Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Durante o ciclo de vida da sua solução de IoT, você precisa rotacionar os certificados. Dois dos principais motivos para a distribuição de certificados seriam uma violação de segurança e expirações de certificado.
A rolagem de certificados é uma prática recomendada de segurança para ajudar a proteger seu sistema se houver uma violação. Como parte da Metodologia Assume Breach, a Microsoft defende a necessidade de ter processos reativos de segurança em vigor, juntamente com medidas preventivas. Implantar seus certificados de dispositivo deve ser incluído como parte desses processos de segurança. A frequência na qual você rola seus certificados depende das necessidades de segurança da sua solução. Clientes com soluções que envolvem dados altamente confidenciais podem trocar certificados diariamente, enquanto outros trocam seus certificados a cada alguns anos.
Os certificados de dispositivo rotativos envolvem a atualização do certificado armazenado no dispositivo e no IoT Hub. Depois disso, o dispositivo pode um reprovisionamento de si mesmo com o Hub IoT usando provisionamento normal com o Serviço de provisionamento do dispositivo.
Obter novos certificados
Há várias maneiras de obter novos certificados para seus dispositivos IoT, incluindo obter certificados da fábrica de dispositivos, gerar seus próprios certificados e ter um provedor que não seja da Microsoft gerenciar a criação de certificados para você.
Os certificados podem assinar uns aos outros para formar uma cadeia de confiança desde um certificado raiz da autoridade certificadora até um certificado folha. Um certificado de autenticação é o certificado usado para assinar o certificado de folha no final da cadeia de confiança. Um certificado de autenticação pode ser um certificado de autoridade de certificação raiz ou um certificado intermediário na cadeia de confiança. Para obter mais informações, consulte o atestado de certificado X.509.
Há duas maneiras diferentes de obter um certificado de assinatura. A primeira maneira que é recomendada para sistemas de produção, é comprar um certificado de assinatura de uma autoridade de certificação (CA) raiz. Dessa forma, vincula a segurança a uma fonte confiável.
A segunda maneira é criar seus próprios certificados X.509 usando uma ferramenta como o OpenSSL. Essa abordagem é ótima para testar certificados X.509, mas fornece poucas garantias em relação à segurança. Recomendamos que você use essa abordagem apenas para testes, a menos que esteja preparado para atuar como seu próprio provedor de CA.
Implantar o certificado no dispositivo
Os certificados em um dispositivo devem ser sempre armazenados em um local seguro, como um HSM (módulo de segurança de hardware). A maneira como você gerencia os certificados do dispositivo depende de como foram inicialmente criados e instalados nos dispositivos.
Se você tiver seus certificados de um provedor diferente da Microsoft, é necessário investigar como eles gerenciam seus certificados. O processo pode ser incluído em seu acordo com eles ou pode ser um serviço separado que eles oferecem.
Se você estiver gerenciando seus próprios certificados de dispositivo, precisará criar um pipeline próprio para atualizá-los. Verifique se os certificados folha antigos e novos têm o mesmo nome comum (CN). Ao ter o mesmo CN, o dispositivo pode se reprovisionar sem criar um registro duplicado.
A mecânica da instalação de um novo certificado em um dispositivo geralmente envolve uma das seguintes abordagens:
Você pode acionar os dispositivos afetados para enviar uma nova solicitação de assinatura de certificado (CSR) para sua Autoridade de Certificação (AC). Nesse caso, é provável que cada dispositivo consiga baixar seu novo certificado de dispositivo diretamente da AC.
Você pode reter um CSR de cada dispositivo e usá-lo para obter um novo certificado de dispositivo da AC PKI. Nesse caso, você precisa enviar o novo certificado por push para cada dispositivo em uma atualização de firmware usando um serviço de atualização OTA seguro, como a Atualização de Dispositivo para o Hub IoT.
Implantar o certificado no DPS
O certificado do dispositivo pode ser adicionado manualmente a um hub IoT. O certificado também pode ser automatizado usando uma instância do Serviço de Provisionamento de Dispositivos. Neste artigo, presumimos que uma instância do Serviço de Provisionamento de Dispositivos esteja sendo usada para dar suporte ao provisionamento automático.
Quando um dispositivo é inicialmente provisionado por meio do provisionamento automático, ele é inicializado e entra em contato com o serviço de provisionamento. O serviço de provisionamento responde executando uma verificação de identidade antes de criar uma identidade de dispositivo em um hub IoT usando o certificado folha do dispositivo como a credencial. Em seguida, o serviço de provisionamento informa ao dispositivo a qual hub IoT ele está atribuído e, em seguida, o dispositivo usa seu certificado folha para autenticar e conectar-se ao hub IoT.
Depois que um novo certificado de folha for revertido para o dispositivo, ele pode não mais se conectar ao Hub IoT porque ele está usando um novo certificado para se conectar. O hub IoT reconhece apenas o dispositivo com o certificado antigo. O resultado da tentativa de conexão do dispositivo é um erro de conexão "não autorizado". Para resolver esse erro, você deve atualizar a entrada de registro do dispositivo para a conta para o novo certificado de folha do dispositivo. Em seguida, o serviço de provisionamento pode atualizar as informações do registro de dispositivo do Hub IoT conforme necessário quando o dispositivo é reprovisionado.
Uma possível exceção a essa falha de conexão seria um cenário em que você cria um grupo de registro para seu dispositivo no serviço de provisionamento. Nesse caso, se você não estiver rolando os certificados raiz ou intermediários na cadeia de confiança de certificados do dispositivo, o dispositivo será reconhecido se o novo certificado fizer parte da cadeia de confiança definida no grupo de registro. Se esse cenário surgir como uma reação a uma violação de segurança, você deverá pelo menos não permitir os certificados de dispositivo específicos no grupo que são considerados violados. Para obter mais informações, consulte Proibir dispositivos específicos de um grupo de inscrição X.509
A maneira como você lida com a atualização da entrada de registro depende se você está usando registros individuais ou registros de grupo. Além disso, os procedimentos recomendados diferem dependendo se você está distribuindo certificados devido a uma violação de segurança ou à expiração do certificado. As seções a seguir descrevem como lidar com essas atualizações.
Emitir certificados para inscrições individuais
Se você estiver distribuindo certificados em resposta a uma violação de segurança, deverá excluir todos os certificados comprometidos imediatamente.
Se você estiver distribuindo certificados para lidar com os vencimentos de certificado, use a configuração do certificado secundário para reduzir o tempo de inatividade para os dispositivos que tentam fazer o provisionamento. Mais tarde, quando o certificado secundário se aproximar do vencimento e precisar ser implantado, você poderá girá-lo usando a configuração primária. Girar entre os certificados primários e secundários dessa maneira reduz o tempo de inatividade para dispositivos de tentativa de provisionar.
A atualização das entradas de inscrição para certificados emitidos em série é realizada na página de Gerenciar inscrições. Para acessar essa página, siga estas etapas:
Entre no portal do Azure e navegue até a instância do Serviço de Provisionamento de Dispositivos que tem a entrada de registro do dispositivo.
Selecione Gerenciar registros.
Selecione a guia Registros individuais e selecione a entrada de ID de registro na lista.
Selecione as caixas de seleção Remover ou substituir certificado primário/secundário se você quiser excluir um certificado existente. Selecione o ícone de pasta de arquivo para procurar e carregar os novos certificados.
Se algum de seus certificados tiver sido comprometido, você deverá removê-los o mais rápido possível.
Se um de seus certificados estiver se aproximando de sua expiração, você poderá mantê-lo em vigor, desde que o segundo certificado ainda esteja ativo após essa data.
Selecione Salvar quando terminar.
Se você removeu um certificado comprometido do serviço de provisionamento, o certificado ainda poderá ser usado para fazer conexões de dispositivo com o hub IoT, desde que exista um registro de dispositivo para ele. Você pode abordar essas duas maneiras:
A primeira maneira seria navegar manualmente até o hub IoT e remover imediatamente o registro do dispositivo associado ao certificado comprometido. Em seguida, quando o dispositivo provisiona novamente com um certificado atualizado, um novo registro de dispositivo é criado.
A segunda maneira seria usar o suporte de reprovisionamento para reprovisionar o dispositivo para o mesmo hub IoT. Essa abordagem pode ser usada para substituir o certificado para o registro do dispositivo no hub IoT. Para obter mais informações, consulte Como reprovisionar dispositivos.
Distribuir os certificados para grupos de registro
Para atualizar uma inscrição de grupo em resposta a uma violação de segurança, exclua a Autoridade Certificadora (AC) raiz comprometida ou o certificado intermediário imediatamente.
Se você estiver distribuindo certificados para lidar com expirações de certificado, deverá usar a configuração de certificado secundário para garantir que não haja tempo de inatividade para dispositivos que tentam provisionar. Posteriormente, quando o certificado secundário também está prestes a expirar e precisa ser renovado, você pode alternar para usar a configuração primária. Girar entre os certificados primários e secundários dessa maneira garante o tempo de inatividade para dispositivos de tentativa de provisionar.
Atualizar os certificados de AC raiz
Selecione Certificados na seção Configurações do menu de navegação da instância do Serviço de Provisionamento de Dispositivos.
Selecione o certificado comprometido ou expirado na lista e selecione Excluir. Confirme a exclusão inserindo o nome do certificado e selecione OK.
Siga as etapas descritas em Como verificar certificados de AC X.509 com seu Serviço de Provisionamento de Dispositivos para adicionar e verificar novos certificados de AC raiz.
Selecione Gerenciar registros na seção Configurações do menu de navegação da instância do Serviço de Provisionamento de Dispositivos e selecione a guia Grupos de Registro .
Selecione o nome do grupo de inscrição na lista.
Na seção de configurações de certificado X.509 , selecione seu novo certificado de AC raiz para substituir o certificado comprometido ou expirado ou adicionar como um certificado secundário.
Clique em Salvar.
Se você removeu um certificado comprometido do serviço de provisionamento, o certificado ainda poderá ser usado para fazer conexões de dispositivo com o hub IoT, desde que existam registros de dispositivo para ele. Você pode abordar essas duas maneiras:
A primeira maneira seria navegar manualmente até o hub IoT e remover imediatamente os registros de dispositivo associados ao certificado comprometido. Em seguida, quando os dispositivos forem provisionados novamente com certificados atualizados, um novo registro de dispositivo é criado para cada um deles.
A segunda maneira seria usar o reprovisionamento de suporte para reprovisionar os dispositivos para o mesmo hub IoT. Essa abordagem pode ser usada para substituir certificados para registros de dispositivo no Hub IoT. Para obter mais informações, consulte Como reprovisionar dispositivos.
Atualizar certificados intermediários
Selecione Gerenciar registros na seção Configurações do menu de navegação da instância do Serviço de Provisionamento de Dispositivos e selecione a guia Grupos de Registro .
Selecione o nome do grupo na lista.
Selecione as caixas de seleção Remover ou substituir certificado primário/secundário se você quiser excluir um certificado existente. Selecione o ícone de pasta de arquivo para procurar e carregar os novos certificados.
Se algum de seus certificados tiver sido comprometido, você deverá removê-los o mais rápido possível.
Se um de seus certificados estiver se aproximando de sua expiração, você poderá mantê-lo em vigor, desde que o segundo certificado ainda esteja ativo após essa data.
Você deve assinar cada certificado intermediário com um certificado da autoridade de certificação raiz verificado que já está adicionado ao serviço de provisionamento. Para obter mais informações, consulte o atestado de certificado X.509.
Se você removeu um certificado comprometido do serviço de provisionamento, o certificado ainda poderá ser usado para fazer conexões de dispositivo com o hub IoT, desde que existam registros de dispositivo para ele. Você pode abordar essas duas maneiras:
A primeira maneira seria navegar manualmente até o hub IoT e remover imediatamente o registro do dispositivo associado ao certificado comprometido. Em seguida, quando os dispositivos forem provisionados novamente com certificados atualizados, um novo registro de dispositivo é criado para cada um deles.
A segunda maneira seria usar o reprovisionamento de suporte para reprovisionar os dispositivos para o mesmo hub IoT. Essa abordagem pode ser usada para substituir certificados para registros de dispositivo no Hub IoT. Para obter mais informações, consulte Como reprovisionar dispositivos.
Reprovisionar o dispositivo
Depois que o certificado for lançado no dispositivo e no Serviço de Provisionamento de Dispositivos, o dispositivo poderá ser reprovisionado contatando o Serviço de Provisionamento de Dispositivos.
Uma maneira fácil de programar dispositivos para reconfiguração é programar o dispositivo para entrar em contato com o serviço de provisionamento para seguir o fluxo de provisionamento se o dispositivo receber um erro "não autorizado" ao tentar se conectar ao hub IoT.
Outra maneira é fazer com que os certificados antigos e novos sejam válidos simultaneamente por um curto período e usar o hub IoT para enviar um comando aos dispositivos para que eles se registrem novamente através do serviço de provisionamento, atualizando assim suas informações de conexão do hub IoT. Como cada dispositivo pode processar comandos de forma diferente, você precisa programar seu dispositivo para saber o que fazer quando o comando é invocado. Há várias maneiras de comandar seu dispositivo por meio do Hub IoT e recomendamos usar métodos ou trabalhos diretos para iniciar o processo.
Depois que o reprovisionamento for concluído, os dispositivos poderão se conectar ao Hub IoT usando seus novos certificados.
Não permitir certificados
Em resposta a uma violação de segurança, talvez seja necessário não permitir um certificado de dispositivo. Para desabilitar um certificado de dispositivo, desabilite a entrada de registro para o dispositivo/certificado de destino. Para obter mais informações, consulte Como cancelar o registro ou a revogação de um dispositivo do Serviço de Provisionamento de Dispositivos do Hub IoT do Azure.
Depois que um certificado é incluído como parte de uma entrada de registro desabilitada, qualquer tentativa de se registrar em um hub IoT usando esse certificado falhará mesmo se o certificado estiver habilitado como parte de outra entrada de registro.
Próximas etapas
- Para saber mais sobre certificados X.509 no Serviço de Provisionamento de Dispositivos, consulte o atestado de certificado X.509
- Para saber mais sobre como fazer a comprovação de posse para certificados X.509 de Autoridade de Certificação (CA) com o Serviço de Provisionamento de Dispositivos do Hub IoT do Azure, veja Como verificar certificados da Autoridade de Certificação X.509 com seu Serviço de Provisionamento de Dispositivos
- Para saber mais sobre como usar o portal para criar um grupo de registro, consulte Gerenciar registros de dispositivo no portal do Azure.