Udostępnij przez

Jak za pomocą usługi Device Provisioning Service zweryfikować certyfikaty X.509 urzędu certyfikacji

Zweryfikowany certyfikat urzędu certyfikacji X.509 to certyfikat urzędu certyfikacji, który jest przekazywany i zarejestrowany w usłudze aprowizacji, a następnie zweryfikowany automatycznie lub poprzez dowód posiadania w usłudze.

Zweryfikowane certyfikaty odgrywają ważną rolę podczas korzystania z grup rejestracji. Weryfikowanie własności certyfikatu zapewnia dodatkową warstwę zabezpieczeń poprzez upewnienie się, że osoba przesyłająca certyfikat jest w posiadaniu klucza prywatnego tego certyfikatu. Weryfikacja uniemożliwia przechwytywanie ruchu przez złośliwego aktora i wyodrębnienie certyfikatu pośredniego, a następnie użycie tego certyfikatu do utworzenia grupy rejestracyjnej w ich własnej usłudze aprowizacji, co skutecznie umożliwia przejęcie kontroli nad urządzeniami. Udowadniając własność certyfikatu głównego lub pośredniego w łańcuchu certyfikatów, okazuje się, że masz uprawnienia do generowania certyfikatów liści dla urządzeń zarejestrowanych w ramach tej grupy rejestracji. Z tego powodu certyfikat główny lub pośredni skonfigurowany w grupie rejestracji musi być zweryfikowanym certyfikatem lub musi zostać zbiorczy do zweryfikowanego certyfikatu w łańcuchu certyfikatów, który urządzenie przedstawia podczas uwierzytelniania w usłudze. Aby dowiedzieć się więcej na temat zaświadczania certyfikatów X.509, zobacz Zaświadczenie certyfikatu X.509.

Wymagania wstępne

Przed rozpoczęciem kroków opisanych w tym artykule przygotowano następujące wymagania wstępne:

  • Wystąpienie usługi DPS utworzone w ramach subskrypcji platformy Azure.
  • Plik certyfikatu .cer lub pem.

Automatyczna weryfikacja pośredniego lub głównego urzędu certyfikacji za pomocą zaświadczania samodzielnego

Jeśli używasz zaufanego pośredniego lub nadrzędnego urzędu certyfikacji i wiesz, że masz pełną własność certyfikatu, możesz samodzielnie potwierdzić weryfikację certyfikatu.

Aby dodać certyfikat autozweryfikowany, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do usługi aprowizacji i wybierz pozycję Certyfikaty z menu po lewej stronie.

  2. Wybierz pozycję Dodaj , aby dodać nowy certyfikat.

  3. Wprowadź przyjazną nazwę wyświetlaną certyfikatu.

  4. Przejdź do pliku .cer lub pem reprezentującego publiczną część certyfikatu X.509. Wybierz pozycję Prześlij.

  5. Zaznacz pole wyboru obok pozycji Ustaw stan certyfikatu jako zweryfikowany podczas przesyłania.

    Zrzut ekranu przedstawiający przekazywanie certyfikatu i ustawienie stanu na zweryfikowane.

  6. Wybierz Zapisz.

  7. Certyfikat jest wyświetlany na karcie certyfikatu ze stanem Zweryfikowano.

    Zrzut ekranu przedstawiający zweryfikowany certyfikat po przesłaniu.

Ręczna weryfikacja pośredniego lub głównego urzędu certyfikacji

Automatyczna weryfikacja jest zalecana podczas przesyłania nowych certyfikatów pośredniego lub głównego urzędu certyfikacji do usługi DPS. Jednak nadal można wykonać weryfikację posiadania, jeśli ma to sens w przypadku scenariusza IoT.

Dowód posiadania obejmuje następujące kroki:

  1. Pobierz unikatowy kod weryfikacyjny wygenerowany przez usługę aprowizacji dla certyfikatu urzędu certyfikacji X.509. Ten krok można wykonać w witrynie Azure Portal.
  2. Utwórz certyfikat weryfikacyjny X.509, używając kodu weryfikacyjnego jako podmiotu, i podpisz certyfikat kluczem prywatnym skojarzonym z certyfikatem urzędu certyfikacji X.509.
  3. Przekaż podpisany certyfikat weryfikacji do usługi. Usługa weryfikuje certyfikat weryfikacji przy użyciu publicznej części certyfikatu urzędu certyfikacji w celu jego zweryfikowania, co potwierdza, że masz możliwość dysponowania kluczem prywatnym certyfikatu urzędu certyfikacji.

Rejestrowanie publicznej części certyfikatu X.509 i uzyskiwanie kodu weryfikacyjnego

Aby zarejestrować certyfikat CA w usłudze aprowizacji i uzyskać kod weryfikacyjny, którego można użyć podczas potwierdzenia posiadania, wykonaj następujące kroki.

  1. W witrynie Azure Portal przejdź do usługi aprowizacji i otwórz pozycję Certyfikaty z menu po lewej stronie.

  2. Wybierz pozycję Dodaj , aby dodać nowy certyfikat.

  3. Wprowadź przyjazną nazwę wyświetlaną certyfikatu w polu Nazwa certyfikatu .

  4. Wybierz ikonę folderu, a następnie przejdź do pliku .cer lub pem reprezentującego publiczną część certyfikatu X.509. Wybierz Otwórz.

  5. Po otrzymaniu powiadomienia o pomyślnym przekazaniu certyfikatu wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający przekazywanie certyfikatu bez automatycznej weryfikacji.

    Certyfikat jest wyświetlany na liście Eksplorator certyfikatów . Stan tego certyfikatu to Niezweryfikowane.

  6. Wybierz certyfikat dodany w poprzednim kroku, aby otworzyć jego szczegóły.

  7. W szczegółach certyfikatu zwróć uwagę, że istnieje puste pole Kod weryfikacyjny . Wybierz przycisk Generuj kod weryfikacyjny .

    Zrzut ekranu przedstawiający generowanie kodu weryfikacyjnego w celu potwierdzenia posiadania.

  8. Usługa aprowizacji tworzy kod weryfikacyjny , którego można użyć do zweryfikowania własności certyfikatu. Skopiuj kod do schowka.

Podpisz cyfrowo kod weryfikacyjny w celu utworzenia certyfikatu weryfikacji

Teraz musisz podpisać kod weryfikacyjny z usługi DPS przy użyciu klucza prywatnego skojarzonego z certyfikatem X.509 urzędu certyfikacji, który generuje podpis. Ten krok jest znany jako Dowód posiadania i powoduje podpisanie certyfikatu weryfikacji.

Firma Microsoft udostępnia narzędzia i przykłady, które mogą pomóc w utworzeniu podpisanego certyfikatu weryfikacji:

  • Zestaw SDK języka C usługi Azure IoT Hub udostępnia skrypty programu PowerShell (Windows) i powłoki Bash (Linux), które ułatwiają tworzenie certyfikatów urzędu certyfikacji i certyfikatów podrzędnych na potrzeby deweloperskie oraz przeprowadzanie dowodu posiadania przy użyciu kodu weryfikacyjnego. Pliki istotne dla systemu można pobrać do folderu roboczego i postępować zgodnie z instrukcjami w temacie Zarządzanie certyfikatami testowego urzędu certyfikacji dla przykładów i samouczków readme , aby przeprowadzić weryfikację posiadania certyfikatu urzędu certyfikacji.
  • Zestaw SDK języka C# usługi Azure IoT Hub zawiera przykład weryfikacji certyfikatu grupy, którego można użyć do przeprowadzenia weryfikacji posiadania.

Skrypty w PowerShell i Bash podane w dokumentacji i zestawach SDK korzystają z biblioteki OpenSSL. Możesz również użyć biblioteki OpenSSL lub innych narzędzi innych firm innych niż Microsoft, aby ułatwić ci weryfikację posiadania. Przykład użycia narzędzi dostarczanych z zestawami SDK można znaleźć w artykule Create an X.509 certificate chain (Tworzenie łańcucha certyfikatów X.509).

Przekazywanie podpisanego certyfikatu weryfikacji

Przekaż wynikowy podpis jako certyfikat weryfikacji do usługi aprowizacji w witrynie Azure Portal.

  1. W szczegółach certyfikatu w witrynie Azure Portal, z której skopiowano kod weryfikacyjny, wybierz ikonę folderu obok pola Plik pem lub .cer certyfikatu weryfikacji . Przejdź do podpisanego certyfikatu weryfikacji z systemu i wybierz pozycję Otwórz.

  2. Po pomyślnym przekazaniu certyfikatu wybierz pozycję Weryfikuj. Stan certyfikatu zmieni się na Zweryfikowane na liście Certyfikaty . Wybierz pozycję Odśwież , jeśli nie zostanie ona automatycznie zaktualizowana.

Dalsze kroki

  • Last updated on