فهم كيفية استخدام Azure IoT Edge للشهادات

  • مقالة
  • قراءة خلال 9 دقائق

ينطبق على:yes icon IoT Edge 1.1 إصدارات أخرى:IoT Edge 1.2

ينطبق على:yes icon IoT Edge 1.2 إصدارات أخرى:IoT Edge 1.1

يتم استخدام شهادات IoT Edge بواسطة الوحدات النمطية وأجهزة إنترنت الأشياء النهائية للتحقق من هوية وحدة وقت تشغيل مركز IoT Edge وشرعيتها. تمكن عمليات التحقق هذه اتصال آمن خاص بأمان طبقة النقل بين وقت التشغيل والوحدات النمطية وأجهزة IoT. مثل مركز IoT نفسه، يتطلب IoT Edge اتصالاً آمنًا ومشفرة من أجهزة IoT في المصب (أو الورقة) والوحدات النمطية لـIoT Edge. لتأسيس اتصال مان طبقة النقل آمنة الوحدة النمطية لمركز IoT Edge يقدم سلسلة شهادات الخادم إلى الاتصال العملاء من أجل التحقق من هويتها.

ملاحظة

تتحدث هذه المقالة عن الشهادات المستخدمة لتأمين الاتصالات بين المكونات المختلفة على جهاز IoT Edge أو بين جهاز IoT Edge وأي أجهزة ورقة. يمكنك أيضا استخدام الشهادات لمصادقة جهاز مزود بـ IoT Edge إلى مركز IoT. تختلف شهادات المصادقة هذه، ولا تتم مناقشتها في هذه المقالة. لمزيد من المعلومات حول مصادقة جهازك باستخدام الشهادات، راجع إنشاء جهاز IoT Edge وتوفيره باستخدام شهادات X.509.

توضح هذه المقالة كيفية عمل شهادات IoT Edge في سيناريوهات الإنتاج والتطوير والاختبار.

التغييرات في الإصدار 1.2

  • تمت إعادة تسمية شهادة CA للجهاز باسم شهادة CA الحافة.
  • تم إهمال شهادة CA عبء العمل . الآن يقوم مدير أمان IoT Edge بإنشاء شهادة خادم موزع IoT Edge مباشرة من شهادة CA edge ، بدون شهادة CA لعبء العمل المتوسط بينهما.

شهادات IoT Edge

هناك سيناريوهين شائعين لإعداد الشهادات على جهاز مزود بـIoT Edge. في بعض الأحيان يقوم المستخدم النهائي، أو عامل التشغيل، لجهاز بشراء جهاز عام تم تصنيعه من قبل الشركة المصنعة ثم يقوم بالإدارة الخاصة بالشهادات بنفسه. وفي أوقات أخرى، تعمل الشركة المصنعة بموجب عقد لبنية جهاز مخصص لعامل التشغيل كما تقوم ببعض التوقيع الأولي على الشهادة قبل تسليم الجهاز. يحاول تصميم شهادة IoT Edge أخذ كلا السيناريوهين في الاعتبار داخل الحساب.

يوضح الشكل التالي استخدام شهادات IoT Edge. قد يكون هناك صفر أو واحد أو العديد من شهادات التوقيع المتوسطة بين الشهادة الخاصة بالمرجع المصدق الجذر وشهادة المرجع المصدق للجهاز، اعتمادا على عدد الكيانات المعنية. هنا نقوم بعرض حالة واحدة.

Diagram of typical certificate relationships

ملاحظة

في الوقت الحالي ، يمنع وجود قيود في libiothsm استخدام الشهادات التي تنتهي صلاحيتها في أو بعد 1 يناير 2038. ينطبق هذا القيد على شهادة CA للجهاز، وأي شهادات في حزمة الثقة، وشهادات معرف الجهاز المستخدمة لطرق إدارة حسابات X.509.

Diagram of typical IoT Edge certificate relationships.

هيئة الشهادات

المرجع المصدق أو «CA» اختصارا، هو كيان يعمل على إصدار الشهادات الرقمية. يعمل المرجع المصدق كطرف ثالث موثوق به بين مالك الشهادة ومتلقيها. الشهادة الرقمية مصدقة على ملكية مفتاح عام من قبل المتلقي الشهادة. تعمل السلسلة الخاصة بشهادات الثقة بإصدار شهادة الجذر في البداية، وهي أساس الثقة في كافة الشهادات الصادرة عن السلطة. بعد ذلك ، يمكن للمالك استخدام الشهادة الجذر لإصدار شهادات وسيطة إضافية (شهادات "ورقة").

الشهادة الخاصة بالمرجع المصدق الجذر

الشهادة لخاصة بالمرجع المصدق الجذر هو جذر الثقة في العملية بأكملها. في سيناريوهات الإنتاج، عادة ما يتم شراء شهادة CA هذه من مرجع مصدق تجاري موثوق به مثل Baltimore أو Verisign أو DigiCert. إذا كان لديك عنصر تحكم كامل في الأجهزة المتصلة بأجهزةIoT Edge، فمن الممكن استخدام مرجع شهادة على مستوى الشركة. في كلتا الحالتين ، يتم تشغيل سلسلة الشهادات بأكملها من مركز IoT Edge إلى الأعلى ، لذلك يجب أن تثق أجهزة إنترنت الأشياء الورقية في الشهادة الجذر. يمكنك تخزين الشهادة الخاصة بالمرجع المصدق الجذر إما في مخزن المرجع المصدق الجذر الموثوق به أو توفير تفاصيل الشهادة في التعليمات البرمجية للتطبيق الخاص بك.

شهادات متوسطة

في عملية التصنيع النموذجية الخاصة بإنشاء أجهزة آمنة، نادرا ما يتم استخدام شهادات CA الجذرية مباشرة، ويرجع ذلك في المقام الأول إلى خطر التسرب أو التعرض. إنشاء الشهادة الخاصة بالمرجع المصدق الجذر وتوقيع رقميا واحد أو أكثر من شهادات CA المتوسطة. قد يكون هناك واحد فقط ، أو قد تكون هناك سلسلة من هذه الشهادات المتوسطة. تحتوي السيناريوهات التي تتطلب سلسلة من الشهادات المتوسطة:

  • تدرج هرمي للأقسام داخل الشركة المصنعة.

  • الشركات المتعددة التي تشارك بشكل متسلسل في إنتاج جهاز.

  • العميل الشراء الخاصة بالمرجع المصدق الجذر واشتقاق شهادة توقيع للشركة المصنعة لتوقيع الأجهزة التي يقومون بها نيابة عن ذلك العميل.

على أي حال، تستخدم الشركة المصنعة شهادة CA وسيطة في نهاية هذه السلسلة للتوقيع على شهادة CA الطرفية الموضوعة على الجهاز النهائي. وبشكل عام، تخضع هذه الشهادات الوسيطة لحراسة مشددة في المصنع. يخضعون لعمليات صارمة، سواء مادية وإلكترونية لاستخدامهم.

شهادة المرجع المصدق الخاصة بالجهاز

يتم إنشاء شهادة المرجع المصدق الخاصة بالجهاز من توقيع شهادة CA المتوسطة النهائية في العملية. يتم تثبيت هذه الشهادة على جهاز IoT Edge نفسه، ويفضل أن تكون في التخزين الآمن، مثل وحدة أمان الأجهزة. بالإضافة إلى ذلك، شهادة المرجع المصدق الخاة بجهاز تعريف جهاز مزود بـIoT Edge بشكل فريد. يمكن لشهادة CA للجهاز توقيع شهادات أخرى.

IoT حافة حمل العمل الخاص بـ CA

يقوم مدير أمان IoT Edge بإنشاء شهادة CA لعبء العمل ، وهي الأولى على جانب "المشغل" من العملية ، عند بدء تشغيل IoT Edge لأول مرة. يتم إنشاء هذه الشهادة من شهادة CA للجهاز وتوقيعها. هذه الشهادة، التي هي مجرد شهادة توقيع وسيطة أخرى، يتم استخدامها لإنشاء وتوقيع أية شهادات أخرى يستخدمها وقت تشغيل IoT Edge. اليوم، وهذا هو في المقام الأول شهادة خادم موزع IoT Edge مناقشتها في المقطع التالي، ولكن في المستقبل قد تتضمن شهادات أخرى لمصادقة مكونات IoT Edge.

الغرض من هذه الشهادة الوسيطة "عبء العمل" هو فصل المخاوف بين الشركة المصنعة للجهاز ومشغل الجهاز. تخيل سيناريو حيث يتم بيع جهاز IoT Edge أو نقله من عميل إلى آخر. قد ترغب في أن تكون شهادة المرجع المصدق الخاصة بالجهاز التي تقدمها الشركة المصنعة غير قابلة للتغيير. ومع ذلك، يجب مسح شهادات «حمل العمل» الخاصة بتشغيل الجهاز وإعادة إنشائها للتوزيع الجديد.

شهادة Edge CA

يتم إنشاء شهادة CA الحافة من شهادة CA المتوسطة النهائية وتوقيعها في هذه العملية. يتم تثبيت هذه الشهادة على جهاز IoT Edge نفسه، ويفضل أن تكون في التخزين الآمن، مثل وحدة أمان الأجهزة. بالإضافة إلى ذلك، تحدد شهادة CA edge بشكل فريد جهاز IoT Edge. يمكن لشهادة المرجع المصدق للحافة توقيع شهادات أخرى.

شهادة خدام مركز IoT Edge

شهادة خادم مركز IoT Edge هي الشهادة الفعلية المقدمة للأجهزة عقدة طرفية والوحدات النمطية للتحقق من الهوية أثناء إنشاء اتصال TLS المطلوب من قبل IoT Edge. تقدم هذه الشهادة السلسلة الكاملة من شهادات التوقيع المستخدمة لإنشاء حتى شهادة المرجع المصدق الجذر، والتي يجب أن يثق جهاز IoT العقدة الطرفية. عند الإنشاء بواسطة IoT Edge، يتم تعيين الاسم الشائع لشهادة مركز IoT Edge هذه على خاصية «اسم المضيف» في ملف التكوين بعد التحويل إلى أحرف صغيرة.

تلميح

نظرا لأن شهادة خادم موزع IoT Edge تستخدم خاصية اسم المضيف للجهاز كاسم شائع لها، يجب ألا تستخدم أي شهادات أخرى في السلسلة نفس الاسم الشائع.

يقوم مدير أمان IoT Edge بإنشاء شهادة IoT Edge hub ، وهي الأولى على جانب "المشغل" من العملية ، عند بدء تشغيل IoT Edge لأول مرة. يتم إنشاء هذه الشهادة من شهادة المرجع المصدق الطرفي وتوقيعها بواسطتها.

الآثار المترتبة على عملية الإنتاج

نظرا لفصل العمليات الخاصة بالتصنيع والتشغيل، ضع في اعتبارك الآثار التالية عند إعداد أجهزة الإنتاج:

  • عند تنفيذ عملية تستند إلى شهادة، يجب تأمين شهادة المرجع المصدق الجذر وكافة شهادات CA المتوسطة ومراقبتها أثناء العملية بأكملها من طرح جهاز IoT Edge. يجب أن تمتلك الشركة المصنعة للجهاز IoT Edge عمليات قوية في مكانها للتخزين والاستخدام المناسبين للشهادات الوسيطة الخاصة بها. بالإضافة إلى ذلك، يجب الاحتفاظ بشهادة المرجع المصدق الجهاز في تخزين آمن قدر الإمكان على الجهاز نفسه، ويفضل أن تكون وحدة نمطية أمان الأجهزة.

  • يتم تقديم شهادة خادم مركز IoT Edge بواسطة مركز IoT Edge إلى أجهزة العميل المتصلة والوحدات النمطية. يجب ألا يكون الاسم الشائع (CN) لشهادة CA للجهاز هو نفسه "اسم المضيف" الذي سيتم استخدامه في ملف التكوين على جهاز IoT Edge. لا يمكن أن يكون الاسم الذي يستخدمه العملاء للاتصال ب IoT Edge (على سبيل المثال، عبر معلمة GatewayHostName الخاصة بسلسلة الاتصال أو الأمر CONNECT في MQTT) هو نفسه الاسم الشائع المستخدم في شهادة CA للجهاز. يرجع هذا التقييد إلى تقديم مركز IoT Edge سلسلة الشهادات بأكملها للتحقق من قبل العملاء. إذا كان لدى شهادة خادم مركز IoT Edge وشهادة المرجع المصدق للجهاز نفس الاسم الشائع، تحصل في حلقة تحقق وتبطل الشهادة.

  • لأنه يتم استخدام شهادة المرجع المصدق الخاصة بالجهاز من قبل برنامج الأمان IoT Edge لإنشاء شهادات IoT Edge النهائية، يجب أن يكون شهادة توقيع، بمعنى أنه يحتوي على قدرات توقيع الشهادة. يؤدي تطبيق «قيود V3 Basic CA: True» على شهادة CA للجهاز إلى إعداد خصائص استخدام المفتاح المطلوبة تلقائيًا.

  • عند تنفيذ عملية تستند إلى شهادة، يجب تأمين شهادة المرجع المصدق الجذر وكافة شهادات CA المتوسطة ومراقبتها أثناء العملية بأكملها من طرح جهاز IoT Edge. يجب أن تمتلك الشركة المصنعة للجهاز IoT Edge عمليات قوية في مكانها للتخزين والاستخدام المناسبين للشهادات الوسيطة الخاصة بها. بالإضافة إلى ذلك ، يجب الاحتفاظ بشهادة CA edge في تخزين آمن قدر الإمكان على الجهاز نفسه ، ويفضل أن تكون وحدة أمان الأجهزة.

  • يتم تقديم شهادة خادم مركز IoT Edge بواسطة مركز IoT Edge إلى أجهزة العميل المتصلة والوحدات النمطية. يجب ألا يكون الاسم الشائع (CN) لشهادة المرجع المصدق للحافة هو نفسه "اسم المضيف" الذي سيتم استخدامه في ملف التكوين على جهاز IoT Edge. لا يمكن أن يكون الاسم المستخدم من قبل العملاء للاتصال ب IoT Edge (على سبيل المثال، عبر معلمة GatewayHostName الخاصة بسلسلة الاتصال أو الأمر CONNECT في MQTT) هو نفسه الاسم الشائع المستخدم في شهادة CA الطرفية. يرجع هذا التقييد إلى تقديم مركز IoT Edge سلسلة الشهادات بأكملها للتحقق من قبل العملاء. إذا كانت شهادة خادم موزع IoT Edge وشهادة المرجع المصدق للحافة لهما نفس CN، فستحصل على حلقة تحقق وتبطل الشهادة.

  • نظرا لأن شهادة CA Edge يتم استخدامها بواسطة خفي أمان IoT Edge لإنشاء شهادات IoT Edge النهائية ، فيجب أن تكون في حد ذاتها شهادة توقيع ، مما يعني أن لديها قدرات توقيع الشهادة. تطبيق "V3 القيود الأساسية CA:True" على شهادة CA حافة تلقائيا بإعداد خصائص استخدام المفاتيح المطلوبة.

الآثار المترتبة على عملية التطوير/الاختبار

لتسهيل سيناريوهات التطوير والاختبار، توفر Microsoft مجموعة من البرامج النصية الملائمة لإنشاء شهادات غير إنتاجية مناسبة ل IoT Edge في سيناريو البوابة الشفافة. للحصول على أمثلة حول كيفية عمل البرامج النصية، راجع إنشاء شهادات تجريبية لاختبار ميزات جهاز IoT Edge.

تلميح

لتوصيل أجهزة وتطبيقات إنترنت الأشياء "الورقية" الخاصة بجهازك والتي تستخدم SDK لجهاز إنترنت الأشياء الخاص بنا من خلال IoT Edge، يجب إضافة معلمة GatewayHostName الاختيارية إلى نهاية سلسلة اتصال الجهاز. عند إنشاء شهادة خادم موزع IoT Edge ، فإنها تستند إلى إصدار صغير من اسم المضيف من ملف التكوين ، لذلك ، لكي تتطابق الأسماء وينجح التحقق من شهادة TLS ، يجب عليك إدخال معلمة GatewayHostName بأحرف صغيرة.

مثال على تدرج هرمي لشهادات IoT Edge

لتوضيح مثال المسار الخاص بالشهادة هذا، تكون لقطة الشاشة التالية من جهاز IoT Edge يعمل تم إعداده كبوابة شفافة. يتم استخدام OpenSSL للاتصال بمركز IoT Edge والتحقق من صحة الشهادات وتفريغ الأعطال منها.

Screenshot of the certificate hierarchy at each level

يمكنك مشاهدة التدرج الهرمي الخاص بعمق الشهادة الممثل في لقطة الشاشة:

نوع الشهادة اسم الشهادة
الشهادة الخاصة بالمرجع المصدق الجذر اختبار شهادة Azure IoT Hub فقط
شهادة CA المتوسطة Azure IoT Hub Intermediate Cert Test Only
شهادة CA للجهاز iotgateway.ca (تم تمرير "iotgateway" كاسم شهادة CA إلى البرامج النصية المريحة)
شهادة المرجع المصدق لحمل العمل iotedge عبء العمل كاليفورنيا
شهادة خادم IoT Edge Hub iotedgegw.local (يطابق "اسم المضيف" من ملف التكوين)

Screenshot of the certificate hierarchy at each level

يمكنك مشاهدة التدرج الهرمي الخاص بعمق الشهادة الممثل في لقطة الشاشة:

نوع الشهادة اسم الشهادة
الشهادة الخاصة بالمرجع المصدق الجذر اختبار شهادة Azure IoT Hub فقط
شهادة CA المتوسطة Azure IoT Hub Intermediate Cert Test Only
شهادة Edge CA iotgateway.ca (تم تمرير "iotgateway" كاسم شهادة CA إلى البرامج النصية المريحة)
شهادة خادم IoT Edge Hub iotedgegw.local (يطابق "اسم المضيف" من ملف التكوين)

الخطوات التالية