Como implantar certificados X.509 com a instância de serviço de provisionamento do dispositivo
Um certificado X.509 de AC (Autoridade de Certificação) verificado é um certificado de Autoridade de Certificação que foi carregado e registrado no serviço de provisionamento e depois foi verificado automaticamente ou por meio de uma prova de posse com o serviço.
Certificados verificados desempenham um papel importante ao usar grupos de registro. Verificar a propriedade do certificado fornece uma camada adicional de segurança, garantindo que o carregador do certificado está em posse da chave privada do certificado. A verificação impede que um ator mal-intencionado espionando seu tráfego extraia de um certificado intermediário e use-o para criar um grupo de registro em seu próprio serviço de provisionamento, sequestrando efetivamente seus dispositivos. Fornecendo propriedade da raiz ou um certificado intermediário em uma cadeia de certificados, você está provando que tem permissão para gerar certificados de folha para os dispositivos que serão registrados como parte desse grupo de registro. Por esse motivo, a raiz ou certificado intermediário configurado em um grupo de registro deve ser um certificado verificado ou um dispositivo presente na autenticação com o serviço deve ser acumulado em certificado verificado na cadeia de certificados. Para saber mais sobre o atestado com certificados X.509, confira Certificados X.509.
Pré-requisitos
Antes de começar as etapas deste artigo, tenha os seguintes pré-requisitos preparados:
- Uma instância do DPS criada na sua assinatura do Azure.
- Um arquivo de certificado .pem ou .cer.
Verificação automática de AC intermediária ou raiz por meio de autoatestado
Se você estiver usando uma AC intermediária ou raiz em que você confia e sabe que tem a propriedade total do certificado, você pode atestar por si mesmo se o certificado foi verificado.
Para adicionar um certificado autoverificado, siga estas etapas:
No portal do Azure, navegue até o serviço de provisionamento e selecione Certificados no menu à esquerda.
Selecione Adicionar para adicionar um novo certificado.
Insira um nome de exibição fácil para o certificado.
Navegue até o arquivo .cer ou .pem que representa a parte pública do certificado X.509. Clique em Carregar.
Marque a caixa ao lado de Definir status do certificado para verificado no upload.
Selecione Salvar.
Seu certificado será mostrado na guia do certificado com o status Verificado.
Verificação manual da AC intermediária ou raiz
A verificação automática é recomendada quando você carrega novos Certificado de Autoridade de Certificação intermediária ou raiz no DPS. No entanto, você ainda poderá realizar a prova de posse se isso fizer sentido para seu cenário de IoT.
A prova de posse envolve as seguintes etapas:
- Obter um código de verificação exclusivo gerado pelo serviço de provisionamento para seu certificado de autoridade de certificação X.509. Você pode obter isso no Portal do Azure.
- Criar um certificado de verificação X.509 com o código de verificação como seu assunto e assinar o certificado com a chave privada associada ao seu certificado de autoridade de certificação X.509.
- Carregar o certificado de verificação assinado para o serviço. O serviço valida o certificado de verificação usando a parte pública do certificado de autoridade de certificação a ser verificado, assim, provando que você está em posse da chave privada do certificado de autoridade de certificação.
Registrar a parte pública de um certificado X.509 e obter um código de verificação
Para registrar um certificado de autoridade de certificação com o serviço de provisionamento e obter um código de verificação que pode ser usado durante a prova de posse, siga estas etapas.
No portal do Azure, navegue até o serviço de provisionamento e abra Certificados no menu à esquerda.
Selecione Adicionar para adicionar um novo certificado.
Insira um nome de exibição amigável para o certificado no campo Nome do certificado.
Selecione o ícone de pasta e navegue até o arquivo .cer ou .pem que representa a parte pública do certificado X.509. Selecione Abrir.
Após receber uma notificação de que o certificado foi carregado com êxito, escolha Salvar.
Seu certificado será mostrado na lista Explorador de Certificados. Observe que o status desse certificado é Não verificado.
Selecione o certificado que você adicionou na etapa anterior para abrir os detalhes dele.
Nos detalhes do certificado, observe que há um campo Código de verificação vazio. Selecione o botão Gerar código de verificação.
O serviço de provisionamento cria um Código de verificação que pode ser usado para validar a propriedade do certificado. Copie o código para a área de transferência.
Assinar digitalmente o código de verificação para criar um certificado de verificação
Agora, você precisa assinar o código de verificação do DPS com a chave privada associada ao certificado de Autoridade de Certificação X.509, que gera uma assinatura. Essa etapa é conhecida como Prova de posse e resulta em um certificado de verificação assinado.
A Microsoft fornece ferramentas e exemplos que podem ajudá-lo a criar um certificado de verificação assinado:
- O SDK C do Hub IoT do Azure fornece scripts de PowerShell (Windows) e Bash (Linux) para ajudá-lo a criar certificados de autoridade de certificação e folha para desenvolver e executar uma prova de posse usando um código de verificação. Você pode fazer o download dos arquivos relevantes para seu sistema para uma pasta de trabalho e seguir as instruções no leiame Gerenciar certificados de autoridade de certificação para executar uma prova de posse de um certificado de autoridade de certificação.
- O SDK C# do Hub IoT do Azure contém a Amostra de verificação de certificado de grupo, que pode ser usada para realizar a prova de posse.
Os scripts de PowerShell e Bash fornecidos na documentação e SDKs dependem do OpenSSL. Você também pode usar o OpenSSL ou outras ferramentas de terceiros para ajudá-lo a fazer uma prova de posse. Para ver um exemplo de como usar as ferramentas fornecidas com os SDKs, consulte Criar uma cadeia de certificados X.509.
Carregar o certificado de verificação assinado
Carregue a assinatura resultante como um certificado de verificação no serviço de provisionamento no portal do Azure.
Nos detalhes do certificado no portal do Azure em que você copiou o código de verificação, selecione o ícone de pasta ao lado do campo Arquivo de certificado de verificação .pem ou .cer. Navegue até o certificado de verificação assinado no sistema e selecione Abrir.
Depois que o certificado for carregado com êxito, selecione Verificar. O status do certificado mudará para Verificado na lista Certificados. Escolha Atualizar se ele não for atualizado automaticamente.
Próximas etapas
- Para saber mais sobre como usar o portal para criar um grupo de registro, consulte Gerenciando registros de dispositivos com o portal do Azure.
- Para saber mais sobre como usar os SDKs do serviço para criar um grupo de registro, consulte Gerenciando registros de dispositivos com os SDKs do serviço.