مصادقة شهادة X.509

  • مقالة
  • قراءة خلال 5 دقائق

تقدم هذه المقالة نظرة عامة على مفاهيم خدمة توفير الأجهزة (DPS) المتضمنة عند توفير الأجهزة باستخدام شهادة X.509. هذه المقالة ذات صلة بجميع الشخصيات المشاركة في إعداد جهاز للنشر.

يمكن تخزين شهادات X.509 في وحدة أمان الأجهزة HSM.

تلميح

نوصي بشدة باستخدام وحدة نمطية لأمان الأجهزة مع أجهزة لتخزين الأسرار بشكل آمن، مثل شهادة X.509، على أجهزتك قيد الإنتاج.

شَهادات X.509

يعد استخدام شهادات X.509 كآلية إثبات طريقة ممتازة لتوسيع نطاق الإنتاج وتبسيط تزويد الأجهزة. عادةً ما يتم ترتيب شهادات X.509 في سلسلة شهادات موثوقة يتم فيها توقيع كل شهادة في السلسلة بواسطة المفتاح الخاص للشهادة الأعلى التالية، ومن ثم، تنتهي بشهادة جذر موقعة ذاتيا. ينشئ هذا الترتيب سلسلة ثقة مفوَّضة من الشهادة الجذر التي تم إنشاؤها بواسطة مرجع مصدق جذر موثوق (CA) وصولاً إلى كل مرجع مصدق وسيط إلى شهادة "طرفية" للكيان النهائي مثبتة على الجهاز. لمعرفة المزيد، راجع مصادقة الجهاز باستخدام شهادات X.509 CA.

غالبًا ما تمثل سلسلة الشهادات بعض التسلسل الهرمي المنطقي أو المادي المرتبط بالأجهزة. على سبيل المثال، يجوز للشركة المصنعة:

  • إصدار شهادة CA جذر موقعة ذاتيا
  • استخدام شهادة الجذر لإنشاء شهادة CA وسيطة فريدة لكل مصنع
  • استخدام شهادة كل مصنع لإنشاء شهادة CA وسيطة فريدة لكل خط إنتاج في المصنع
  • وأخيرا استخدم شهادة خط الإنتاج ، لإنشاء شهادة جهاز فريد (كيان نهائي) لكل جهاز يتم تصنيعه على الخط.

لمعرفة المزيد، راجع الفهم المفاهيمي لشهادات X.509 CA في صناعة إنترنت الأشياء.

شهادة الجذر

الشهادة الجذر هي شهادة X.509 موقعة ذاتيا تمثّل مرجع مصدق (CA). وهي نهاية أو كيان الثقة لسلسلة الشهادات. من الممكن إصدار الشهادات الجذرية ذاتيا من قبل مؤسسة أو شراؤها من مرجع شهادة الجذر. لمعرفة المزيد، راجع الحصول على شهادات المرجع المصدق X.509. يُمكن أيضا الإشارة إلى الشهادة الجذر كشهادة المرجع المصدق الجذر.

شهادة وسيطة

الشهادة الوسيطة هي شهادة X.509، التي تم توقيعها بواسطة الشهادة الجذر (أو بواسطة شهادة وسيطة أخرى مع الشهادة الجذر في السلسلة الخاصة بها). يتم استخدام الشهادة الوسيطة الأخيرة في سلسلة لتوقيع الشهادة طرفية. يمكن أيضا الإشارة إلى شهادة وسيطة كشهادة مرجع مصدق وسيط.

لماذا تعتبر الشهادات الوسيطة مفيدة؟

تستخدم الشهادات المتوسطة بطرق متنوعة. على سبيل المثال، يمكن استخدام الشهادات الوسيطة لتجميع الأجهزة حسب خطوط الإنتاج أو العملاء الذين يشترون الأجهزة أو أقسام الشركة أو المصانع.

تخيل أن Contoso هي شركة كبيرة لها بنية تحتية خاصة بها للمفتاح العام (PKI) باستخدام شهادة الجذر المسماة ContosoRootCert. كل شركة تابعة لشركة Contoso لديها شهادة وسيطة خاصة بها موقعة من قبل ContosoRootCert. ستستخدم كل شركة تابعة بعد ذلك شهادتها الوسيطة لتوقيع شهادات الأوراق الخاصة بها لكل جهاز. في هذا السيناريو، يمكن ل Contoso استخدام مثيل DPS واحد حيث تم التحقق من ContosoRootCert مع إثبات الملكية. يمكن أن يكون لديهم مجموعة تسجيل لكل شركة تابعة. وبهذه الطريقة لن تقلق كل شركة تابعة فردية بشأن التحقق من الشهادات.

شهادة "طرفيّة" للكيان النهائي

تقوم الشهادة الطرفية أو شهادة الكيان النهائي بتعريف صاحب الشهادة. لديها شهادة الجذر في سلسلة الشهادات الخاصة بها بالإضافة إلى صفر أو أكثر من الشهادات المتوسطة. لا تُستخدم الشهادة طرفية لتوقيع أية شهادات أخرى. وهي تحدد الجهاز بشكل فريد لخدمة التزويد ويشار إليها أحيانا باسم شهادة الجهاز. أثناء المصادقة، يستخدم الجهاز المفتاح الخاص المقترن بهذه الشهادة للرد على تحدّي إثبات الحيازة من الخدمة.

يجب أن تحتوي الشهادات الورقية المستخدمة مع إدخالات التسجيل الفردي أو مجموعة التسجيل على تعيين الاسم الشائع للشهادة (CN) إلى معرف التسجيل . يحدد معرف التسجيل تسجيل الجهاز باستخدام DPS ويجب أن يكون فريدا لمثيل DPS (نطاق المعرف) حيث يسجل الجهاز. معرف التسجيل عبارة عن سلسلة غير حساسة لحالة الأحرف (يصل طولها إلى 128 حرفا) من الأحرف الأبجدية الرقمية بالإضافة إلى الأحرف الخاصة: '-'، ، ، ، '_''.'':'. يجب أن يكون الحرف الأخير أبجديا رقميا أو شرطة ('-').

بالنسبة لمجموعات التسجيل، يقوم الاسم الشائع للشهادة (CN) أيضا بتعيين معرف الجهاز المسجل في IoT Hub. سيتم عرض معرف الجهاز في سجلات التسجيل للجهاز الذي تمت مصادقته في مجموعة التسجيل . بالنسبة للتسجيلات الفردية، يمكن تعيين معرف الجهاز في إدخال التسجيل. إذا لم يتم تعيينه في إدخال التسجيل، استخدام الاسم الشائع للشهادة (CN).

لمعرفة المزيد، راجع مصادقة الأجهزة الموقعة بشهادات X.509 CA.

التّحكم في وصول الجهاز إلى خدمة التزويد بشهادات X.509

تعرض خدمة إدارة الحسابات نوعين من أنواع التسجيل التي يمكنك استخدامها للتحكم في الوصول إلى الجهاز باستخدام آلية التصديق X.509:

  • يتم تكوين إدخالات التسجيل الفردية باستخدام شهادة الجهاز المقترنة بجهاز معين. تتحكم هذه الإدخالات في التسجيلات الخاصة بأجهزة معينة.
  • ترتبط إدخالات مجموعة التسجيل بشهادة CA متوسطة أو جذر محددة. تتحكم هذه الإدخالات في عمليات التسجيل لجميع الأجهزة التي تحتوي على تلك الشهادة الوسيطة أو الجذر في سلسلة الشهادات الخاصة بها.

متطلبات سلسلة أجهزة DPS

عندما يحاول جهاز التسجيل من خلال DPS باستخدام مجموعة تسجيل، يجب على الجهاز إرسال سلسلة الشهادات من شهادة الورقة إلى شهادة تم التحقق منها مع إثبات الملكية. خلاف ذلك ، ستفشل المصادقة.

على سبيل المثال، إذا تم التحقق من الشهادة الجذر فقط وتم تحميل شهادة وسيطة إلى مجموعة التسجيل، فيجب أن يعرض الجهاز سلسلة الشهادات من الشهادة الورقية وصولا إلى الشهادة الجذرية التي تم التحقق منها. وستشمل سلسلة الشهادات هذه أي شهادات وسيطة بينهما. ستفشل المصادقة إذا تعذر على DPS اجتياز سلسلة الشهادات إلى شهادة تم التحقق منها.

على سبيل المثال، ضع في اعتبارك شركة تستخدم سلسلة الأجهزة التالية لجهاز.

Example device certificate chain

يتم التحقق من الشهادة الجذر فقط، ويتم تحميل شهادة intermediate2 على مجموعة التسجيل.

Example root verified

إذا كان الجهاز يرسل سلسلة الأجهزة التالية فقط أثناء إدارة الحسابات، فستفشل المصادقة. لأن DPS لا يمكن محاولة المصادقة بافتراض صلاحية شهادة intermediate1

Example failing certificate chain

إذا أرسل الجهاز سلسلة الأجهزة الكاملة على النحو التالي أثناء التوفير، فيمكن ل DPS محاولة مصادقة الجهاز.

Example device certificate chain

ملاحظة

يمكن أيضا التحقق من الشهادات المتوسطة مع إثبات الحيازة.

ترتيب عمليات DPS مع الشهادات

عند اتصال جهاز بخدمة التزويد، تعطي الخدمة الأولوية لإدخالات تسجيل أكثر تحديدا على إدخالات التسجيل الأقل تحديدا. أي، إذا كان التسجيل الفردي للجهاز موجودا، تُطبق خدمة التزويد هذا الإدخال. في حالة عدم وجود تسجيل فردي للجهاز ووجود مجموعة تسجيل لأول شهادة وسيطة في سلسلة شهادات الجهاز، تطبق الخدمة هذا الإدخال، وهكذا، أسفل السلسلة إلى الجذر. تُطبق الخدمة الإدخال الأول القابل للتطبيق الذي تجده، بحيث:

  • إذا تم تمكين إدخال التّسجيل الأول الذي تم العثور عليه، فإن الخدمة تقوم بتزويد الجهاز.
  • إذا تم تعطيل إدخال التسجيل الأول الذي تم العثور عليه، لا تقم الخدمة بتزويد الجهاز.
  • إذا لم يتم العثور على إدخال تسجيل لأي من الشهادات في سلسلة شهادات الجهاز، لا تقم الخدمة بتزويد الجهاز.

توفر هذه الآلية والهيكل الهرمي لسلاسل الشهادات مرونة قوية في كيفية التحكم في الوصول للأجهزة الفردية وكذلك لمجموعات الأجهزة. على سبيل المثال، تخيل خمسة أجهزة مزودة بسلاسل الشهادات التالية:

  • الجهاز 1: شهادة الجذر - الشهادة A ->> شهادة الجهاز 1
  • الجهاز 2: شهادة الجذر - الشهادة A ->> شهادة الجهاز 2
  • الجهاز 3: شهادة الجذر - الشهادة A ->> شهادة الجهاز 3
  • الجهاز 4: شهادة الجذر - الشهادة B ->> شهادة الجهاز 4
  • الجهاز 5: شهادة الجذر - الشهادة B ->> شهادة الجهاز 5

في البداية، من الممكن إنشاء إدخال تسجيل مجموعة ممكن واحد لشهادة الجذر لتمكين الوصول لكافة الأجهزة الخمسة. إذا أصبحت الشهادة B مخترقة لاحقا، فيمكنك إنشاء إدخال مجموعة تسجيل معطل للشهادة B لمنع الجهاز 4والجهاز 5 من التسجيل. إذا أصبح الجهاز 3 مخترقا في وقت لاحق، فيمكنك إنشاء إدخال تسجيل فردي معطل لشهادته. يؤدي ذلك إلى إبطال الوصول إلى الجهاز 3، ولكنه لا يزال يسمح للجهاز 1والجهاز 2 بالتسجيل.