Como verificar certificados de Autoridade Certificadora X.509 com seu serviço de provisionamento de dispositivos

Um certificado de autoridade de certificação (CA) X.509 é um Certificado de Autoridade de Certificação carregado e registrado no seu serviço de provisionamento e, em seguida, verificado automaticamente ou por meio de prova de posse com o serviço.

Os certificados verificados desempenham uma função importante ao usar grupos de registro. Verificar a propriedade do certificado fornece uma camada de segurança extra, garantindo que o carregador do certificado esteja em posse da chave privada do certificado. A verificação impede que um ator mal-intencionado detecte seu tráfego extraindo um certificado intermediário e usando esse certificado para criar um grupo de registro em seu próprio serviço de provisionamento, seqüestrando efetivamente seus dispositivos. Ao comprovar a propriedade do certificado raiz ou de um certificado intermediário em uma cadeia de certificados, você demonstra que tem permissão para gerar certificados folha para os dispositivos que estão se registrando como parte desse grupo de registro. Por esse motivo, o certificado raiz ou intermediário configurado em um grupo de registro deve ser um certificado verificado ou deve ser acumulado em um certificado verificado na cadeia de certificados que um dispositivo apresenta quando se autentica com o serviço. Para saber mais sobre o atestado de certificado X.509, consulte o atestado de certificado X.509.

Pré-requisitos

Antes de começar as etapas deste artigo, tenha os seguintes pré-requisitos preparados:

• Uma instância de DPS criada em sua assinatura do Azure.
• Um arquivo de certificado .pem ou .cer.

Verificação automática de AC intermediária ou raiz por meio de autoatestado

Se você estiver usando uma AC intermediária ou raiz confiável e souber que tem propriedade total do certificado, você poderá autoatestar que verificou esse certificado.

Para adicionar um certificado autoverificado, siga estas etapas:

1. No portal do Azure, navegue até o serviço de provisionamento e selecione Certificados no menu à esquerda.

2. Selecione Adicionar para adicionar um novo certificado.

3. Insira um nome de exibição fácil para o certificado.

4. Navegue até o arquivo .cer ou .pem que representa a parte pública do certificado X.509. Selecione Carregar.

5. Marque a caixa ao lado de Definir status do certificado para verificado no upload.

   

6. Clique em Salvar.

7. Seu certificado é mostrado na guia certificado com um status Verificado.

   

Verificação manual da AC intermediária ou raiz

A verificação automática é recomendada quando você envia novos certificados de Autoridade Certificadora (AC) intermediários ou raiz no DPS. No entanto, você ainda poderá executar a prova de posse se fizer sentido para seu cenário de IoT.

A prova de posse envolve as seguintes etapas:

1. Obtenha um código de verificação exclusivo gerado pelo serviço de provisionamento para seu certificado de AC X.509. Você pode fazer essa etapa no portal do Azure.
2. Crie um certificado de verificação X.509 com o código de verificação como nome do assunto e assine o certificado com a chave privada associada ao certificado de Autoridade de Certificação X.509.
3. Carregue o certificado de verificação assinado no serviço. O serviço valida o certificado de verificação usando a parte pública do certificado de autoridade de certificação a ser verificado, assim, provando que você está em posse da chave privada do certificado de autoridade de certificação.

Registrar a parte pública de um certificado X.509 e obter um código de verificação

Para registrar um certificado de uma autoridade certificadora com seu serviço de provisionamento e obter um código de verificação que você possa usar durante a prova de posse, siga estas etapas.

1. No portal do Azure, navegue até o serviço de provisionamento e abra Certificados no menu à esquerda.

2. Selecione Adicionar para adicionar um novo certificado.

3. Insira um nome de exibição amigável para o certificado no campo Nome do certificado .

4. Selecione o ícone de pasta e navegue até o arquivo .cer ou .pem que representa a parte pública do certificado X.509. Selecione Abrir.

5. Depois de receber uma notificação informando que o certificado foi carregado com êxito, selecione Salvar.

   

   Seu certificado é mostrado na lista do Gerenciador de Certificados . O status desse certificado não é verificado.

6. Selecione no certificado que você adicionou na etapa anterior para abrir seus detalhes.

7. Nos detalhes do certificado, observe que há um campo de código de verificação vazio. Selecione o botão Gerar código de verificação .

   

8. O serviço de provisionamento cria um código de verificação que você pode usar para validar a propriedade do certificado. Copie o código para a área de transferência.

Assinar digitalmente o código de verificação para criar um certificado de verificação

Agora, você precisa assinar o código de verificação do DPS com a chave privada associada ao certificado de autoridade de certificação X.509, que gera uma assinatura. Esta etapa é conhecida como Prova de posse e resulta em um certificado de verificação assinado.

A Microsoft fornece ferramentas e exemplos que podem ajudá-lo a criar um certificado de verificação assinado:

• O SDK C do Hub IoT do Azure fornece scripts de PowerShell (Windows) e Bash (Linux) para ajudá-lo a criar certificados de autoridade de certificação e folha para desenvolver e executar uma prova de posse usando um código de verificação. Você pode baixar os arquivos relevantes para o seu sistema em uma pasta de trabalho e seguir as instruções no arquivo leiame sobre como gerenciar Certificados de Autoridade de Certificação de teste para exemplos e tutoriais para realizar a prova de posse de um Certificado de Autoridade de Certificação.
• O SDK do C# do Hub IoT do Azure contém o exemplo de verificação de certificado de grupo, que você pode usar para fazer prova de posse.

Os scripts do PowerShell e do Bash fornecidos na documentação e os SDKs dependem do OpenSSL. Você também pode usar o OpenSSL ou outras ferramentas que não são da Microsoft para ajudá-lo a fazer prova de posse. Para obter um exemplo usando ferramentas fornecidas com os SDKs, consulte Criar uma cadeia de certificados X.509.

Carregar o certificado de verificação assinado

Carregue a assinatura resultante como um certificado de verificação no serviço de provisionamento no portal do Azure.

1. Nos detalhes do certificado no portal do Azure, de onde você copiou o código de verificação, selecione o ícone de pasta ao lado do campo de arquivo do certificado de verificação .pem ou .cer. Navegue até o certificado de verificação assinado em seu sistema e selecione Abrir.

2. Depois que o certificado for carregado com êxito, selecione Verificar. O status do certificado muda para Verificado na lista Certificados . Selecione Atualizar se ele não for atualizado automaticamente.

Próximas etapas

• Para saber mais sobre como usar o portal para criar um grupo de registro, consulte Gerenciando registros de dispositivo no portal do Azure.
• Para saber mais sobre como usar os SDKs de serviço para criar um grupo de registro, consulte Criar programaticamente um grupo de registro do Serviço de Provisionamento de Dispositivos para atestado de certificado X.509.