Principy, Azure IoT Edge používá certifikáty
Platí pro: 
IoT Edge 1,1 jiných verzí: IoT Edge 1,2
Platí pro: IoT Edge 1,2 jiných verzí: IoT Edge 1,1
IoT Edge certifikáty používají moduly a podřízené zařízení IoT k ověření identity a legitimity modulu runtime IoT Edge Hubu. Tato ověření umožňují zabezpečené připojení TLS (Transport Layer Security) mezi modulem runtime, moduly a zařízeními IoT. Stejně IoT Hub samotných zařízení IoT Edge vyžaduje zabezpečené a šifrované připojení z podřízeného zařízení IoT (nebo typu list) a IoT Edge modulů. Za účelem navázání zabezpečeného připojení TLS představuje modul IoT Edge Hub řetěz certifikátů serveru pro připojující se klienty, aby mohli ověřit svou identitu.
Poznámka
Tento článek se týká certifikátů, které se používají k zabezpečení připojení mezi různými komponentami na zařízení IoT Edge nebo mezi zařízením typu list IoT Edge a libovolnými zařízeními typu list. Certifikáty můžete použít také k ověření vašeho IoT Edge zařízení pro IoT Hub. Tyto ověřovací certifikáty se liší a nejsou popsány v tomto článku. Další informace o ověřování zařízení pomocí certifikátů najdete v tématu Vytvoření a zřízení IoT Edge zařízení pomocí certifikátů X.509.
Tento článek vysvětluje, IoT Edge mohou fungovat v produkčních, vývojových a testovacích scénářích.
Změny ve verzi 1.2
- Certifikát certifikační autority zařízení byl přejmenován na certifikát hraniční certifikační autority.
- Certifikát certifikační autority úlohy byl zastaralý. Teď správce IoT Edge zabezpečení vygeneruje certifikát IoT Edge hub server přímo z certifikátu certifikační autority edge bez certifikátu ca zprostředkující úlohy mezi nimi.
Certifikáty IoT Edge
Existují dva běžné scénáře pro nastavení certifikátů na IoT Edge zařízení. Někdy koncový uživatel nebo operátor zařízení zakoupí obecné zařízení, které výrobce provedl, a pak certifikáty spravuje sám. V jiných případech výrobce pracuje ve smlouvě, aby pro operátora sestaví vlastní zařízení a před předáním zařízení podepisuje nějaký počáteční certifikát. Návrh IoT Edge se pokusí vzít v úvahu oba scénáře.
Následující obrázek znázorňuje IoT Edge používání certifikátů. Mezi certifikátem kořenové certifikační autority a certifikátem CA zařízení může být nula, jeden nebo více zprostředkujících podpisových certifikátů v závislosti na počtu zapojených entit. Tady si ukážeme jeden případ.
Poznámka
V současné době platí omezení li zabraňují použití certifikátů, které vyprší 1. ledna 2038 nebo po tomto vypršení. Toto omezení platí pro certifikát certifikační autority zařízení, všechny certifikáty ve sadě důvěryhodných certifikátů a certifikáty ID zařízení používané pro metody zřizování X.509.
Certifikační autorita
Certifikační autorita (zkráceně CA) je entita, která vydává digitální certifikáty. Certifikační autorita funguje jako důvěryhodná třetí strana mezi vlastníkem a příjemcem certifikátu. Digitální certifikát certifikuje vlastnictví veřejného klíče příjemcem certifikátu. Řetěz certifikátů funguje tak, že nejprve vydá kořenový certifikát, což je základ pro vztah důvěryhodnosti ve všech certifikátech vydaných autoritou. Potom může vlastník použít kořenový certifikát k vydání dalších zprostředkujících certifikátů (listových certifikátů).
Certifikát kořenové certifikační autority
Kořenový certifikát certifikační autority je důvěryhodným kořenem celého procesu. V produkčních scénářích se tento certifikát certifikační autority obvykle kupuje od důvěryhodné komerční certifikační autority, jako je Baltimore, Verisign nebo DigiCert. Pokud máte úplnou kontrolu nad zařízeními, která se připojují k IoT Edge, je možné použít certifikační autoritu na podnikové úrovni. V obou událostech se do IoT Edge celého řetězu certifikátů z centra IoT Edge, takže zařízení IoT typu list musí důvěřovat kořenovému certifikátu. Kořenový certifikát certifikační autority můžete uložit buď do úložiště důvěryhodné kořenové certifikační autority, nebo zadat podrobnosti o certifikátu v kódu aplikace.
Zprostředkující certifikáty
V typickém výrobním procesu pro vytváření zabezpečených zařízení se certifikáty kořenové certifikační autority používají zřídka přímo, především kvůli riziku úniku nebo vystavení. Kořenový certifikát certifikační autority vytvoří a digitálně podepíše jeden nebo více certifikátů zprostředkující certifikační autority. Může tam být jenom jeden nebo řetěz těchto zprostředkujících certifikátů. Mezi scénáře, které by vyžadovaly řetěz zprostředkujících certifikátů, patří:
Hierarchie oddělení v rámci výrobce.
Více společností zapojených sériově do produkce zařízení.
Zákazník, který si koupí kořenovou certifikační autoritu a odvozuje podpisový certifikát pro výrobce, aby podepisovat zařízení, která tento zákazník podepíše jménem tohoto zákazníka.
V každém případě používá výrobce certifikát zprostředkující certifikační autority na konci tohoto řetězce k podepsání certifikátu CA zařízení umístěného na koncovém zařízení. Tyto zprostředkující certifikáty jsou obecně pečlivě strážené ve výrobní závodě. Procházejí striktními procesy, fyzickými i elektronickými pro jejich použití.
Certifikát certifikační autority zařízení
Certifikát certifikační autority zařízení se v procesu vygeneruje a podepíše konečným certifikátem zprostředkující certifikační autority. Tento certifikát je nainstalovaný na samotném IoT Edge, ideálně v zabezpečeném úložišti, jako je modul hardwarového zabezpečení (HSM). Certifikát certifikační autority zařízení navíc jedinečně identifikuje IoT Edge zařízení. Certifikát certifikační autority zařízení může podepisovat další certifikáty.
Certifikační IoT Edge úlohy
Správce IoT Edge vygeneruje certifikát certifikační autority úlohy, první na straně operátora procesu při prvním spuštění IoT Edge spuštění. Tento certifikát je vygenerován a podepsán certifikátem certifikační autority zařízení. Tento certifikát, což je jenom další zprostředkující podpisový certifikát, se používá ke generování a podepisování všech ostatních certifikátů používaných IoT Edge runtime. V současné době to je primárně IoT Edge hub server certifikát probíraný v následující části, ale v budoucnu může zahrnovat další certifikáty pro ověřování IoT Edge komponent.
Účelem tohoto zprostředkujícího certifikátu "zatížení" je oddělit obavy mezi výrobcem zařízení a operátorem zařízení. Imagine scénář, kdy se IoT Edge zařízení prodává nebo převádí od jednoho zákazníka k jinému. Pravděpodobně budete chtít, aby certifikát certifikační autority zařízení od výrobce byl neměnný. Certifikáty "úloh" specifické pro provoz zařízení by se ale měly vymazat a znovu vytvořit pro nové nasazení.
Certifikát certifikační autority Edge
Certifikát hraniční certifikační autority se v procesu vygeneruje a podepíše konečným certifikátem zprostředkující certifikační autority. Tento certifikát je nainstalovaný na samotném IoT Edge, ideálně v zabezpečeném úložišti, jako je modul hardwarového zabezpečení (HSM). Kromě toho certifikát certifikační autority edge jedinečně identifikuje IoT Edge zařízení. Certifikát hraniční certifikační autority může podepisovat další certifikáty.
IoT Edge hub server certifikátu
Certifikát IoT Edge hub server je skutečný certifikát, který se prezentuje zařízením typu list a modulům pro ověření identity během vytváření připojení TLS vyžadovaných IoT Edge. Tento certifikát představuje úplný řetěz podpisových certifikátů používaných k jeho vygenerování až do kořenového certifikátu CERTIFIKAČNÍ autority, kterému musí zařízení IoT typu list důvěřovat. Při generování IoT Edge se běžný název (CN) tohoto certifikátu centra IoT Edge po převodu na malá písmena nastaví v konfiguračním souboru na vlastnost hostname.
Tip
Vzhledem k IoT Edge hub server používá vlastnost názvu hostitele zařízení jako běžný název, neměly by žádné jiné certifikáty v řetězci používat stejný běžný název.
Správce IoT Edge zabezpečení vygeneruje certifikát centra IoT Edge, první na straně "operátoru" procesu při prvním IoT Edge spuštění. Tento certifikát se vygeneruje z certifikátu certifikační autority Edge a podepíše ho.
Produkční důsledky
Vzhledem k tomu, že jsou výrobní a provozní procesy oddělené, zvažte při přípravě produkčních zařízení následující důsledky:
Při jakémkoli procesu založeném na certifikátech by certifikát kořenové certifikační autority a všechny zprostředkující certifikáty CERTIFIKAČNÍ autority měly být zabezpečeny a monitorovány během celého procesu IoT Edge zařízení. Výrobce IoT Edge zařízení by měl mít pro správné ukládání a používání svých zprostředkujících certifikátů silné procesy. Kromě toho by certifikát certifikační autority zařízení měl být uložen v co nejbezpečnějším úložišti na samotném zařízení, ideálně v modulu hardwarového zabezpečení.
Certifikát IoT Edge hub server je prezentován službou IoT Edge k připojeným klientským zařízením a modulům. Běžný název certifikátu CA zařízení nesmí být stejný jako "název hostitele", který se použije v konfiguračním souboru na IoT Edge zařízení. Název používaný klienty pro připojení k IoT Edge (například prostřednictvím parametru GatewayHostName připojovacího řetězce nebo příkazu CONNECT v MQTT) nemůže být stejný jako běžný název použitý v certifikátu ca zařízení. Toto omezení je proto, IoT Edge představuje celý řetěz certifikátů pro ověřování klienty. Pokud certifikát IoT Edge hub server i certifikát CA zařízení mají stejný cn, dostanete se do ověřovací smyčky a certifikát se zneplatní.
Vzhledem k tomu, že certifikát certifikační autority zařízení používá proces démon zabezpečení IoT Edge k vygenerování konečných certifikátů IoT Edge, musí to být sám podpisový certifikát, což znamená, že má možnosti podepisování certifikátů. Když u certifikátu ca zařízení použijete "omezení verze V3 Basic:True", automaticky se nastaví požadované vlastnosti použití klíče.
Při jakémkoli procesu založeném na certifikátech by certifikát kořenové certifikační autority a všechny zprostředkující certifikáty CERTIFIKAČNÍ autority měly být zabezpečeny a monitorovány během celého procesu IoT Edge zařízení. Výrobce IoT Edge zařízení by měl mít pro správné ukládání a používání svých zprostředkujících certifikátů silné procesy. Kromě toho by se měl certifikát certifikační autority na hraničních zařízeních uchovávat v co nejbezpečnějším úložišti na samotném zařízení, ideálně v modulu hardwarového zabezpečení.
Certifikát IoT Edge hub server je prezentován službou IoT Edge k připojeným klientským zařízením a modulům. Běžný název certifikátu hraniční certifikační autority nesmí být stejný jako "název hostitele", který se použije v konfiguračním souboru na IoT Edge zařízení. Název používaný klienty pro připojení k IoT Edge (například prostřednictvím parametru GatewayHostName připojovacího řetězce nebo příkazu CONNECT v MQTT) nemůže být stejný jako běžný název použitý v certifikátu certifikační autority edge. Toto omezení je proto, IoT Edge představuje celý řetěz certifikátů pro ověřování klienty. Pokud certifikát IoT Edge hub server i certifikát hraniční certifikační autority mají stejný cn, dostanete se do ověřovací smyčky a certifikát se zneplatní.
Vzhledem k tomu, že certifikát hraniční certifikační autority používá proces démon zabezpečení IoT Edge k vygenerování konečných certifikátů IoT Edge, musí to být sám podpisový certifikát, což znamená, že má možnosti podepisování certifikátů. Při použití "certifikační autority pro základní omezení V3:True" na certifikát certifikační autority edge se automaticky nastaví požadované vlastnosti použití klíče.
Důsledky pro vývoj a testování
Pro usnadnění vývojových a testovacích scénářů poskytuje Microsoft sadu skriptů pro usnadnění generování neprodukcích certifikátů vhodných IoT Edge scénáři transparentní brány. Příklady toho, jak skripty fungují, najdete v tématu Vytvoření ukázkových certifikátů pro testování IoT Edge funkce zařízení.
Tip
Pokud chcete připojit zařízení IoT typu list a aplikace, které používají naši sadu SDK pro zařízení IoT prostřednictvím IoT Edge, musíte na konec připojovacího řetězce zařízení přidat volitelný parametr GatewayHostName. Když se vygeneruje certifikát IoT Edge hub server, je založený na malá písmena názvu hostitele z konfiguračního souboru, takže aby se názvy shodly a ověření certifikátu TLS bylo úspěšné, měli byste zadat parametr GatewayHostName ( GatewayHostName) – malá písmena.
Příklad IoT Edge certifikátů
Pro ilustraci příkladu této cesty k certifikátu je následující snímek obrazovky z pracovního IoT Edge zařízení nastaveného jako transparentní brána. OpenSSL slouží k připojení k IoT Edge, ověření a výpisu certifikátů.
Na snímku obrazovky vidíte hierarchii hloubky certifikátu:
| Typ certifikátu | Název certifikátu |
|---|---|
| Certifikát kořenové certifikační autority | Azure IoT Hub testovacího certifikátu certifikační autority |
| Certifikát zprostředkující certifikační autority | Azure IoT Hub pouze zprostředkujícího testu certifikátu |
| Certifikát certifikační autority zařízení | iotgateway.ca ("iotgateway" byl předán jako název certifikátu certifikační autority do skriptů pro usnadnění). |
| Certifikát certifikační autority úlohy | iotedge workload ca |
| certifikát IoT Edge serveru centra | iotedgegw.local (odpovídá názvu hostitele z konfiguračního souboru) |
Na snímku obrazovky vidíte hierarchii hloubky certifikátu:
| Typ certifikátu | Název certifikátu |
|---|---|
| Certifikát kořenové certifikační autority | Azure IoT Hub testovacího certifikátu certifikační autority |
| Certifikát zprostředkující certifikační autority | Azure IoT Hub pouze zprostředkujícího testu certifikátu |
| Certifikát certifikační autority zařízení | iotgateway.ca ("iotgateway" byl předán jako název certifikátu certifikační autority do skriptů pro usnadnění). |
| certifikát IoT Edge serveru centra | iotedgegw.local (odpovídá názvu hostitele z konfiguračního souboru) |
Další kroky
Vysvětlení modulů Azure IoT Edge
Konfigurace zařízení IoT Edge tak, aby fungovalo jako transparentní brána