Cómo verificar los certificados de entidad de certificación X.509 con su servicio de aprovisionamiento de dispositivos

Un certificado de entidad de certificación (CA) X.509 verificado es un certificado de entidad de certificación que se carga y registra en su servicio de aprovisionamiento y luego se verifica, ya sea automáticamente o mediante prueba de posesión con el servicio.

Los certificados comprobados desempeñan un papel importante al usar grupos de inscripción. La comprobación de la propiedad del certificado proporciona una capa de seguridad adicional asegurándose de que el cargador del certificado está en posesión de la clave privada del certificado. La verificación impide que un actor malintencionado intercepte el tráfico, extraiga un certificado intermedio y use ese certificado para configurar un grupo de inscripción en su propio servicio de aprovisionamiento, secuestrando de manera efectiva los dispositivos. Al probar la titularidad de la raíz o un certificado intermedio en una cadena de certificados, demuestra que tiene permiso para generar certificados de hoja para los dispositivos que se registrarán como parte del grupo de inscripción. Por este motivo, el certificado raíz o intermedio configurado en un grupo de inscripción debe ser un certificado comprobado o debe acumularse en un certificado comprobado en la cadena de certificados que presenta un dispositivo cuando se autentica con el servicio. Para más información sobre la atestación de certificados X.509, consulte Atestación de certificados X.509.

Prerrequisitos

Antes de comenzar los pasos de este artículo, tenga preparados los siguientes requisitos previos:

• Una instancia de DPS creada en la suscripción de Azure.
• Un archivo de certificado .cer o .pem.

Comprobación automática de CA intermedia o raíz mediante autoatestación

Si estás usando una autoridad de certificación intermedia o raíz en la que confías y de la que sabes que tienes plena titularidad del certificado, puedes autoafirmar que has verificado el certificado.

Para agregar un certificado comprobado automáticamente, siga estos pasos:

1. En Azure Portal, vaya al servicio de aprovisionamiento y seleccione Certificados en el menú izquierdo.

2. Seleccione Agregar para agregar un nuevo certificado.

3. Escriba un nombre para mostrar descriptivo para el certificado.

4. Vaya al archivo .cer o .pem que representa la parte pública del certificado X.509. Seleccione Cargar.

5. Active la casilla situada junto a Set certificate status to verified on upload (Establecer el estado del certificado que se va a comprobar al cargar).

   

6. Haga clic en Guardar.

7. El certificado se muestra en la pestaña certificado con un estado Comprobado.

   

Comprobación manual de la entidad de certificación intermedia o raíz

Se recomienda la verificación automática al cargar nuevos certificados AC intermedios o raíz en DPS. Sin embargo, todavía puede realizar una prueba de posesión del dispositivo si tiene sentido para su escenario de IoT.

La prueba de posesión implica los pasos siguientes:

1. Obtenga un código de verificación único generado por el servicio de provisión para su certificado CA X.509. Puede realizar este paso desde Azure Portal.
2. Cree un certificado de verificación X.509 con el código de verificación como firmante y firme el certificado con la clave privada asociada al certificado de entidad de certificación X.509.
3. Cargue el certificado de verificación firmado en el servicio. El servicio valida el certificado de verificación mediante la parte pública del certificado de entidad de certificación que se va a comprobar, lo que demuestra que está en posesión de la clave privada del certificado de entidad de certificación.

Registrar la parte pública de un certificado X.509 y obtener un código de verificación

Para registrar un certificado de Autoridad de Certificación con el servicio de aprovisionamiento y obtener un código de verificación que puede usar durante la demostración de posesión, siga estos pasos.

1. En Azure Portal, vaya al servicio de aprovisionamiento y abra Certificados en el menú izquierdo.

2. Seleccione Agregar para agregar un nuevo certificado.

3. Escriba un nombre para mostrar amigable para su certificado en el campo Nombre del certificado.

4. Seleccione el icono de carpeta y vaya al archivo .cer o .pem que representa la parte pública del certificado X.509. seleccione Open(Abrir).

5. Una vez que reciba una notificación de que el certificado se ha cargado correctamente, seleccione Guardar.

   

   El certificado se muestra en la lista explorador de certificados . El estado de este certificado es No comprobado.

6. Seleccione el certificado que agregó en el paso anterior para abrir sus detalles.

7. En los detalles del certificado, observe que hay un campo de código de verificación vacío. Seleccione el botón Generar código de verificación .

   

8. El servicio de aprovisionamiento crea un código de verificación que puede usar para validar la propiedad del certificado. Copie el código en el Portapapeles.

Firmar digitalmente el código de verificación para crear un certificado de verificación

Ahora, debe firmar el código de verificación de DPS con la clave privada asociada al certificado de entidad de certificación X.509, que genera una firma. Este paso se conoce como Prueba de posesión y da como resultado un certificado de verificación firmado.

Microsoft proporciona herramientas y ejemplos que pueden ayudarle a crear un certificado de verificación firmado:

• El SDK C de Azure IoT Hub proporciona scripts de PowerShell (Windows) y Bash (Linux) que le ayudan a crear certificados de entidad de certificación y de hoja para desarrollo y a realizar la prueba de posesión con un código de verificación. Puede descargar los archivos correspondientes a su sistema en una carpeta de trabajo y seguir las instrucciones que aparecen en el archivo Léame de administración de certificados de entidad de certificación para muestras y tutoriales para realizar la prueba de posesión en un certificado de entidad de certificación.
• El SDK de C# de Azure IoT Hub contiene el ejemplo de comprobación del certificado de grupo, que puede usar para realizar la prueba de posesión.

Los scripts de PowerShell y Bash proporcionados en la documentación y los SDK se basan en OpenSSL. También puede usar OpenSSL u otras herramientas que no sean de Microsoft para ayudarle a realizar pruebas de posesión. Para obtener un ejemplo de uso de herramientas proporcionada con los SDK, consulte Creación de una cadena de certificados X.509.

Carga del certificado de verificación firmado

Cargue la firma resultante como un certificado de verificación en el servicio de aprovisionamiento en Azure Portal.

1. En los detalles del certificado de Azure Portal, desde donde copió el código de verificación, seleccione el icono de carpeta situado junto al campo Archivo de certificado de verificación .pem o .cer. Vaya al certificado de verificación firmado desde el sistema y seleccione Abrir.

2. Una vez cargado correctamente el certificado, seleccione Comprobar. El estado del certificado cambia a Comprobado en la lista Certificados . Seleccione Actualizar si no se actualiza automáticamente.

Pasos siguientes

• Para más información sobre cómo usar el portal para crear un grupo de inscripción, consulte Administración de inscripciones de dispositivos en Azure Portal.
• Para obtener información sobre cómo usar los SDK de servicio para crear un grupo de inscripción, consulte Creación mediante programación de un grupo de inscripción de Device Provisioning Service para la atestación de certificados X.509.