مصادقة الجهاز باستخدام شهادات X.509 CA

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

توضح هذه المقالة كيفية استخدام شهادات المرجع المصدق X.509 (CA) لمصادقة الأجهزة المتصلة بمركز إنترنت الأشياء. في هذه المقالة سوف تتعلم:

• كيفية الحصول على شهادة X.509 CA
• كيفية تسجيل شهادة X.509 CA في IoT Hub
• كيفية توقيع الأجهزة باستخدام شهادات X.509 CA
• كيفية مصادقة الأجهزة الموقعة باستخدام X.509 CA

هام

لا تتوفر الوظائف التالية للأجهزة التي تستخدم مصادقة المرجع المصدق X.509 (CA) بشكل عام بعد، ويجب تمكين وضع المعاينة:

• HTTPS و MQTT عبر WebSockets و AMQP عبر بروتوكولات WebSockets.
• تحميل الملفات (جميع البروتوكولات).

وهي متوفرة بشكل عام على الأجهزة التي تستخدم مصادقة بصمة الإبهام X.509. لمعرفة المزيد حول مصادقة X.509 باستخدام IoT Hub، راجع شهادات X.509 المدعومة.

نظرة عامة

تتيح ميزة X.509 CA مصادقة الجهاز إلى IoT Hub باستخدام مرجع مصدق (CA). إنه يبسط إلى حد كبير عملية تسجيل الجهاز الأولية ، والخدمات اللوجستية لسلسلة التوريد أثناء تصنيع الجهاز. تعرف على المزيد في مقالة السيناريو هذه حول قيمة استخدام شهادات X.509 CA لمصادقة الجهاز. نحن نشجعك على قراءة مقالة السيناريو هذه قبل المتابعة لأنها تشرح سبب وجود الخطوات التالية.

المتطلب الأساسي

يتطلب استخدام ميزة X.509 CA أن يكون لديك حساب IoT Hub. تعرف على كيفية إنشاء مثيل IoT Hub إذا لم يكن لديك مثيل بالفعل.

كيفية الحصول على شهادة X.509 CA

توجد شهادة X.509 CA في الجزء العلوي من سلسلة الشهادات لكل جهاز من أجهزتك. يمكنك شراء أو إنشاء واحدة اعتمادا على الطريقة التي تنوي استخدامها.

بالنسبة لبيئة الإنتاج، نوصي بشراء شهادة X.509 CA من مرجع مصدق جذر عام. يتمتع شراء شهادة CA بميزة CA الجذر الذي يعمل كطرف ثالث موثوق به لضمان شرعية أجهزتك. ضع في اعتبارك هذا الخيار إذا كنت تنوي أن تكون أجهزتك جزءا من شبكة إنترنت الأشياء المفتوحة حيث يتوقع منها التفاعل مع منتجات أو خدمات الجهات الخارجية.

يمكنك أيضا إنشاء X.509 CA موقع ذاتيا للتجريب أو للاستخدام في شبكات إنترنت الأشياء المغلقة.

بغض النظر عن كيفية حصولك على شهادة X.509 CA الخاصة بك، تأكد من الحفاظ على سرية المفتاح الخاص المقابل لها وحمايتها في جميع الأوقات. هذا ضروري لبناء الثقة في مصادقة X.509 CA.

تعرف على كيفية إنشاء شهادة CA موقعة ذاتيا، والتي يمكنك استخدامها للتجريب في وصف الميزة هذا.

توقيع الأجهزة في سلسلة شهادات الثقة

يمكن لمالك شهادة X.509 CA التوقيع بشكل مشفر على مرجع مصدق وسيط يمكنه بدوره توقيع مرجع مصدق وسيط آخر، وما إلى ذلك، حتى ينهي المرجع المصدق الوسيط الأخير هذه العملية عن طريق توقيع جهاز. والنتيجة هي سلسلة متتالية من الشهادات تعرف باسم سلسلة شهادات الثقة. في الحياة الواقعية ، يلعب هذا كتفويض للثقة نحو أجهزة التوقيع. هذا التفويض مهم لأنه ينشئ سلسلة وصاية متغيرة بشكل مشفر ويتجنب مشاركة مفاتيح التوقيع.

يجب أن تحتوي شهادة الجهاز (وتسمى أيضا شهادة ورقة) على تعيين اسم الموضوع إلى معرف الجهاز (CN=deviceId) الذي تم استخدامه عند تسجيل جهاز إنترنت الأشياء في Azure IoT Hub. هذا الإعداد مطلوب للمصادقة.

تعرف هنا على كيفية إنشاء سلسلة شهادات كما هو الحال عند توقيع الأجهزة.

كيفية تسجيل شهادة X.509 CA في IoT Hub

سجل شهادة X.509 CA الخاصة بك في IoT Hub حيث سيتم استخدامها لمصادقة أجهزتك أثناء التسجيل والاتصال. تسجيل شهادة X.509 CA هو عملية من خطوتين تشمل تحميل ملف الشهادة وإثبات الحيازة.

تتضمن عملية التحميل تحميل ملف يحتوي على شهادتك. يجب ألا يحتوي هذا الملف أبدا على أي مفاتيح خاصة.

تتضمن خطوة إثبات الحيازة تحديا واستجابة للتشفير بينك وبين IoT Hub. نظرا لأن محتويات الشهادة الرقمية عامة وبالتالي فهي عرضة للتنصت ، يود IoT Hub التأكد من أنك تمتلك بالفعل شهادة CA. يجب أن تفعل ذلك عن طريق إنشاء تحد عشوائي يجب عليك توقيعه باستخدام المفتاح الخاص المقابل لشهادة CA. إذا حافظت على سرية المفتاح الخاص وحمايته كما نصحت به سابقا ، فستمتلك أنت وحدك المعرفة اللازمة لإكمال هذه الخطوة. سرية المفاتيح الخاصة هي مصدر الثقة في هذه الطريقة. بعد التوقيع على التحدي، أكمل هذه الخطوة عن طريق تحميل ملف يحتوي على النتائج.

تعرف هنا على كيفية تسجيل شهادة CA الخاصة بك

كيفية إنشاء جهاز على IoT Hub

لمنع انتحال شخصية الجهاز، يتطلب منك IoT Hub السماح له بمعرفة الأجهزة التي يمكن توقعها. يمكنك القيام بذلك عن طريق إنشاء إدخال جهاز في سجل جهاز IoT Hub. تتم هذه العملية تلقائيا عند استخدام خدمة توفير أجهزة IoT Hub.

تعرف هنا على كيفية إنشاء جهاز يدويا في IoT Hub.

إنشاء جهاز X.509 لمركز إنترنت الأشياء الخاص بك

مصادقة الأجهزة الموقعة بشهادات X.509 CA

مع تسجيل شهادة X.509 CA وتسجيل الأجهزة في سلسلة شهادات ثقة، يبقى الأمر هو مصادقة الجهاز عند اتصال الجهاز، حتى لأول مرة. عند اتصال جهاز موقع من المرجع المصدق X.509، يقوم بتحميل سلسلة الشهادات الخاصة به للتحقق من صحتها. تتضمن السلسلة جميع شهادات CA والجهاز الوسيطة. باستخدام هذه المعلومات، يقوم IoT Hub بمصادقة الجهاز في عملية من خطوتين. يقوم IoT Hub بالتحقق من صحة سلسلة الشهادات بشكل مشفر من أجل الاتساق الداخلي ، ثم يصدر تحديا لإثبات الحيازة للجهاز. يعلن IoT Hub أن الجهاز أصلي بناء على استجابة ناجحة لإثبات الحيازة من الجهاز. يفترض هذا الإعلان أن المفتاح الخاص للجهاز محمي وأن الجهاز فقط هو الذي يمكنه الاستجابة بنجاح لهذا التحدي. نوصي باستخدام رقائق آمنة مثل وحدات الأجهزة الآمنة (HSM) في الأجهزة لحماية المفاتيح الخاصة.

يكمل اتصال الجهاز الناجح ب IoT Hub عملية المصادقة وهو أيضا مؤشر على الإعداد المناسب. في كل مرة يتصل فيها جهاز، يعيد IoT Hub التفاوض على جلسة TLS ويتحقق من شهادة X.509 الخاصة بالجهاز.

تعرف هنا على كيفية إكمال خطوة اتصال الجهاز هذه.

الخطوات التالية

تعرف على قيمة مصادقة X.509 CA في إنترنت الأشياء.

ابدأ استخدام خدمة توفير أجهزة IoT Hub.