Penggunaan sertifikat dengan Azure Sphere
Topik ini memberikan gambaran umum tentang sertifikat Azure Sphere "lanskap": tipe sertifikat yang digunakan berbagai komponen Azure Sphere, dari mana asalnya, tempatnya disimpan, cara pembaruan, dan cara mengaksesnya jika diperlukan. Ini juga menjelaskan bagaimana Azure Sphere OS, SDK, dan layanan membuat manajemen sertifikat lebih mudah bagi Anda. Kami menganggap Anda memiliki keakraban dasar dengan otoritas sertifikat dan rantai kepercayaan.
Perangkat Azure Sphere
Setiap perangkat Azure Sphere bergantung pada bursa Akar Tepercaya, yang merupakan bagian dari Azure Sphere OS. Penyimpanan Akar Tepercaya berisi daftar sertifikat akar yang digunakan untuk memvalidasi identitas Azure Sphere Security Service saat perangkat tersambung untuk autentikasi dan pengesahan perangkat (DAA), pembaruan over-the-air (OTA), atau pelaporan kesalahan. Sertifikat ini disediakan dengan OS.
Ketika penetapan harian berhasil, perangkat menerima dua sertifikat: sertifikat pembaruan dan sertifikat pelanggan. Sertifikat pembaruan memungkinkan perangkat tersambung ke Layanan Pembaruan Azure Sphere untuk mendapatkan pembaruan perangkat lunak dan mengunggah laporan kesalahan; aplikasi tidak dapat diakses atau melalui baris perintah. Sertifikat pelanggan, kadang-kadang disebut sertifikat DAA, dapat digunakan oleh aplikasi untuk terhubung ke layanan pihak ketiga seperti serigalaSSL yang menggunakan keamanan lapisan transportasi (TLS). Sertifikat ini berlaku selama 24 jam. Aplikasi dapat mengambilnya secara terprogram dengan memanggil fungsi DeviceAuth_GetCertificatePath.
Perangkat yang tersambung ke layanan berbasis Azure seperti Azure IoT Hub, Azure IoT Central, dan Azure IoT Edge harus menyajikan sertifikat CA katalog Azure Sphere mereka untuk mengautentikasi katalog Azure Sphere mereka. Perintah unduhan az sphere ca-certificate di CLI mengembalikan sertifikat CA katalog untuk penggunaan tersebut.
Koneksi jaringan EAP-TLS
Perangkat yang tersambung ke jaringan EAP-TLS memerlukan sertifikat untuk diautentikasi dengan server RADIUS jaringan. Untuk mengautentikasi sebagai klien, perangkat harus mengirimkan sertifikat klien ke RADIUS. Untuk melakukan autentikasi bersama, perangkat juga harus memiliki sertifikat CA akar untuk server RADIUS sehingga dapat mengautentikasi server. Microsoft tidak menyediakan salah satu sertifikat ini; Anda atau administrator jaringan Anda bertanggung jawab untuk memastikan otoritas sertifikat yang benar untuk server RADIUS jaringan Anda lalu mendapatkan sertifikat yang diperlukan dari penerbit.
Untuk mendapatkan sertifikat untuk server RADIUS, Anda harus mengautentikasi ke otoritas sertifikat. Anda bisa menggunakan sertifikat DAA, seperti yang disebutkan sebelumnya, untuk tujuan ini. Setelah mendapatkan sertifikat untuk server RADIUS, Anda harus menyimpannya di penyimpanan sertifikat perangkat. Penyimpanan sertifikat perangkat hanya tersedia untuk digunakan dalam mengautentikasi ke jaringan aman dengan EAP-TLS. (Sertifikat DAA tidak disimpan di penyimpanan sertifikat perangkat; sertifikat tersebut disimpan dengan aman di OS.) Perintah sertifikat perangkat bola az di CLI memungkinkan Anda mengelola penyimpanan sertifikat dari baris perintah. Aplikasi Azure Sphere dapat menggunakan API CertStore untuk menyimpan, mengambil, dan mengelola sertifikat di penyimpanan sertifikat perangkat. API CertStore juga menyertakan fungsi untuk mengembalikan informasi tentang sertifikat individual sehingga aplikasi dapat mempersiapkan sertifikat kedaluwarsa dan perpanjangan.
Lihat Menggunakan EAP-TLS untuk deskripsi lengkap tentang sertifikat yang digunakan dalam jaringan EAP-TLS, dan lihat Mengamankan akses Wi-Fi perusahaan: EAP-TLS di Azure Sphere di Microsoft Tech Community untuk informasi tambahan.
Aplikasi Azure Sphere
Aplikasi Azure Sphere memerlukan sertifikat untuk mengautentikasi ke layanan web dan beberapa jaringan. Tergantung pada persyaratan layanan atau titik akhir, aplikasi dapat menggunakan sertifikat DAA atau sertifikat dari otoritas sertifikat eksternal.
Aplikasi yang terhubung ke layanan pihak ketiga menggunakan wolfSSL atau pustaka serupa dapat memanggil fungsi DeviceAuth_GetCertificatePath untuk mendapatkan sertifikat DAA untuk autentikasi. Fungsi ini diperkenalkan di header deviceauth.h dalam SDK 20.10.
Pustaka Azure IoT yang disertakan dalam Azure Sphere sudah mempercayai CA akar yang diperlukan, sehingga aplikasi yang menggunakan pustaka ini untuk mengakses layanan Azure IoT (Azure IoT Hub, Azure IoT Central, layanan penyediaan perangkat) tidak memerlukan sertifikat tambahan apa pun.
Jika aplikasi Anda menggunakan layanan Azure lainnya, tanyakan dokumentasi untuk layanan tersebut guna menentukan sertifikat mana yang diperlukan.
Azure Sphere REST API
API REST Azure Sphere adalah sekumpulan titik akhir layanan yang mendukung operasi HTTP untuk membuat dan mengelola sumber daya Azure Sphere seperti katalog, produk, penyebaran, dan grup perangkat. API REST Azure Sphere menggunakan protokol HTTP REST (REpresentational State Transfer) untuk mengirim permintaan dan respons operasi. Data yang dikembalikan dalam respons operasi diformat dalam JSON (Notasi Objek JavaScript). Operasi yang tersedia didokumentasikan dalam referensi API REST Azure Sphere.
Layanan Keamanan Azure Sphere
Layanan cloud Azure Sphere secara umum, dan Layanan Keamanan khususnya, kelola berbagai sertifikat yang digunakan dalam komunikasi layanan-ke-layanan yang aman. Sebagian besar sertifikat ini bersifat internal untuk layanan dan kliennya, sehingga Microsoft mengoordinasikan pembaruan sesuai kebutuhan. Misalnya, selain memperbarui sertifikat TLS API Publik pada bulan Oktober, Azure Sphere Security Service juga memperbarui sertifikat TLS untuk layanan DAA dan layanan Pembaruan. Sebelum pembaruan, perangkat menerima pembaruan OTA ke penyimpanan Akar Tepercaya yang menyertakan sertifikat akar baru yang diperlukan. Tidak ada tindakan pelanggan yang diperlukan untuk menjaga komunikasi perangkat dengan Layanan Keamanan.
Bagaimana Cara Azure Sphere membuat perubahan sertifikat lebih mudah bagi pelanggan?
Kedaluwarsa sertifikat adalah penyebab umum kegagalan untuk Perangkat IoT yang dapat dicegah Azure Sphere.
Karena produk Azure Sphere menyertakan OS dan Layanan Keamanan, sertifikat yang digunakan oleh kedua komponen ini dikelola oleh Microsoft. Perangkat menerima sertifikat yang diperbarui melalui proses DAA, pembaruan OS dan aplikasi, serta pelaporan kesalahan tanpa memerlukan perubahan dalam aplikasi. Ketika Microsoft menambahkan sertifikat DigiCert Global Root G2, tidak ada perubahan pelanggan yang diperlukan untuk melanjutkan DAA, pembaruan, atau pelaporan kesalahan. Perangkat yang sedang offline pada saat pembaruan menerima pembaruan segera setelah mereka tersambung kembali ke internet.
Azure Sphere OS juga menyertakan pustaka Azure IoT, jadi jika Microsoft membuat perubahan lebih lanjut pada sertifikat yang digunakan pustaka Azure IoT, kami akan memperbarui pustaka di OS sehingga aplikasi Anda tidak perlu diubah. Kami juga akan memberi tahu Anda melalui postingan blog tambahan tentang setiap kasus edge atau situasi khusus yang mungkin memerlukan modifikasi pada aplikasi atau skrip Anda.
Kedua kasus ini memperlihatkan bagaimana Azure Sphere menyederhanakan manajemen aplikasi dengan menghapus kebutuhan pembaruan pemeliharaan aplikasi untuk menangani perubahan sertifikat. Karena setiap perangkat menerima sertifikat pembaruan sebagai bagian dari penetapan hariannya, Anda dapat dengan mudah mengelola pembaruan sertifikat yang dikelola secara lokal yang digunakan perangkat dan aplikasi Anda. Misalnya, jika aplikasi memvalidasi identitas server lini bisnis Anda (sebagaimana mestinya), Anda dapat menggunakan paket gambar aplikasi yang diperbarui yang menyertakan sertifikat yang diperbarui. Layanan pembaruan aplikasi yang disediakan oleh platform Azure Sphere memberikan pembaruan tersebut, menghapus kekhawatiran bahwa layanan pembaruan itu sendiri akan timbul masalah kedaluwarsa sertifikat.
Untuk informasi selengkapnya
Layanan Autentikasi dan Pengesahan Perangkat Azure Sphere
Pembaruan sertifikat tambahan untuk Azure Sphere
Perubahan Sertifikat TLS Azure
Azure IoT TLS: Perubahan akan segera hadir! (... dan mengapa Anda harus peduli)