Sertifikaları nasıl Azure IoT Edge anlama
Uygulama hedefi: 
IoT Edge 1,1 diğer sürümler: IoT Edge 1,2
Uygulama hedefi: IoT Edge 1,2 diğer sürümler: IoT Edge 1,1
IoT Edge sertifikaları, modüller ve aşağı akış IoT cihazları tarafından hub çalışma zamanı modülünün kimliğini ve IoT Edge doğrulamak için kullanılır. Bu doğrulamalar çalışma zamanı, modüller ve IoT cihazları arasında TLS (aktarım katmanı güvenliği) güvenli bağlantı sağlar. Bu IoT Hub gibi, IoT Edge IoT aşağı akış (veya yaprak) cihazlarından güvenli ve şifrelenmiş bir bağlantı ve modüller IoT Edge gerekir. Güvenli bir TLS bağlantısı kurmak için IoT Edge hub'ı modülü, istemcilerin kimliğini doğrulamaları için bağlanan istemcilere bir sunucu sertifika zinciri sunar.
Not
Bu makale, bir IoT Edge cihazı veya bir IoT Edge yaprak cihaz arasındaki farklı bileşenler arasındaki bağlantıların güvenliğini sağlamak için kullanılan sertifikalardan söz eder. Ayrıca sertifikalar kullanarak IoT Edge cihazınızın kimliğini IoT Hub. Bu kimlik doğrulama sertifikaları farklıdır ve bu makalede ele alınmamıştır. Sertifikalarla cihazınızın kimliklerini doğrulama hakkında daha fazla bilgi için bkz. X.509 sertifikalarını kullanarak IoT Edgecihaz oluşturma ve sağlama.
Bu makalede, IoT Edge, geliştirme ve test senaryolarında sertifikaların nasıl çalışaları açıklanmıştır.
Sürüm 1.2'de yapılan değişiklikler
- Cihaz CA sertifikası, uç CA sertifikası olarak yeniden adlandırıldı.
- İş yükü CA sertifikası kullanım dışı kaldı. Artık IoT Edge yöneticisi, IoT Edge hub sunucusu sertifikasını aralarında ara iş yükü CA sertifikası olmadan doğrudan uç CA sertifikasından üretir.
IoT Edge sertifikaları
Bir IoT Edge cihazında sertifika ayarlamaya IoT Edge vardır. Bazen bir cihazın son kullanıcısı veya operatörü, bir üretici tarafından yapılan genel bir cihazı satın alan kullanıcılar sertifikaları kendileri yönetir. Diğer durumlarda üretici, operatör için özel bir cihaz oluşturmak üzere sözleşme kapsamında çalışır ve cihazı teslimmeden önce bazı ilk sertifika imzalamalarını yapar. Sertifika IoT Edge, her iki senaryoyu da dikkate almaya çalışır.
Aşağıdaki şekilde, IoT Edge kullanımı göstermektedir. Dahil olan varlık sayısına bağlı olarak kök CA sertifikası ile cihaz CA sertifikası arasında sıfır, bir veya daha fazla ara imzalama sertifikası olabilir. Burada bir olay gösteriyoruz.
Not
Şu anda libiothsm'daki bir sınırlama, 1 Ocak 2038'de veya sonrasında süresi dolan sertifikaların kullanımını önlemektedir. Bu sınırlama cihaz CA sertifikası, güven paketinde yer alan tüm sertifikalar ve X.509 sağlama yöntemleri için kullanılan cihaz kimliği sertifikaları için geçerlidir.
Sertifika yetkilisi
Sertifika yetkilisi (kısaca 'CA' ) dijital sertifikalar alan bir varlıktır. Sertifika yetkilisi, sertifikanın sahibi ve alıcısı arasında güvenilir bir üçüncü taraf olarak davranır. Dijital sertifika, sertifikanın alıcısı tarafından ortak anahtarın sahipliğini doğrular. Sertifika güven zinciri, başlangıçta, yetkili tarafından verilen tüm sertifikalara güvenin temeli olan bir kök sertifika vermeyle çalışır. Daha sonra, sahip ek ara sertifikalar ('yaprak' sertifikalar) yapmak için kök sertifikayı kullanabilir.
Kök CA sertifikası
Kök CA sertifikası, tüm sürecin güven kökü olur. Üretim senaryolarında bu CA sertifikası genellikle Baltimore, Verisign veya DigiCert gibi güvenilir bir ticari sertifika yetkiliden satın alınır. IoT Edge cihazlarınıza bağlanan cihazlar üzerinde tam denetime sahip IoT Edge, şirket düzeyinde bir sertifika yetkilisi kullanabilirsiniz. Her iki durumda da, yaprak IoT cihazlarının kök sertifikaya güvenmesi IoT Edge hub'dan tüm sertifika zinciri buna yuvarlanıyor. Kök CA sertifikasını güvenilen kök sertifika yetkilisi deposuna depoabilir veya uygulama kodunda sertifika ayrıntılarını sebilirsiniz.
Ara sertifikalar
Güvenli cihazlar oluşturmaya yönelik tipik bir üretim sürecinde kök CA sertifikaları, özellikle sızıntı veya maruz kalma riski nedeniyle nadiren kullanılır. Kök CA sertifikası bir veya daha fazla ara CA sertifikası oluşturur ve dijital olarak imzalar. Yalnızca bir tane olabilir veya bu ara sertifikaların zinciri olabilir. Ara sertifika zinciri gerektiren senaryolar şunlardır:
Bir üretici içindeki departman hiyerarşisi.
Bir cihazın üretime seri olarak dahil olduğu birden çok şirket.
Bir müşteri kök CA satın alıp üretici için bir imzalama sertifikası türeterek bu müşterinin adına cihazlarını imzalar.
Her durumda üretici, son cihaza yerleştirilen cihaz CA sertifikasını imzalamak için bu zincirin sonunda bir ara CA sertifikası kullanır. Genellikle, bu ara sertifikalar üretim tesisinde yakından korunuyor. Kullanımları için hem fiziksel hem de elektronik olarak katı işlemlere tabi tutullar.
Cihaz CA sertifikası
Cihaz CA sertifikası, işlemde son ara CA sertifikası tarafından oluşturulur ve imzalanmıştır. Bu sertifika, tercihen donanım IoT Edge modülü (HSM) gibi güvenli depolama alanına yüklenir. Buna ek olarak, bir cihaz CA sertifikası, bir IoT Edge tanımlar. Cihaz CA sertifikası diğer sertifikaları imzalar.
IoT Edge İş Yükü CA'sı
Güvenlik IoT Edge Yöneticisi, ilk kez başlatıldığında, sürecin "işleç" tarafında ilk iş yükü CA IoT Edge üretir. Bu sertifika, cihaz CA sertifikasından oluşturulur ve tarafından imzalanmıştır. Başka bir ara imzalama sertifikası olan bu sertifika, çalışma zamanı tarafından kullanılan diğer sertifikaları oluşturmak ve imzalamak IoT Edge kullanılır. Bugün, bu öncelikle IoT Edge bölümde ele alınan bir hub sunucusu sertifikasıdır, ancak gelecekte bu bileşenlerin kimlik doğrulamasını IoT Edge içerebilir.
Bu "iş yükü" ara sertifikanın amacı, cihaz üreticisi ile cihaz operatörü arasındaki sorunları ayırmaktır. Imagine cihazın satıldığı IoT Edge müşteriye aktarıldığı bir senaryodur. Büyük olasılıkla üretici tarafından sağlanan cihaz CA sertifikasının sabit olması gerekir. Ancak, cihazın çalışmasına özgü "iş yükü" sertifikaları yeni dağıtım için silinip yeniden oluşturulmalısınız.
Edge CA sertifikası
Uç CA sertifikası, işlemde son ara CA sertifikası tarafından oluşturulur ve imzalanmıştır. Bu sertifika, tercihen donanım IoT Edge modülü (HSM) gibi güvenli depolama alanına yüklenir. Buna ek olarak, bir uç CA sertifikası bir uç IoT Edge tanımlar. Uç CA sertifikası diğer sertifikaları imzalar.
IoT Edge hub sunucusu sertifikası
Bu IoT Edge hub sunucusu sertifikası, veritabanı tarafından gerekli TLS bağlantısının kurulması sırasında yaprak cihazlara ve modüllere sunulan gerçek sertifika IoT Edge. Bu sertifika, yaprak IoT cihazın güvenmesi gereken kök CA sertifikasına kadar oluşturmak için kullanılan imzalama sertifikalarının tam zincirini sunar. IoT Edge tarafından üretilen bu IoT Edge hub sertifikasının ortak adı (CN), küçük harfe dönüştürmeden sonra yapılandırma dosyasındaki 'hostname' özelliğine ayarlanır.
İpucu
Hub IoT Edge sertifika ortak adı olarak cihazın ana bilgisayar adı özelliğini kullandığından, zincirde başka hiçbir sertifika aynı ortak adı kullanmaz.
Güvenlik IoT Edge Yöneticisi, IoT Edge ilk kez başlatıldığında, "işleç" tarafında ilki olan IoT Edge sertifikasını üretir. Bu sertifika, uç CA sertifikasından oluşturulur ve tarafından imzalanmıştır.
Üretim üzerindeki etkileri
Üretim ve operasyon süreçleri birbirinden ayrıldığından, üretim cihazlarını hazırlarken aşağıdaki etkileri göz önünde bulundurabilirsiniz:
Herhangi bir sertifika tabanlı işlemde, kök CA sertifikasının ve tüm ara CA sertifikalarının güvenli hale getirildiklerine ve bir cihaza IoT Edge izlenmeleri gerekir. Cihaz IoT Edge üreticisinin, ara sertifikaların düzgün depolanması ve kullanımı için güçlü işlemlere sahip olması gerekir. Ayrıca, cihaz CA sertifikası, tercihen bir donanım güvenlik modülü olarak cihazın kendisinde mümkün olduğunca güvenli depolamada tutulmalıdır.
IoT Edge hub sunucusu sertifikası, bağlı istemci IoT Edge modüllerine bir hub tarafından sunulmuştur. Cihaz CA sertifikasının ortak adı (CN), cihaz sertifika sertifikasının yapılandırma dosyasında kullanılacak "ana bilgisayar adı" ile IoT Edge değildir. İstemciler tarafından IoT Edge'a bağlanmak için kullanılan ad (örneğin, bağlantı dizesinin GatewayHostName parametresi veya MQTT'de CONNECT komutu aracılığıyla) cihaz CA sertifikasında kullanılan ortak adla aynı değildir. Bu kısıtlamanın nedeni, IoT Edge hub'ına istemcilerin doğrulama için tüm sertifika zincirini sunar. Hem IoT Edge hub sunucusu sertifikası hem de cihaz CA sertifikası aynı CN'ye sahipse, bir doğrulama döngüsünde elde edersiniz ve sertifika geçersiz kılınır.
Cihaz CA sertifikası, IoT Edge güvenlik daemon'ı tarafından son IoT Edge oluşturmak için kullandığı için, kendisi bir imzalama sertifikası olmalı, yani sertifika imzalama özelliklerine sahiptir. Cihaz CA sertifikasına "V3 Temel kısıtlamalar CA:True" uygulanarak gerekli anahtar kullanım özellikleri otomatik olarak ayarlanır.
Herhangi bir sertifika tabanlı işlemde, kök CA sertifikasının ve tüm ara CA sertifikalarının güvenli hale getirildiklerine ve bir cihaza IoT Edge izlenmeleri gerekir. Cihaz IoT Edge üreticisinin, ara sertifikaların düzgün depolanması ve kullanımı için güçlü işlemlere sahip olması gerekir. Buna ek olarak, uç CA sertifikası tercihen bir donanım güvenlik modülü olarak cihazın kendisinde mümkün olduğunca güvenli depolamada tutulmalıdır.
IoT Edge hub sunucusu sertifikası, bağlı istemci IoT Edge modüllerine bir hub tarafından sunulmuştur. Uç CA sertifikasının ortak adı (CN), IoT Edge cihazın yapılandırma dosyasında kullanılacak "ana bilgisayar adı" ile aynı değildir. İstemciler tarafından IoT Edge'a bağlanmak için kullanılan ad (örneğin, bağlantı dizesinin GatewayHostName parametresi veya MQTT'de CONNECT komutu aracılığıyla) edge CA sertifikasında kullanılan ortak adla aynı değildir. Bu kısıtlamanın nedeni, IoT Edge hub'ına istemcilerin doğrulama için tüm sertifika zincirini sunar. Hem IoT Edge hub sunucusu sertifikası hem de uç CA sertifikası aynı CN'ye sahipse, bir doğrulama döngüsünde elde edersiniz ve sertifika geçersiz kılınır.
Uç CA sertifikası son sertifika sertifikalarını oluşturmak için IoT Edge güvenlik daemon'ı tarafından IoT Edge, kendisi bir imzalama sertifikası olmalı, yani sertifika imzalama özelliklerine sahiptir. Uç CA sertifikasına "V3 Temel kısıtlamalar CA:True" uygulanarak gerekli anahtar kullanım özellikleri otomatik olarak ayarlanır.
Geliştirme ve Test etkileri
Microsoft, geliştirme ve test senaryolarını kolaylaştırmak için, saydam ağ geçidi senaryosunda IoT Edge için uygun olan üretim dışı sertifikaları oluşturmaya yönelik bir dizi kullanışlı betik sağlar. Betiklerin nasıl çalıştığı hakkında örnekler için bkz. IoT Edge cihaz özelliklerini test etmek için tanıtım sertifikaları oluşturma.
İpucu
IoT cihaz SDK 'sını kullanan cihaz IoT "yaprak" cihazlarınızı ve uygulamalarınızı IoT Edge aracılığıyla bağlamak için, isteğe bağlı GatewayHostName parametresini cihazın bağlantı dizesinin sonuna eklemeniz gerekir. IoT Edge hub sunucusu sertifikası oluşturulduğunda, yapılandırma dosyasından ana bilgisayar adının düşük düzeyli bir sürümünü temel alır, bu nedenle, eşleşecek adların ve TLS sertifikası doğrulamasının başarılı olması için, daha küçük bir durumda GatewayHostName parametresini girmeniz gerekir.
IoT Edge sertifika hiyerarşisi örneği
Bu sertifika yolunun bir örneğini görmek için, aşağıdaki ekran görüntüsü, bir saydam ağ geçidi olarak ayarlanan çalışan bir IoT Edge cihazından oluşur. OpenSSL IoT Edge hub 'ına bağlanmak, sertifikaları doğrulamak ve bunların dökümünü almak için kullanılır.
Ekran görüntüsünde temsil edilen sertifika derinliği hiyerarşisini görebilirsiniz:
| Sertifika türü | Sertifika adı |
|---|---|
| Kök CA sertifikası | Yalnızca Azure IoT Hub CA sertifika sınaması |
| Ara CA sertifikası | Yalnızca Azure IoT Hub ara sertifika sınaması |
| Cihaz CA sertifikası | iotgateway.ca ("iotgateway", uygun betiklerin CA sertifikası adı olarak geçildi) |
| İş yükü CA sertifikası | iotedge iş yükü CA |
| IoT Edge hub sunucusu sertifikası | iotedgegw. Local (yapılandırma dosyasındaki ' hostname ' ile eşleşir) |
Ekran görüntüsünde temsil edilen sertifika derinliği hiyerarşisini görebilirsiniz:
| Sertifika türü | Sertifika adı |
|---|---|
| Kök CA sertifikası | Yalnızca Azure IoT Hub CA sertifika sınaması |
| Ara CA sertifikası | Yalnızca Azure IoT Hub ara sertifika sınaması |
| Cihaz CA sertifikası | iotgateway.ca ("iotgateway", uygun betiklerin CA sertifikası adı olarak geçildi) |
| IoT Edge hub sunucusu sertifikası | iotedgegw. Local (yapılandırma dosyasındaki ' hostname ' ile eşleşir) |
Sonraki adımlar
Azure IoT Edge modüllerini anlama
IoT Edge cihazını saydam ağ geçidi olarak davranacak şekilde yapılandırma