Share via

如何使用裝置布建服務驗證 X.509 CA 憑證

  • 發行項

已驗證的 X.509 證書頒發機構單位 (CA) 憑證是 CA 憑證,已上傳並註冊至您的布建服務,然後透過服務擁有權證明進行驗證。

已驗證的憑證在使用註冊群組時扮演重要角色。 確認憑證擁有權可提供額外的安全性層,方法是確保憑證的上傳者擁有憑證的私鑰。 驗證可防止惡意執行者窺探流量,以擷取中繼憑證,並使用該憑證在其佈建服務中建立註冊群組,從而有效地劫持您的裝置。 藉由證明憑證鏈結中根憑證或中繼憑證的擁有權,您證明您有權為將註冊為該註冊群組一部分的裝置產生分葉憑證。 基於這個理由,註冊群組中設定的根憑證或中繼憑證必須是已驗證的憑證,或必須在裝置向服務進行驗證時,在憑證鏈結中匯總到已驗證的憑證。 若要深入瞭解 X.509 憑證證明,請參閱 X.509 憑證

必要條件

開始本文中的步驟之前,請先備妥下列必要條件:

  • 在您的 Azure 訂用帳戶中建立的 DPS 實例。
  • .cer 或 .pem 憑證檔案。

透過自我證明自動驗證中繼或根 CA

如果您使用信任的中繼或根 CA,並知道您擁有憑證的完整擁有權,您可以自行證明您已驗證憑證。

若要新增自動驗證的憑證,請遵循下列步驟:

  1. Azure 入口網站 中,流覽至您的布建服務,然後從左側功能表中選取 [憑證]。

  2. 選取 [新增] 以新增憑證。

  3. 為您的憑證輸入易記顯示名稱。

  4. 瀏覽至代表 X.509 憑證公用部分的 .cer 或 .pem 檔案。 按一下 [上傳] 。

  5. 核取 [將憑證狀態設定為上傳時已驗證] 旁的方塊。

    顯示上傳憑證並設定已驗證狀態的螢幕快照。

  6. 選取 [儲存]。

  7. 您的憑證會顯示在狀態為 [已驗證] 的 [憑證] 索引標籤中。

    顯示上傳後已驗證憑證的螢幕快照。

手動驗證中繼或根 CA

當您將新的中繼或根 CA 憑證上傳至 DPS 時,建議使用自動驗證。 不過,如果您的IoT案例有意義,您仍然可以執行擁有權證明。

擁有證明牽涉到下列步驟:

  1. 取得 X.509 CA 憑證佈建服務所產生的唯一驗證碼。 您可以從 Azure 入口網站執行此動作。
  2. 使用驗證碼作為主體建立 X.509 驗證憑證,並使用與 X.509 CA 憑證相關聯的私密金鑰簽署憑證。
  3. 將已簽署的驗證憑證上傳至服務。 服務會使用要驗證的 CA 憑證公開部分來驗證驗證憑證,以證明您擁有 CA 憑證的私密金鑰。

註冊 X.509 憑證的公用部分,並取得驗證碼

若要向布建服務註冊 CA 憑證,並取得可在擁有證明期間使用的驗證碼,請遵循下列步驟。

  1. 在 Azure 入口網站 中,流覽至您的布建服務,然後從左側功能表開啟 [憑證]。

  2. 選取 [新增] 以新增憑證。

  3. [憑證名稱] 欄位中輸入憑證的易記顯示名稱

  4. 選取資料夾圖示,然後流覽至代表 X.509 憑證公用部分的 .cer 或 .pem 檔案。 選取開啟

  5. 一旦您收到已成功上傳憑證的通知,請選取 [ 儲存]。

    顯示上傳憑證而不需自動驗證的螢幕快照。

    您的憑證會顯示在 [憑證 總管] 列表中。 請注意,此憑證的狀態為 [未驗證]。

  6. 選取您在上一個步驟中新增的憑證,以開啟其詳細數據。

  7. 在憑證詳細數據中,請注意有空 的 [驗證碼 ] 字段。 選取 [ 產生驗證碼 ] 按鈕。

    顯示產生擁有證明驗證碼的螢幕快照。

  8. 布建服務會 建立驗證碼 ,可用來驗證憑證擁有權。 將程式碼複製至剪貼簿。

以數位方式簽署驗證碼以建立驗證憑證

現在,您必須使用與 X.509 CA 憑證相關聯的私鑰來簽署 DPS 的驗證碼,以產生簽章。 此步驟稱為 擁有 證明,並會產生已簽署的驗證憑證。

Microsoft 提供工具和範例,以協助您建立已簽署的驗證憑證:

  • Azure IoT 中樞 C SDK 提供 PowerShell (Windows) 和 Bash (Linux) 腳本,協助您建立 CA 和分葉憑證以進行開發,並使用驗證碼執行擁有權證明。 您可以將與系統相關的檔案下載到工作資料夾,並遵循管理 CA 憑證自述檔中指示,在 CA 憑證上執行擁有權證明。
  • Azure IoT 中樞 C# SDK 包含群組憑證驗證範例,您可以使用此範例來執行擁有權證明。

檔和 SDK 中提供的 PowerShell 和 Bash 腳本依賴 OpenSSL。 您也可以使用 OpenSSL 或其他第三方工具來協助您進行擁有證明。 如需使用 SDK 所提供的工具的範例,請參閱 建立 X.509 憑證鏈結

上傳已簽署的驗證憑證

將產生的簽章作為驗證憑證上傳至 Azure 入口網站 中的布建服務。

  1. 在複製驗證碼的來源 Azure 入口網站 憑證詳細數據中,選取 [驗證憑證 .pem] 或 [.cer 檔案] 字段旁的資料夾圖示。 從您的系統流覽至已簽署的驗證憑證,然後選取 [ 開啟]。

  2. 成功上傳憑證之後,請選取 [ 驗證]。 憑證的狀態會變更為 [憑證] 清單中的 [已驗證]。 如果未自動更新,請選取 [ 重新 整理]。

下一步

  • 若要瞭解如何使用入口網站建立註冊群組,請參閱使用 Azure 入口網站 管理裝置註冊。
  • 若要瞭解如何使用服務 SDK 來建立註冊群組,請參閱 使用服務 SDK 管理裝置註冊。