Развертывание сертификатов устройств X.509

В течение жизненного цикла вашего решения Центра Интернета вещей вам нужно будет развертывать сертификаты. В основном это необходимо делать по двум причинам: бреши в системе безопасности и истечение срока действия сертификата.

Развертывание сертификатов — это лучшая методика защиты системы в случае нарушения безопасности. В рамках руководства Microsoft Enterprise Cloud Red Teaming корпорация Майкрософт объясняет необходимость внедрения реактивных процессов по обеспечению безопасности наряду с превентивными мерами. Развертывание сертификатов устройств относится к этим процессам безопасности. Частота, с которой вы развертываете сертификаты, будет зависеть от требований безопасности вашего решения. Клиенты с решениями, содержащими конфиденциальные данные, могут развертывать сертификаты ежедневно, а остальные — каждые два года.

Развертывание сертификатов устройств будет включать обновление сертификата, хранящегося на устройстве, и Центра Интернета вещей. После этого устройство может самостоятельно выполнить повторную подготовку в Центре Интернета вещей путем обычной подготовки, выполняемой Службой подготовки устройств к добавлению в Центр Интернета вещей.

Получение новых сертификатов

Существуют различные способы получения сертификатов для устройств Интернета вещей. К ним относятся получение сертификатов из фабрики устройств, создание собственных сертификатов и создание сертификатов третьей стороной.

Сертификаты подписываются друг другом, чтобы сформировать цепочку доверия от корневого сертификата ЦС к конечному сертификату. Сертификат для подписи — это сертификат, используемый для подписи конечного сертификата в конце цепочки доверия. Это может быть корневой сертификат ЦС или промежуточный сертификат в цепочке доверия. Дополнительные сведения см. в разделе Сертификаты X.509.

Получить сертификат для подписи можно двумя способами. Первый способ рекомендуется для производственных систем. Он заключается в приобретении сертификата для подписи из корневого центра сертификации (ЦС). Таким образом обеспечивается цепочка безопасности с надежным источником.

Второй способ — создать свои собственные сертификаты X.509 с помощью такого инструмента, как OpenSSL. Этот способ отлично подходит для тестирования сертификатов X.509, однако он предоставляет всего лишь несколько гарантий безопасности. Мы рекомендуем использовать этот подход только для тестирования, если вы не готовы действовать в качестве собственного поставщика ЦС.

Развертывание сертификата на устройстве

Сертификаты на устройстве всегда должны храниться в безопасном месте, например в аппаратном модуле безопасности (HSM). Способ развертывания сертификатов устройств будет зависеть от того, как они были созданы и установлены на устройствах изначально.

Если вы получили свои сертификаты от сторонних производителей, необходимо узнать, как они их развертывают. Этот процесс может быть включен в вашу договоренность с ними, или они могут предложить это как отдельную услугу.

Если вы управляете своими сертификатами устройств, вам нужно будет создать собственный конвейер для обновления сертификатов. Старые и новые конечные сертификаты должны иметь одинаковое общее имя. В этом случае устройство сможет самостоятельно выполнить повторную подготовку, не создавая дубликат записи регистрации.

Механика установки нового сертификата на устройстве часто включает один из следующих подходов:

• Вы можете активировать затронутые устройства для отправки нового запроса на подпись сертификата (CSR) в центр сертификации PKI (ЦС). В этом случае каждое устройство, скорее всего, сможет скачать новый сертификат устройства непосредственно из ЦС.

• Вы можете сохранить CSR с каждого устройства и использовать его для получения нового сертификата устройства из ЦС PKI. В этом случае необходимо отправить новый сертификат на каждое устройство в обновлении встроенного ПО, используя безопасную службу обновления OTA, например обновление устройства для Центр Интернета вещей.

Свернуть сертификат в DPS

Сертификат устройства можно добавить в Центр Интернета вещей вручную. Сертификат также можно автоматически подготовить с помощью экземпляра службы подготовки устройств. В этой статье предполагается, что экземпляр службы подготовки устройств используется для поддержки автоматической подготовки.

Если изначально устройство подготовлено с помощью автоматической подготовки, оно загружается и связывается со службой подготовки. Служба подготовки отвечает путем выполнения проверки подлинности перед созданием идентификатора устройства в Центре Интернета вещей, используя конечный сертификат устройства в качестве учетных данных. Затем служба подготовки назначает для устройства Центр Интернета вещей, и устройство выполняет проверку подлинности и устанавливает подключение к Центру Интернета вещей с помощью своего конечного сертификата.

Когда новый конечный сертификат будет развернут на устройстве, оно больше не сможет подключиться к Центру Интернета вещей, потому что для подключения используется новый сертификат. Центр Интернета вещей распознает устройство только со старым сертификатом. В результате попытки подключения устройства возникнет ошибка "Недостаточно прав". Чтобы устранить эту ошибку, обновите запись регистрации устройства для использования учетной записи нового конечного сертификата устройства. Затем после повторной подготовки устройства служба подготовки может при необходимости обновить информацию о реестре устройства Центра Интернета вещей.

Единственным возможным исключением, что касается этого сбоя подключения, будет сценарий, в котором вы создали группу регистрации для своего устройства в службе подготовки. В этом случае, если вы не развертываете корневой или промежуточные сертификаты в цепочке доверия сертификатов устройства, устройство будет распознаваться, если новый сертификат является частью цепочки доверия, определенной в группе регистрации. Если этот сценарий возникает как следствие бреши в системе безопасности, нужно по меньшей мере занести скомпрометированные сертификаты устройств в список блокировок. Дополнительные сведения см. в разделе "Запретить определенные устройства в группе регистрации"

Процесс обновления записи регистрации будет зависеть от того, какие регистрации вы используете: индивидуальные или групповые. Рекомендуемые процедуры также различаются в зависимости от причины развертывания сертификатов: из-за бреши в системе безопасности или истечения срока действия сертификата. В разделах ниже описано, как выполнить эти обновления.

Свертка сертификатов для отдельных регистраций

Если вы развертываете сертификаты в ответ на нарушение безопасности, необходимо немедленно удалить все скомпрометированные сертификаты.

Если вы развертываете сертификаты для обработки истечения срока действия сертификата, следует использовать конфигурацию дополнительного сертификата, чтобы сократить время простоя для устройств, пытающихся подготовить. Позже, когда вторичный сертификат приближается к истечению срока действия и его необходимо свернуть, можно повернуть на использование основной конфигурации. Таким образом, переключение между первичным и вторичным сертификатами сокращает время простоя для устройств, пытающихся выполнить подготовку.

Обновление записей регистрации для развернутых сертификатов выполняется на странице Управление регистрациями. Для доступа к этой странице сделайте следующее:

1. Войдите в портал Azure и перейдите к экземпляру службы подготовки устройств с записью регистрации для устройства.

2. Выберите Управление регистрациями.

   

3. Выберите вкладку "Отдельные регистрации" и выберите запись идентификатора регистрации в списке.

4. Если вы хотите удалить существующий сертификат, проверьте или замените первичный или вторичный сертификат проверка boxes. Щелкните значок папки файла, чтобы найти и отправить новые сертификаты.

   Если любой из ваших сертификатов был скомпрометирован, их следует удалить как можно скорее.

   Если один из сертификатов приближается к истечении срока действия, его можно сохранить до тех пор, пока второй сертификат по-прежнему будет активным после этой даты.

   

5. По завершении нажмите Сохранить.

6. Если вы удалили скомпрометированный сертификат из службы подготовки, сертификат по-прежнему можно использовать для подключения устройств к Центру Интернета вещей до тех пор, пока для него существует регистрация устройства. Это можно сделать двумя способами:

   Первый способ — вручную перейти в Центр Интернета вещей и немедленно удалить регистрацию устройства, связанную со скомпрометированным сертификатом. После повторной подготовки устройства с использованием обновленного сертификата выполняется новая регистрация устройства.

   Второй способ — использовать поддержку повторной подготовки и еще раз подготовить устройство для того же Центра Интернета вещей. Этот подход можно использовать для замены сертификата, с помощью которого устройства регистрируются в Центре Интернета вещей. Дополнительные сведения см. в статье Способы повторной подготовки устройств.

Свертые сертификаты для групп регистрации

Чтобы обновить регистрацию группы в ответ на нарушение безопасности, необходимо немедленно удалить скомпрометированный корневой ЦС или промежуточный сертификат.

Если вы развертываете сертификаты для обработки истечения срока действия сертификата, следует использовать конфигурацию дополнительного сертификата, чтобы гарантировать отсутствие простоя для устройств, пытающихся подготовиться. Позже, когда вторичный сертификат также приближается к истечению срока действия и его необходимо свернуть, можно повернуть на использование основной конфигурации. Таким образом переключение между первичным и вторичным сертификатами гарантирует отсутствие простоя для устройств, пытающихся выполнить подготовку.

Обновление сертификатов корневого ЦС

1. Выберите сертификаты из раздела Параметры меню навигации для экземпляра службы подготовки устройств.

   

2. Выберите скомпрометированный или просроченный сертификат из списка, а затем нажмите кнопку "Удалить". Подтвердите удаление, введя имя сертификата и нажмите кнопку "ОК".

3. Выполните шаги, описанные в статье Как подтвердить владение сертификатами ЦС X.509 с помощью службы подготовки устройств, чтобы добавить и проверить новые корневые сертификаты ЦС.

4. Выберите "Управление регистрациями" в разделе Параметры меню навигации для экземпляра службы подготовки устройств и перейдите на вкладку "Группы регистрации".

5. Выберите имя группы регистрации из списка.

6. В разделе параметров сертификата X.509 и выберите новый корневой сертификат ЦС, чтобы заменить скомпрометированный или просроченный сертификат или добавить в качестве дополнительного сертификата.

   

7. Выберите Сохранить.

8. Если вы удалили скомпрометированный сертификат из службы подготовки, сертификат по-прежнему можно использовать для подключения устройств к Центру Интернета вещей до тех пор, пока для него существуют регистрации устройств. Это можно сделать двумя способами:

   Первым способом будет вручную перейти к центру Интернета вещей и немедленно удалить регистрации устройств, связанные с скомпрометированный сертификат. Затем, когда устройства снова будут подготовлены с использованием обновленных сертификатов, для каждого из этих устройств будет создана регистрация.

   Второй способ — использовать поддержку повторной подготовки и еще раз подготовить устройства для того же Центра Интернета вещей. Этот подход можно использовать для замены сертификатов, используемых при регистрации устройств в Центре Интернета вещей. Дополнительные сведения см. в статье Способы повторной подготовки устройств.

Обновление промежуточных сертификатов

1. Выберите "Управление регистрациями" в разделе Параметры меню навигации для экземпляра службы подготовки устройств и перейдите на вкладку "Группы регистрации".

2. Выберите имя группы из списка.

3. Если вы хотите удалить существующий сертификат, проверьте или замените первичный или вторичный сертификат проверка boxes. Щелкните значок папки файла, чтобы найти и отправить новые сертификаты.

   Если любой из ваших сертификатов был скомпрометирован, их следует удалить как можно скорее.

   Если один из сертификатов приближается к истечении срока действия, его можно сохранить до тех пор, пока второй сертификат по-прежнему будет активным после этой даты.

   Каждый промежуточный сертификат должен быть подписан проверенным корневым сертификатом ЦС, который уже добавлен в службу подготовки. Дополнительные сведения см. в разделе Сертификаты X.509.

   

4. Если вы удалили скомпрометированный сертификат из службы подготовки, сертификат по-прежнему можно использовать для подключения устройств к Центру Интернета вещей до тех пор, пока для него существуют регистрации устройств. Это можно сделать двумя способами:

   Первый способ — вручную перейти в Центр Интернета вещей и немедленно удалить регистрацию устройства, связанную со скомпрометированным сертификатом. Затем, когда устройства снова будут подготовлены с использованием обновленных сертификатов, для каждого из этих устройств будет создана регистрация.

   Второй способ — использовать поддержку повторной подготовки и еще раз подготовить устройства для того же Центра Интернета вещей. Этот подход можно использовать для замены сертификатов, используемых при регистрации устройств в Центре Интернета вещей. Дополнительные сведения см. в статье Способы повторной подготовки устройств.

Повторная подготовка устройства

После развертывания сертификата на устройстве и в службе подготовки устройств устройство может повторно подготовиться, связавшись со службой подготовки устройств.

Первый простой способ настройки повторной подготовки — запрограммировать устройство для установки связи со службой подготовки, чтобы пройти через поток подготовки, если устройство получает ошибку "Недостаточно прав" при подключении к Центру Интернета вещей.

Другой способ допустим для старых и новых сертификатов. В нем Центр Интернета вещей используется для отправки устройствам команды на выполнение повторной регистрации в службе подготовки, чтобы обновить информацию о подключении к Центру Интернета вещей. Так как каждое устройство может обрабатывать команды по-разному, необходимо запрограммировать устройство, чтобы узнать, что делать при вызове команды. Существует несколько способов отправки команды устройству через Центр Интернета вещей. Для запуска процесса мы рекомендуем использовать прямые методы или задания.

После завершения повторной подготовки устройства смогут подключаться к Центр Интернета вещей с помощью новых сертификатов.

Запрет сертификатов

При возникновении бреши в системе безопасности иногда нужно запрещать использование сертификатов устройств. Чтобы добавить сертификат устройства в список блокировок, отключите запись регистрации целевого устройства или сертификата. Дополнительные сведения о запрете использования устройств см. в статье Управление отзывами регистраций.

После того как сертификат будет включен как часть отключенной записи регистрации, любые попытки зарегистрироваться в Центре Интернета вещей с помощью сертификатов завершатся ошибкой, даже если он включен как часть другой записи регистрации.

Следующие шаги

• Сведения о сертификатах X.509 в Службе подготовки устройств к добавлению в Центр Интернета вещей см. в статье Аттестация на основе сертификата X.509.
• Сведения о подтверждении владения сертификатами ЦС X.509 с помощью Службы подготовки устройств к добавлению в Центр Интернета вещей см. в этой статье.
• Дополнительные сведения о создании группы регистрации на портале см. в статье Как управлять регистрацией устройств с помощью портала Azure.