Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il rilascio del certificato del dispositivo è il processo in base al quale i dispositivi richiedono e ricevono un certificato come parte del provisioning. Azure Device Registry (ADR) genera e rilascia un nuovo certificato X.509 ai dispositivi IoT durante il provisioning. Questo articolo illustra la responsabilità di un dispositivo di inviare una richiesta di firma del certificato (CSR), il modo in cui ADR e il servizio Device Provisioning interagiscono per rilasciare certificati su larga scala e come hub IoT considera attendibili i certificati rilasciati.
Importante
hub IoT di Azure con l'integrazione di ADR e la gestione dei certificati X.509 supportata da Microsoft è in public preview e non è consigliata per i carichi di lavoro di produzione. Per altre informazioni, vedere FAQ: Novità di hub IoT?
Funzionamento del rilascio del certificato del dispositivo
I passaggi seguenti illustrano il flusso di emissione end-to-end:
- Il dispositivo IoT si connette all'endpoint DPS ed esegue l'autenticazione usando le credenziali di onboarding preconfigurato, ad esempio una chiave simmetrica, un certificato X.509 o TPM (Trusted Platform Module). Come parte di questa chiamata di registrazione, il dispositivo invia una richiesta di firma del certificato (CSR) che include la chiave pubblica del dispositivo e il relativo ID registrazione.
- Dps assegna il dispositivo IoT a un hub IoT in base alla configurazione della registrazione.
- L'identità del dispositivo viene creata in hub IoT e registrata nello spazio dei nomi ADR. La richiesta di firma del certificato viene inoltrata all'infrastruttura PKI univoca assegnata allo spazio dei nomi ADR. L'infrastruttura a chiave pubblica valida la richiesta e la inoltra alla politica collegata alla registrazione DPS.
- La CA che emette la politica firma e rilascia il certificato operativo.
- DPS restituisce il certificato emesso e hub IoT restituisce i dettagli di connessione al dispositivo.
- Il dispositivo esegue l'autenticazione con hub IoT presentando la catena di certificati completa.
Requisiti della richiesta di firma del certificato
Quando un dispositivo effettua il provisioning o il reprovisioning, invia una richiesta di firma del certificato al servizio Device Provisioning. Il servizio Device Provisioning si aspetta che la richiesta di firma del certificato soddisfi i requisiti seguenti:
- Formato: Regole di codifica distinte con codifica Base64 (DER) che seguono la specifica PKCS (Public Key Cryptography Standards) #10. Non è possibile includere intestazioni e piè di pagina della mail migliorata per la privacy (PEM).
- Nome comune (CN): Il campo CN deve corrispondere esattamente all'ID registrazione DPS del dispositivo.
- Algoritmo chiave: Chiave della curva ellittica (EC) che usa la curva P-384 NIST. Le chiavi RSA non sono supportate nell'anteprima corrente.
Per esempi di implementazione, vedere Esempi di SDK per dispositivi DPS.
Algoritmi di crittografia
L'amministrazione dei certificati utilizza i seguenti standard di crittografia per tutti i certificati emessi da una politica:
| Proprietà | Valore |
|---|---|
| Algoritmo chiave | ECC (ECDSA) |
| Curva | NIST P-384 (secp384r1) |
| Algoritmo hash | SHA-384 |
| Archiviazione delle chiavi | Azure Managed HSM (modulo di sicurezza hardware gestito) |
ECC con P-384 offre una sicurezza equivalente a RSA con dimensioni chiave molto più piccole. Questo algoritmo produce certificati più piccoli, handshake TLS più veloci e un consumo di energia inferiore nei dispositivi IoT vincolati.
hub IoT sincronizzazione delle credenziali e attendibilità
Affinché un dispositivo esegua l'autenticazione con hub IoT usando il certificato emesso, hub IoT deve considerare attendibile la CA emittente che ha firmato il certificato del dispositivo. AdR gestisce questa relazione di trust tramite la sincronizzazione delle credenziali, che esegue il push del certificato CA emittente da ADR all'hub IoT collegato.
Per eseguire manualmente la sincronizzazione delle credenziali, usare il comando interfaccia della riga di comando di Azure seguente:
az iot adr ns credential sync --namespace <namespace> -g <resource-group>
hub IoT archivia il certificato ca emittente e lo usa per convalidare la catena di certificati presente nei dispositivi durante l'autenticazione TLS.