 hitelesítésszolgáltatói tanúsítvány használatával az IoT Hub ellenőrzi, hogy a feltöltött tanúsítványlánc belsőleg konzisztens-e, és hogy az X.509 hitelesítésszolgáltatói tanúsítvány érvényes tulajdonosa származik-e a láncból. Az X.509 hitelesítésszolgáltató regisztrációs folyamatához hasonlóan az IoT Hub is egy igazolási kérdés-válasz eljárással állapítja meg, hogy a lánc, és így az eszköztanúsítvány az azt feltöltő eszközhöz tartozik. A sikeres válasz aktiválja az IoT Hubot, hogy hitelesként fogadja el az eszközt, és kapcsolatot létesítsen vele.
A bizalom alapja a titkos kulcsok védelme, beleértve az eszköz titkos kulcsait is. Ezért nem tudjuk eléggé hangsúlyozni a biztonságos szilícium chipek fontosságát hardveres biztonságos modulok (HSM) formájában az eszköz titkos kulcsainak védelme érdekében, és az általános ajánlott eljárás, hogy soha ne ossza meg a titkos kulcsokat a láncban lévő tanúsítványokból.
Következő lépések
A Device Provisioning Service használatával több X.509-eszközt építhet ki regisztrációs csoportok használatával.
Az X.509-tanúsítványt alkotó mezőkkel kapcsolatos további információkért lásd az X.509-tanúsítványokat.
Ha rendelkezik legfelső szintű hitelesítésszolgáltatói tanúsítvánnyal vagy alárendelt hitelesítésszolgáltatói tanúsítvánnyal, és fel szeretné tölteni az IoT Hubra, ellenőriznie kell, hogy a tanúsítvány tulajdonosa-e. További információ: Oktatóanyag: Tanúsítványok létrehozása és feltöltése teszteléshez.