Configurare i certificati CA tenant per i servizi cloud
Un certificato CA tenant viene emesso dal servizio di sicurezza Azure Sphere quando viene creato un tenant. Ogni certificato CA tenant ha una durata di due anni e la data di inizio e di fine vengono acquisite nel certificato.
Quando il dispositivo si connette a hub IoT di Azure, Azure IoT Central o a un servizio back-end, il servizio deve essere in grado di verificare che il dispositivo appartenga al tenant Azure Sphere e che il tenant sia legittimo. Per eseguire questa autenticazione, il servizio richiede una catena di certificati CA tenant Azure Sphere valida che viene utilizzata per firmare i certificati ricevuti dai dispositivi nell'ambito dell'attestazione e dell'autenticazione giornaliera. Per altre informazioni, vedere Uso dei certificati con Azure Sphere.
Quando il certificato CA corrente di un tenant è vicino alla scadenza, un nuovo certificato CA tenant viene rilasciato automaticamente circa 90 giorni prima della scadenza del certificato.
È necessario configurare i servizi gestiti IoT di Azure o il servizio back-end in modo che consideri attendibili entrambi i certificati CA tenant. Se entrambi i certificati sono considerati attendibili, il servizio sarà in grado di utilizzare il nuovo certificato non appena diventa valido, impedendo così l'interruzione delle comunicazioni quando il servizio Azure Sphere Security Service passa all'uso del nuovo certificato CA tenant.
Fornire un certificato CA tenant ai servizi cloud
Il processo di configurazione di un servizio cloud per considerare attendibile il certificato CA tenant prevede:
- Passaggio 1: Elencare e identificare i certificati CA tenant
- Passaggio 2: Scaricare il certificato CA tenant
- Passaggio 3: Caricare il certificato CA tenant e generare il codice di verifica
- Passaggio 4: Verificare l'identità del tenant
Passaggio 1: Elencare e identificare i certificati CA tenant
Eseguire l'elenco dei certificati ca azsfera per ottenere un elenco dei certificati disponibili per il tenant corrente.
Quando il certificato corrente è in scadenza per il rinnovo, il servizio sicurezza Azure Sphere genera automaticamente il certificato successivo, che viene visualizzato insieme al certificato corrente (attivo).
Nell'elenco dei certificati lo stato del certificato CA tenant corrente viene visualizzato come Attivo e lo stato degli altri certificati come Inattivo.
La tabella seguente fornisce informazioni dettagliate sullo stato dei certificati:
| Stato | Descrizione |
|---|---|
| Attivo | Certificato CA tenant corrente. |
| Inattivo | Lo stato può indicare uno dei seguenti: Nuovo certificato CA tenant: un nuovo certificato CA tenant viene rilasciato quando il certificato CA tenant corrente è vicino alla scadenza. Lo stato del nuovo certificato viene visualizzato come inattivo per circa 45 giorni dopo il rilascio. Certificato ritirato: il periodo di validità per il certificato attivo corrente e il certificato in scadenza si sovrappongono per evitare interruzioni o perdita di connettività, quando i certificati vengono aggiornati. Quando lo stato del nuovo certificato diventa attivo, lo stato del vecchio certificato diventa inattivo. Certificato scaduto: lo stato del certificato scaduto. |
| Dimmisionarie | Un certificato non attendibile. |
Passaggio 2: Scaricare il certificato CA tenant
Eseguire il download del certificato ca azsfera per scaricare il certificato richiesto come file '.cer'.
Esempio per specificare l'indice per scaricare un certificato richiesto:
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
Esempio per specificare l'identificazione personale per scaricare un certificato richiesto:
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
Nota
Assicurarsi di fornire o --index--thumbprint di scaricare il certificato richiesto. Se non viene fornito l'indice o l'identificazione personale, il certificato attivo viene scaricato per impostazione predefinita.
Passaggio 3: Caricare il certificato CA tenant e generare il codice di verifica
Per i servizi gestiti IoT di Azure, caricare il certificato CA tenant in hub IoT di Azure
Se si utilizza un servizio back-end, consultare la documentazione fornita dal servizio.
Passaggio 4: Verificare l'identità del tenant
Per i servizi gestiti IoT di Azure, la registrazione è un processo in due passaggi. Il primo passaggio consiste nel caricare il nuovo certificato CA tenant in Azure IoT. Il certificato CA tenant caricato deve essere verificato per dimostrare la proprietà del tenant Azure Sphere. Nel passaggio successivo, il servizio di sicurezza Azure Sphere fornisce un certificato di prova di possesso. Dopo aver caricato il certificato di prova di possesso nell'IoT di Azure, il processo di registrazione dei certificati è completato. Per altre informazioni sulla verifica del certificato CA tenant, vedere Configurare un hub IoT di Azure o Configurare Azure IoT Central.
Se si utilizza un servizio back-end, consultare la documentazione fornita dal servizio. Per ulteriori informazioni, vedi Configurare un hub IoT di Azure o Configurare un hub IoT di Azure per Azure Sphere con il servizio di provisioning dei dispositivi.
Sequenza temporale per il rinnovo del certificato CA tenant
Quando un certificato CA tenant sta per scadere, la procedura di rinnovo viene avviata automaticamente dal servizio Azure Sphere Security.
La figura seguente mostra le fasi del rinnovo del certificato:
| Callout | Palco |
|---|---|
| 1 | Il certificato CA tenant corrente (Certificato A) è valido per 2 anni ed è contrassegnato come Attivo. |
| 2 | Il processo di rinnovo inizia circa 90 giorni prima della scadenza del certificato A. Viene creato un nuovo certificato CA tenant (Certificato B) e contrassegnato come Inattivo. A questo punto, il certificato B è disponibile per il download, ma il certificato A rimane come certificato attivo per circa 45 giorni. È necessario eseguire un'azione entro il periodo di 45 giorni in modo che i dispositivi continuino ad autenticarsi correttamente nei servizi cloud. |
| 3 | Il certificato B diventa il certificato attivo circa 45 giorni dopo il rilascio. In questa fase, il certificato A è contrassegnato come Inattivo e il certificato B diventa il certificato attivo . Il certificato B verrà usato per riconoscere e autenticare i dispositivi. Assicurarsi che i servizi cloud siano configurati sia con il certificato A che con il certificato B per il corretto funzionamento. |
| 4 | Il certificato A è scaduto. È ora possibile rimuovere il Certificato A dai servizi cloud. |
| 5 | Il certificato B è valido per 2 anni. |
Mancia
Le date nell'immagine vengono fornite solo per la figura e variano da cliente a cliente.
Potrebbe essere necessario eseguire il rollback dei certificati per gestire la scadenza del certificato. Per altre informazioni sui certificati in distribuzione, vedere Servizi gestiti IoT di Azure o consultare la documentazione fornita dal servizio back-end preferito.