Certificaatgebruik met Azure Sphere
In dit onderwerp vindt u een overzicht van het Azure Sphere-certificaat liggend: de typen certificaten die de verschillende Azure Sphere-onderdelen gebruiken, waar ze vandaan komen, waar ze worden opgeslagen, hoe ze worden bijgewerkt en hoe u ze indien nodig kunt openen. Ook wordt beschreven hoe het besturingssysteem, de SDK en de services van Azure Sphere het beheer van certificaten eenvoudiger voor u maken. We gaan ervan uit dat u basiskennis hebt van certificeringsinstanties en de vertrouwensketen.
Azure Sphere-apparaten
Elk Azure Sphere-apparaat is afhankelijk van het vertrouwde basisarchief, dat deel uitmaakt van het Azure Sphere-besturingssysteem. Het vertrouwde basisarchief bevat een lijst met basiscertificaten die worden gebruikt om de identiteit van de Azure Sphere-beveiligingsservice te valideren wanneer het apparaat verbinding maakt voor apparaatverificatie en attestation (DAA), over-the-air (OTA) update of foutrapportage. Deze certificaten worden geleverd bij het besturingssysteem.
Wanneer de dagelijkse attestation slaagt, ontvangt het apparaat twee certificaten: een updatecertificaat en een klantcertificaat. Met het updatecertificaat kan het apparaat verbinding maken met de Azure Sphere Update Service om software-updates op te halen en foutrapporten te uploaden. het is niet toegankelijk voor toepassingen of via de opdrachtregel. Het klantcertificaat, ook wel het DAA-certificaat genoemd, kan door toepassingen worden gebruikt om verbinding te maken met services van derden, zoals wolfSSL die gebruikmaken van TLS (Transport Layer Security). Dit certificaat is 24 uur geldig. Toepassingen kunnen deze programmatisch ophalen door de functie DeviceAuth_GetCertificatePath aan te roepen.
Apparaten die verbinding maken met Azure-services, zoals Azure IoT Hub, Azure IoT Central en Azure IoT Edge, moeten hun Azure Sphere-catalogus-CA-certificaat presenteren om hun Azure Sphere-catalogus te verifiëren. De opdracht az sphere ca-certificate download in de CLI retourneert het ca-cataloguscertificaat voor dergelijke toepassingen.
EAP-TLS-netwerkverbindingen
Apparaten die verbinding maken met een EAP-TLS-netwerk, hebben certificaten nodig om te verifiëren bij de RADIUS-server van het netwerk. Voor verificatie als client moet het apparaat een clientcertificaat doorgeven aan de RADIUS. Als u wederzijdse verificatie wilt uitvoeren, moet het apparaat ook een basis-CA-certificaat voor de RADIUS-server hebben, zodat de server kan worden geverifieerd. Microsoft levert geen van deze certificaten; u of uw netwerkbeheerder is verantwoordelijk voor het controleren van de juiste certificeringsinstantie voor de RADIUS-server van uw netwerk en vervolgens het verkrijgen van de benodigde certificaten van de verlener.
Als u de certificaten voor de RADIUS-server wilt verkrijgen, moet u zich verifiëren bij de certificeringsinstantie. U kunt hiervoor het DAA-certificaat gebruiken, zoals eerder vermeld. Nadat u de certificaten voor de RADIUS-server hebt verkregen, moet u deze opslaan in het certificaatarchief van het apparaat. Het certificaatarchief van het apparaat is alleen beschikbaar voor gebruik bij verificatie bij een beveiligd netwerk met EAP-TLS. (Het DAA-certificaat wordt niet bewaard in het certificaatarchief van het apparaat; het wordt veilig bewaard in het besturingssysteem.) Met de opdracht az sphere device certificate in de CLI kunt u het certificaatarchief beheren vanaf de opdrachtregel. Azure Sphere-toepassingen kunnen de CertStore-API gebruiken om certificaten op te slaan, op te halen en te beheren in het certificaatarchief van het apparaat. De CertStore-API bevat ook functies voor het retourneren van informatie over afzonderlijke certificaten, zodat apps zich kunnen voorbereiden op het verlopen en verlengen van certificaten.
Zie EAP-TLS gebruiken voor een volledige beschrijving van de certificaten die worden gebruikt in EAP-TLS-netwerken en zie Secure enterprise Wi-Fi access: EAP-TLS on Azure Sphere op de Microsoft Tech Community voor meer informatie.
Azure Sphere-toepassingen
Azure Sphere-toepassingen hebben certificaten nodig om te verifiëren bij webservices en sommige netwerken. Afhankelijk van de vereisten van de service of het eindpunt kan een app gebruikmaken van het DAA-certificaat of een certificaat van een externe certificeringsinstantie.
Apps die verbinding maken met een service van derden met behulp van wolfSSL of een vergelijkbare bibliotheek, kunnen de functie DeviceAuth_GetCertificatePath aanroepen om het DAA-certificaat voor verificatie op te halen. Deze functie is geïntroduceerd in de header deviceauth.h in de 20.10 SDK.
De Azure IoT-bibliotheek die is ingebouwd in Azure Sphere vertrouwt al de benodigde basis-CA, dus voor apps die deze bibliotheek gebruiken voor toegang tot Azure IoT-services (Azure IoT Hub, Azure IoT Central, device provisioning service) zijn geen aanvullende certificaten vereist.
Als uw apps gebruikmaken van andere Azure-services, raadpleegt u de documentatie voor deze services om te bepalen welke certificaten vereist zijn.
Azure Sphere REST API
De Azure Sphere REST API is een set service-eindpunten die HTTP-bewerkingen ondersteunen voor het maken en beheren van Azure Sphere-resources, zoals catalogi, producten, implementaties en apparaatgroepen. De Azure Sphere REST API maakt gebruik van het HTTP-protocol REST (REpresentational State Transfer) om bewerkingsaanvragen en -antwoorden te verzenden. De gegevens die in het bewerkingsantwoord worden geretourneerd, zijn opgemaakt in JSON (JavaScript Object Notation). De beschikbare bewerkingen worden beschreven in de Azure Sphere REST API-verwijzing.
Azure Sphere-beveiligingsservice
Azure Sphere-cloudservices in het algemeen, en de beveiligingsservice in het bijzonder, beheren talloze certificaten die worden gebruikt voor beveiligde service-naar-service-communicatie. De meeste van deze certificaten zijn intern voor de services en hun clients, dus Microsoft coördineert updates indien nodig. Naast het bijwerken van het openbare API TLS-certificaat in oktober, heeft de Azure Sphere Security Service bijvoorbeeld ook de TLS-certificaten voor de DAA-service en updateservice bijgewerkt. Vóór de update ontvingen apparaten een OTA-update naar het vertrouwde basisarchief met het nieuwe vereiste basiscertificaat. Er was geen actie van de klant nodig om apparaatcommunicatie met de beveiligingsservice te onderhouden.
Hoe maakt Azure Sphere certificaatwijzigingen eenvoudiger voor klanten?
Certificaatverloop is een veelvoorkomende oorzaak van fouten voor IoT-apparaten die Azure Sphere kan voorkomen.
Omdat het Azure Sphere-product zowel het besturingssysteem als de beveiligingsservice bevat, worden de certificaten die door beide onderdelen worden gebruikt, beheerd door Microsoft. Apparaten ontvangen bijgewerkte certificaten via het DAA-proces, besturingssysteem- en toepassingsupdates en foutrapportage zonder dat er wijzigingen in toepassingen nodig zijn. Toen Microsoft het DigiCert Global Root G2-certificaat toevoegde, waren er geen wijzigingen van de klant vereist om DAA, updates of foutenrapportage voort te zetten. Apparaten die offline waren op het moment van de update, ontvingen de update zodra ze opnieuw verbinding met internet maakten.
Het Azure Sphere-besturingssysteem bevat ook de Azure IoT-bibliotheek, dus als Microsoft verdere wijzigingen aanbrengt in certificaten die de Azure IoT-bibliotheken gebruiken, werken we de bibliotheek in het besturingssysteem bij, zodat uw toepassingen niet hoeven te worden gewijzigd. We laten u ook via aanvullende blogberichten op de hoogte van eventuele edge-gevallen of speciale omstandigheden die wijzigingen in uw apps of scripts vereisen.
Beide gevallen laten zien hoe Azure Sphere het beheer van toepassingen vereenvoudigt doordat er geen onderhoudsupdates meer nodig zijn voor toepassingen om certificaatwijzigingen te verwerken. Omdat elk apparaat een updatecertificaat ontvangt als onderdeel van de dagelijkse attestation, kunt u eenvoudig de update beheren van lokaal beheerde certificaten die uw apparaten en toepassingen gebruiken. Als uw toepassing bijvoorbeeld de identiteit van uw Line-Of-Business-server valideert (zoals het hoort), kunt u een bijgewerkt toepassingsinstallatiekopiepakket implementeren dat bijgewerkte certificaten bevat. De updateservices van de toepassing die door het Azure Sphere-platform worden geleverd, leveren deze updates, waardoor u zich geen zorgen hoeft te maken dat de updateservice zelf een probleem met de vervaldatum van het certificaat ondervindt.
Voor meer informatie
Azure Sphere Device Authentication and Attestation Service
Aanvullende certificaatupdates voor Azure Sphere
Wijzigingen in Azure TLS-certificaat
Azure IoT TLS: er worden wijzigingen doorgevoerd. (... en waarom het je moet schelen)