Vérifier des certificats d’autorité de certification X.509 auprès de votre service de provisionnement des appareils

Un certificat d’autorité de certification X.509 vérifié est un certificat d’autorité de certification qui est chargé et inscrit dans votre service de provisionnement, puis vérifié, soit automatiquement, soit par le biais d’une preuve de possession auprès du service.

Les certificats vérifiés jouent un rôle important lors de l’utilisation de groupes d’inscription. La vérification de la propriété du certificat fournit une couche de sécurité supplémentaire en veillant à ce que le chargeur du certificat soit en possession de la clé privée du certificat. La vérification empêche un acteur malveillant, qui intercepte votre trafic, d'extraire un certificat intermédiaire et d'utiliser ce certificat pour créer un groupe d’inscription dans son propre service de provisionnement, détournant ainsi efficacement vos appareils. En montrant la propriété de la racine ou d’un certificat intermédiaire dans une chaîne de certificats, vous prouvez que vous êtes autorisé à générer des certificats feuille pour les appareils qui s’inscrivent dans le cadre de ce groupe d’inscription. Pour cette raison, le certificat racine ou intermédiaire configuré dans un groupe d’inscription doit être un certificat vérifié ou doit être cumulatif à un certificat vérifié dans la chaîne de certificats qu’un appareil présente lorsqu’il s’authentifie auprès du service. Pour en savoir plus sur l’attestation de certificat X.509, consultez l’attestation de certificat X.509.

Prerequisites

Avant de commencer les étapes décrites dans cet article, les prérequis suivants sont préparés :

• Instance DPS créée dans votre abonnement Azure.
• Fichier de certificat .cer ou .pem.

Vérification automatique de l’autorité de certification intermédiaire ou racine via l’auto-attestation

Si vous utilisez une autorité de certification intermédiaire ou racine que vous approuvez et que vous connaissez la propriété complète du certificat, vous pouvez vous auto-attester que vous avez vérifié le certificat.

Pour ajouter un certificat autoverifié, procédez comme suit :

1. Dans le portail Azure, accédez à votre service d’approvisionnement et sélectionnez Certificats dans le menu de gauche.

2. Sélectionnez Ajouter pour ajouter un nouveau certificat.

3. Entrez un nom d’affichage convivial pour votre certificat.

4. Accédez au fichier .cer ou .pem qui représente la partie publique de votre certificat X.509. Sélectionnez Téléverser.

5. Cochez la case en regard de Définir l’état du certificat sur vérifié lors du chargement.

   

6. Cliquez sur Enregistrer.

7. Votre certificat s’affiche sous l’onglet Certificat avec un état Vérifié.

   

Vérification manuelle de l’autorité de certification racine ou intermédiaire

Il est recommandé d'effectuer une vérification automatique lorsque vous téléchargez de nouveaux certificats d'autorité de certification intermédiaire ou racine dans DPS. Toutefois, vous pouvez toujours effectuer une preuve de possession si cela est judicieux pour votre scénario IoT.

La preuve de possession implique les étapes suivantes :

1. Obtenez un code de vérification unique généré par le service d’approvisionnement pour votre certificat d’autorité de certification X.509. Vous pouvez effectuer cette étape à partir du portail Azure.
2. Créez un certificat de vérification X.509 avec le code de vérification comme objet et signez le certificat avec la clé privée associée à votre certificat d’autorité de certification X.509.
3. Chargez le certificat de vérification signé sur le service. Le service valide le certificat de vérification à l’aide de la partie publique du certificat d’autorité de certification à vérifier, ce qui prouve que vous êtes en possession de la clé privée du certificat d’autorité de certification.

Inscrire la partie publique d’un certificat X.509 et obtenir un code de vérification

Pour inscrire un certificat d’autorité de certification auprès de votre service d’approvisionnement et obtenir un code de vérification que vous pouvez utiliser pendant la preuve de possession, procédez comme suit.

1. Dans le portail Azure, accédez à votre service d’approvisionnement et ouvrez certificats dans le menu de gauche.

2. Sélectionnez Ajouter pour ajouter un nouveau certificat.

3. Entrez un nom d'affichage convivial pour votre certificat dans le champ Nom du certificat.

4. Sélectionnez l’icône de dossier, puis accédez au fichier .cer ou .pem qui représente la partie publique de votre certificat X.509. Cliquez sur Ouvrir.

5. Une fois que vous recevez une notification indiquant que votre certificat est correctement chargé, sélectionnez Enregistrer.

   

   Votre certificat s’affiche dans la liste de l’Explorateur de certificats . L’état de ce certificat n’est pas vérifié.

6. Sélectionnez le certificat que vous avez ajouté à l’étape précédente pour ouvrir ses détails.

7. Dans les détails du certificat, notez qu’il existe un champ de code de vérification vide. Sélectionnez le bouton Générer le code de vérification .

   

8. Le service d’approvisionnement crée un code de vérification que vous pouvez utiliser pour valider la propriété du certificat. Copiez le code dans le presse-papiers.

Signer numériquement le code de vérification pour créer un certificat de vérification

À présent, vous devez signer le code de vérification de DPS avec la clé privée associée à votre certificat d’autorité de certification X.509, qui génère une signature. Cette étape est appelée Preuve de possession et génère un certificat de vérification signé.

Microsoft fournit des outils et des exemples qui peuvent vous aider à créer un certificat de vérification signé :

• Le Kit de développement logiciel (SDK) C Azure IoT Hub fournit des scripts PowerShell (Windows) et Bash (Linux) pour vous aider à créer des certificats d’autorité de certification et des certificats feuilles pour le développement, et à effectuer la preuve de possession à l’aide d’un code de vérification. Vous pouvez télécharger les fichiers appropriés à votre système dans un dossier de travail et suivre les instructions fournies dans le fichier readme de Gestion des certificats CA de test pour les exemples et les tutoriels pour effectuer une preuve de possession sur un certificat d’autorité de certification.
• Le Kit de développement logiciel (SDK) C# Azure IoT Hub contient l’exemple de vérification de certificat de groupe, que vous pouvez utiliser pour effectuer une preuve de possession.

Les scripts PowerShell et Bash fournis dans la documentation et les kits sdk s’appuient sur OpenSSL. Vous pouvez également utiliser OpenSSL ou d’autres outils non-Microsoft pour vous aider à effectuer une preuve de possession. Pour obtenir un exemple d’utilisation d’outils fournis avec les kits SDK, consultez Créer une chaîne de certificats X.509.

Charger le certificat de vérification signé

Chargez la signature résultante en tant que certificat de vérification sur votre service d’approvisionnement dans le portail Azure.

1. Dans les détails du certificat sur le portail Azure, où vous avez copié le code de vérification, sélectionnez l’icône de dossier à côté du champ fichier .pem ou .cer du certificat de vérification. Accédez au certificat de vérification signé à partir de votre système, puis sélectionnez Ouvrir.

2. Une fois le certificat chargé, sélectionnez Vérifier. L’état de votre certificat passe à Vérifié dans la liste Certificats . Sélectionnez Actualiser s’il ne se met pas à jour automatiquement.

Étapes suivantes

• Pour en savoir plus sur l’utilisation du portail pour créer un groupe d’inscriptions, consultez Gestion des inscriptions d’appareils dans le portail Azure.
• Pour en savoir plus sur l’utilisation des Kits de développement logiciel (SDK) de service pour créer un groupe d’inscription, consultez Créer par programmation un groupe d’inscription de service Device Provisioning pour l’attestation de certificat X.509.