Cómo comprobar los certificados de entidad de certificación X.509 con el servicio de aprovisionamiento de dispositivos

Un certificado de entidad de certificación (CA) X.509 comprobado es un certificado de entidad de certificación que se ha cargado y registrado en el servicio de aprovisionamiento y, a continuación, comprobado, ya sea automáticamente o a través de la prueba de posesión con el servicio.

Los certificados verificados desempeñan un importante papel al usar grupos de inscripción. La verificación de la titularidad del certificado proporciona un nivel de seguridad adicional al garantizar que la persona que carga el certificado está en posesión de su clave privada. La verificación evita que un actor malintencionado que esté examinando su tráfico extraiga un certificado intermedio y lo utilice para crear un grupo de inscripción en su propio servicio de aprovisionamiento, secuestrando así sus dispositivos. Al probar la titularidad de la raíz o un certificado intermedio en una cadena de certificados, demuestra que tiene permiso para generar certificados de hoja para los dispositivos que se registrarán como parte del grupo de inscripción. Por este motivo, la raíz o certificado intermedio configurados en un grupo de inscripción deben ser un certificado verificado o deben acumularse en un certificado verificado en la cadena de certificados que un dispositivo presenta al autenticarse con el servicio. Para obtener más información sobre la atestación de certificados X.509, consulte Certificados X.509.

Requisitos previos

Antes de comenzar los pasos de este artículo, tenga preparados los siguientes requisitos previos:

• Una instancia de DPS creada en la suscripción de Azure.
• Un archivo de certificado .cer o .pem.

Comprobación automática de una entidad de certificación intermedia o raíz a través de la autoatestación

Si usa una CA raíz o intermedia en la que confía y sabe que tiene la propiedad completa del certificado, puede autoatestar que ha comprobado el certificado.​

Para agregar un certificado comprobado automáticamente, siga estos pasos:

1. En Azure Portal, vaya a su servicio de aprovisionamiento y seleccione Certificados en el menú izquierdo.

2. Seleccione Agregar para agregar un certificado nuevo.

3. Escriba un nombre para mostrar descriptivo para el certificado.

4. Busque el archivo .cer o .pem que representa la parte pública del certificado X.509. Haga clic en Cargar.

5. Active la casilla situada junto a Set certificate status to verified on upload (Establecer el estado del certificado que se va a comprobar al cargar).

   

6. Seleccione Guardar.

7. El certificado se muestra en la pestaña de certificados con el estado Verified (Comprobado).

   

Comprobación manual de una entidad de certificación intermedia o raíz

Se recomienda la verificación automática cuando cargue nuevos certificados de entidad de certificación intermedios o raíz en el DPS. Sin embargo, todavía puede realizar una prueba de posesión si tiene sentido para el escenario de IoT.

La prueba de posesión implica los pasos siguientes:

1. Obtenga un código de verificación exclusivo generado por el servicio de aprovisionamiento para su certificado de entidad de certificación X.509. Puede hacer esto en Azure Portal.
2. Cree un certificado de verificación X.509 con el código de verificación como asunto y firme el certificado con la clave privada asociada a su certificado de entidad de certificación X.509.
3. Cargue el certificado de verificación firmado en el servicio. El servicio valida el certificado de verificación con la parte pública del certificado de entidad de certificación que se verifica, lo que demuestra que posee la clave privada del certificado de entidad de certificación.

Registro de la parte pública de un certificado X.509 y obtención de un código de verificación

Para registrar un certificado de entidad de certificación con el servicio de aprovisionamiento y obtener un código de verificación que pueda usar durante la prueba de posesión, siga estos pasos.

1. En Azure Portal, vaya a su servicio de aprovisionamiento y abra Certificados en el menú izquierdo.

2. Seleccione Agregar para agregar un certificado nuevo.

3. Escriba un nombre descriptivo para mostrar para el certificado en el campo Nombre del certificado.

4. Seleccione el icono de carpeta y vaya al archivo .cer o .pem que representa la parte pública del certificado X.509. Seleccione Open (Abrir).

5. Una vez que reciba la notificación de que el certificado se ha cargado correctamente, seleccione Guardar.

   

   El certificado se mostrará en la lista Explorador de certificados. Observe que el estado de este certificado es No comprobado.

6. Seleccione el certificado que agregó en el paso anterior para abrir sus detalles.

7. En los detalles del certificado, observe que hay un campo Código de verificación vacío. Seleccione el botón Generar código de verificación.

   

8. El servicio de aprovisionamiento crea un código de verificación que puede usar para validar la titularidad del certificado. Copie el código en el Portapapeles.

Firma digital del código de verificación para crear un certificado de verificación

Ahora, debe firmar el código de verificación de DPS con la clave privada asociada al certificado de entidad de certificación X.509, que genera una firma. Este paso se conoce como prueba de posesión y da lugar a un certificado de verificación firmado.

Microsoft proporciona herramientas y ejemplos que pueden ayudarle a crear un certificado de verificación firmado:

• El SDK C de Azure IoT Hub proporciona scripts de PowerShell (Windows) y Bash (Linux) que le ayudan a crear certificados de entidad de certificación y de hoja para desarrollo y a realizar la prueba de posesión con un código de verificación. Puede descargar los archivos correspondientes a su sistema en una carpeta de trabajo y seguir las instrucciones que aparecen en el archivo Léame de administración de certificados de entidad de certificación para realizar la prueba de posesión en un certificado de entidad de certificación.
• El SDK de C# de Azure IoT Hub contiene el ejemplo de verificación de certificado de grupo, que puede usar para realizar la prueba de posesión.

Los scripts de PowerShell y Bash proporcionados en la documentación y los SDK se basan en OpenSSL. También puede usar OpenSSL u otras herramientas de terceros para ayudarle a realizar la prueba de posesión. Para obtener un ejemplo del uso de las herramientas que se proporcionan con los SDK, consulte Creación de una cadena de certificados X.509.

Carga del certificado de verificación firmado

Cargue la firma resultante como un certificado de verificación en su servicio de aprovisionamiento en Azure Portal.

1. En los detalles del certificado de Azure Portal, desde donde copió el código de verificación, seleccione el icono de carpeta situado junto al campo Archivo de certificado de verificación .pem o .cer. Vaya al certificado de verificación firmado desde el sistema y seleccione Abrir.

2. Una vez cargado correctamente el certificado, seleccione Comprobar. El estado del certificado cambia a Comprobado en la lista Certificados. Seleccione Actualizar si no se actualiza automáticamente.

Pasos siguientes

• Para obtener información acerca de cómo usar el portal para crear un grupo de inscripción, consulte Administración de inscripciones de dispositivos con Azure Portal.
• Para obtener información acerca de cómo usar los SDK de servicio para crear un grupo de inscripción, consulte Administración de inscripciones de dispositivos con los SDK del servicio.