Cara melakukan bukti kepemilikan untuk sertifikat X.509 CA dengan Layanan Penyediaan Perangkat Anda

Sertifikat X.509 Certificate Authority (CA) terverifikasi adalah sertifikat CA yang telah diunggah dan didaftarkan ke layanan penyediaan Anda dan telah melalui bukti kepemilikan dengan layanan.

Sertifikat terverifikasi memainkan peran penting saat menggunakan grup pendaftaran. Memverifikasi kepemilikan sertifikat menyediakan lapisan keamanan tambahan dengan memastikan bahwa pengunggah sertifikat memiliki kunci privat sertifikat. Verifikasi mencegah aktor jahat mengendus lalu lintas Anda dari mengekstraksi sertifikat menengah dan menggunakan sertifikat itu untuk membuat grup pendaftaran dalam layanan penyediaan mereka sendiri, secara efektif membajak perangkat Anda. Dengan membuktikan kepemilikan akar atau sertifikat perantara dalam rantai sertifikat, Anda membuktikan bahwa Anda memiliki izin untuk menghasilkan sertifikat daun untuk perangkat yang akan mendaftar sebagai bagian dari kelompok pendaftaran tersebut. Untuk alasan ini, sertifikat akar atau menengah yang dikonfigurasi dalam grup pendaftaran harus berupa sertifikat terverifikasi atau harus digulung ke sertifikat terverifikasi dalam rantai sertifikat yang disajikan perangkat ketika mengautentikasi dengan layanan. Untuk mempelajari lebih lanjut tentang pengesahan sertifikat X.509, lihat sertifikat X.509dan akses perangkat Kontrol ke layanan penyediaan dengan sertifikat X.509.

Verifikasi otomatis CA menengah atau root melalui pengesahan sendiri

Jika menggunakan CA menengah atau root yang Anda percayai dan tahu bahwa Anda memiliki pemilik penuh sertifikat, Anda dapat membuktikan sendiri bahwa Anda telah memverifikasi sertifikat tersebut.

Untuk menambahkan sertifikat yang terverifikasi otomatis, ikuti langkah berikut:

1. Di portal Microsoft Azure, navigasi ke layanan penyediaan Anda dan buka Sertifikat dari menu sebelah kiri.

2. Klik Tambahkan untuk menambahkan sertifikat baru.

3. Masukkan nama tampilan yang ramah untuk sertifikat Anda. Telusuri ke file .cer atau .pem yang mewakili bagian publik dari sertifikat X.509 Anda. Klik Unggah.

4. Centang kotak di samping Atur status sertifikat menjadi terverifikasi saat pengunggahan.

   

5. Klik Simpan.

6. Sertifikat Anda ditampilkan dalam tab sertifikat dengan status Diverifikasi.

   

Verifikasi manual CA menengah atau root

Bukti kepemilikan melibatkan langkah-langkah berikut:

1. Dapatkan kode verifikasi unik yang dihasilkan oleh layanan penyediaan untuk sertifikat X.509 CA Anda. Anda dapat melakukan ini dari portal Microsoft Azure.
2. Buat sertifikat verifikasi X.509 dengan kode verifikasi sebagai subjeknya dan tanda tangani sertifikat dengan kunci privat yang terkait dengan sertifikat CA X.509 Anda.
3. Unggah sertifikat verifikasi yang ditandatangani ke layanan. Layanan ini memvalidasi sertifikat verifikasi menggunakan bagian publik sertifikat CA untuk diverifikasi, sehingga membuktikan bahwa Anda memiliki kunci privat sertifikat CA.

Daftarkan bagian publik dari sertifikat X.509 dan dapatkan kode verifikasi

Untuk mendaftarkan sertifikat CA dengan layanan penyediaan Anda dan mendapatkan kode verifikasi yang dapat Anda gunakan selama bukti kepemilikan, ikuti langkah-langkah ini.

1. Di portal Microsoft Azure, navigasi ke layanan penyediaan Anda dan buka Sertifikat dari menu sebelah kiri.

2. Klik Tambahkan untuk menambahkan sertifikat baru.

3. Masukkan nama tampilan yang ramah untuk sertifikat Anda. Telusuri ke file .cer atau .pem yang mewakili bagian publik dari sertifikat X.509 Anda. Klik Unggah.

4. Setelah Anda mendapatkan pemberitahuan bahwa sertifikat Anda berhasil diunggah, klik Simpan.

   

   Sertifikat Anda akan ditampilkan di daftar Penjelajah Sertifikat. Perhatikan bahwa STATUS sertifikat ini Belum Diverifikasi.

5. Klik pada sertifikat yang Anda tambahkan di langkah sebelumnya.

6. Di Detail Sertifikat, klik Buat Kode Verifikasi.

7. Layanan penyediaan membuat Kode Verifikasi yang dapat Anda gunakan untuk memvalidasi kepemilikan sertifikat. Salin kode ke clipboard Anda.

   

Menandatangani kode verifikasi secara digital untuk membuat sertifikat verifikasi

Sekarang, Anda perlu menandatangani Kode Verifikasi dengan kunci privat yang terkait dengan sertifikat CA X.509 Anda, yang menghasilkan tanda tangan. Ini dikenal sebagai Bukti kepemilikan dan menghasilkan sertifikat verifikasi yang ditandatangani.

Microsoft menyediakan alat dan sampel yang bisa membantu Anda membuat sertifikat verifikasi bertanda tangan:

• Azure IoT Hub C SDK menyediakan skrip PowerShell (Windows) dan Bash (Linux) untuk membantu Anda membuat sertifikat CA dan daun untuk pengembangan dan melakukan bukti kepemilikan menggunakan kode verifikasi. Anda dapat mengunduh file yang relevan dengan sistem Anda ke folder kerja dan mengikuti petunjuk dalam readme Mengelola Sertifikat CA untuk melakukan bukti kepemilikan pada sertifikat CA.
• Azure IoT Hub C# SDKberisi Sampel Verifikasi Sertifikat Grup,yang dapat Anda gunakan untuk melakukan bukti kepemilikan.

Penting

Selain melakukan bukti kepemilikan, skrip PowerShell dan Bash yang dikutip sebelumnya juga memungkinkan Anda membuat sertifikat akar, sertifikat menengah, dan sertifikat daun yang dapat digunakan untuk mengautentikasi dan menyediakan perangkat. Sertifikat ini harus digunakan untuk pengembangan saja. Mereka tidak boleh digunakan dalam lingkungan produksi.

Skrip PowerShell dan Bash yang disediakan dalam dokumentasi dan SDK mengandalkan OpenSSL. Anda juga dapat menggunakan OpenSSL atau alat pihak ketiga lainnya untuk membantu Anda melakukan bukti kepemilikan. Misalnya menggunakan perkakas yang disediakan dengan SDK, lihat Membuat rantai sertifikat X.509.

Unggah sertifikat verifikasi yang ditandatangani ke layanan

1. Unggah tanda tangan yang dihasilkan sebagai sertifikat verifikasi ke layanan penyediaan Anda di portal. Di Detail Sertifikat pada portal Azure, gunakan ikon File Explorer di samping bidang file Sertifikat Verifikasi .pem atau .cer untuk mengunggah sertifikat verifikasi yang ditandatangani dari sistem Anda.

2. Setelah sertifikat berhasil diunggah, klik Verifikasi. Maka STATUS sertifikat Anda berubah menjadi Diverifikasi di daftar Penjelajah Sertifikat. Klik Refresh jika tidak diperbarui secara otomatis.

   

Langkah berikutnya

• Untuk mempelajari tentang cara menggunakan portal untuk membuat grup pendaftaran, lihat Mengelola pendaftaran perangkat dengan portal Microsoft Azure.
• Untuk mempelajari tentang cara menggunakan SDK layanan untuk membuat grup pendaftaran, lihat Mengelola pendaftaran perangkat dengan SDK layanan.