Gerenciar certificados para comunicações externas

Operações do Azure IoT usa o TLS para criptografar toda a comunicação. Este artigo descreve como gerenciar certificados para comunicações externas, como autenticar servidores OPC UA externos.

Para obter informações sobre como gerenciar certificados para comunicações internas, incluindo o emissor autoassinado padrão e trazer seu próprio emissor de AC, consulte Traga seu próprio emissor.

Pré-requisitos

Uma instância das Operações do Azure IoT implantada com configurações seguras. Para implantar Operações do Azure IoT com configurações seguras, siga as etapas em Deploy Operações do Azure IoT em um cluster de produção. Se você implantou anteriormente Operações do Azure IoT com configurações de teste, precisará primeiro abilitar configurações seguras.

Gerenciar certificados para comunicações externas

As Operações do Azure IoT usam o Azure Key Vault como a solução de cofre gerenciado na nuvem e usam a extensão Repositório de segredos seguro do Azure Key Vault para Kubernetes para sincronizar os segredos da nuvem e armazená-los na borda como segredos do Kubernetes.

Importante

Embora as Operações de IoT do Azure usem certificados para proteger comunicações externas, esses certificados são armazenados como segredos no Azure Key Vault. Ao adicionar um certificado ao Azure Key Vault, adicione-o como um segredo, não como um recurso de certificado.

Configurar permissões do Azure Key Vault

Para usar a experiência de operações para criar segredos no cofre de chaves, o usuário requer permissões do Key Vault Secrets Officer no nível do recurso no Azure.

Em um ambiente de teste ou desenvolvimento, use as seguintes etapas para atribuir a função Key Vault Secrets Officer ao usuário no nível do grupo de recursos em que a instância de Operações IoT do Azure e a instância do Azure Key Vault são implantadas:

Para localizar o nome do grupo de recursos, acesse a interface do usuário da Web da experiência de operações , acesse a página Instâncias e localize sua instância de Operações de IoT do Azure. O nome do grupo de recursos é mostrado no campo Grupo de recursos.
Vá para o portal do Azure e vá para o grupo de recursos em que sua instância de Operações IoT do Azure e a instância do Azure Key Vault são implantadas.

Dica

Use a caixa de pesquisa na parte superior do portal do Azure para localizar rapidamente o grupo de recursos digitando o nome.
Selecione controle de acesso (IAM) no menu à esquerda. Em seguida, selecione + Adicionar > Adicionar atribuição de função.
Na guia Funções, selecione Key Vault Secrets Officer na lista de funções e, em seguida, selecione Avançar.
Na guia Membros, selecione Usuário, grupo ou entidade de serviço, Selecione Membros, selecione o usuário que você deseja atribuir a função de Oficial de Segredos do Key Vault e selecione Avançar.
Clique em Revisar + atribuir para concluir a atribuição de função.

Em um ambiente de produção, siga as práticas recomendadas para proteger o Azure Key Vault que você usa com operações de IoT do Azure. Para obter mais informações, consulte as práticas recomendadas para usar o Azure Key Vault.

Adicionar e usar certificados

Os conectores usam a experiência de gerenciamento de certificados para configurar a autenticação de aplicativos para servidores externos. Por exemplo, o conector para OPC UA usa certificados na lista de confiança para autenticar a identidade do servidor dos servidores OPC UA aos quais ele se conecta.

Ao implantar Operações do Azure IoT com configurações seguras, você pode começar a adicionar certificados ao Azure Key Vault e sincronizá-los com o cluster Kubernetes a ser usado na lista de certificados confiáveis e repositórios de lista do Emissor para conexões externas. Cada conector tem sua própria lista de confiança para armazenar os certificados dos servidores externos aos qual confia e se conecta.

Você pode gerenciar certificados para comunicações externas por meio da interface web de operações ou da CLI do Azure:

Experiência de operações
CLI do Azure

Para gerenciar certificados para comunicações externas, siga estas etapas:

Acesse a experiência de Operações do Azure IoT e escolha seu site e a instância de Operações de IoT do Azure.
No painel de navegação esquerdo, selecione Dispositivos.
Selecione em Gerenciar certificados e segredos.
Na página Certificados e Segredos, selecione em Adicionar novo certificado.
Você pode adicionar um novo certificado de duas maneiras:
- Carregar certificado: carrega um certificado para adicionar como um segredo ao Azure Key Vault e sincronizar automaticamente com o cluster usando a extensão do repositório secreto.
  - Exiba os detalhes do certificado uma vez carregados para garantir que você tenha o certificado correto antes de adicionar ao Azure Key Vault e sincronizar com o cluster.
  - Use um nome intuitivo para que você possa reconhecer qual segredo representa seu segredo no futuro.
  - Selecione o repositório de certificados apropriado para o conector que usa o certificado. Por exemplo, lista de confiança do OPC UA.
  Observação
  
  Simplesmente carregar o certificado não adiciona o segredo ao Azure Key Vault e sincroniza com o cluster. Você deve selecionar Aplicar para que as alterações sejam aplicadas.
- Adicionar do Azure Key Vault: Adicionar um segredo existente do Azure Key Vault para ser sincronizado com o cluster.
  
  Observação
  
  Selecione o segredo que contém o certificado que você deseja sincronizar com o cluster. Selecionar um segredo que não é o certificado correto faz com que a conexão falhe.
Usando a exibição de lista, você pode gerenciar os certificados sincronizados. Você pode exibir todos os certificados sincronizados e qual repositório de certificados ele é sincronizado para:

Você também pode excluir certificados sincronizados. Quando você exclui um certificado sincronizado, ele exclui apenas o certificado sincronizado do cluster kubernetes e não exclui a referência secreta contida do Azure Key Vault. Você deve excluir o segredo do certificado manualmente do cofre de chaves.

Você pode usar o CLI do Azure para gerenciar os certificados na lista de confiança de um conector. O fluxo da CLI pressupõe que o certificado já esteja armazenado como um segredo no Azure Key Vault. Consulte Adicionar certificados como segredos ao Azure Key Vault para obter detalhes.

Dica

O fluxo do CLI do Azure se sobrepõe parcialmente à experiência operacional. A experiência de operações também pode carregar um novo certificado para Azure Key Vault como parte do mesmo fluxo, enquanto o CLI do Azure requer que o certificado já exista como um segredo em Azure Key Vault.

Conector para OPC UA

Para o conector OPC UA, use os comandos dedicados az iot ops connector opcua trust e az iot ops connector opcua issuer para adicionar certificados às listas de confiança e de emissores. Para obter mais informações, consulte az iot ops connector opcua trust e az iot ops connector opcua issuer.

Outros conectores

Para os conectores para HTTP/REST, MQTT, ONVIF, SSE e o conector de mídia, use as seguintes etapas para adicionar um certificado à lista de confiança do conector:

Verifique se o certificado já está armazenado como um segredo no Azure Key Vault. Para saber mais, consulte Adicionar certificados ao Azure Key Vault como segredos.
Crie um segredo sincronizado no cluster que faça referência ao segredo do Key Vault. O exemplo a seguir cria um segredo sincronizado chamado my-trust-list que mapeia o segredo Azure Key Vault my-cert-pem para o arquivo ca.crt no cluster:
```
az iot ops secretsync secret set \
  --instance <your-instance-name> \
  --resource-group <your-resource-group> \
  --name my-trust-list \
  --secret target=ca.crt source=my-cert-pem
```
Para obter mais informações, consulte az iot ops secretsync secret set.
Atualize o modelo de conector para fazer referência ao segredo sincronizado no campo de lista confiável da configuração de runtime. Use az iot ops connector template update com o parâmetro --trust-settings-secret-ref para definir o nome do segredo sincronizado. Para obter mais informações, consulte az iot ops connector template update.

Adicionar certificados como segredos ao Azure Key Vault

Se você usar a experiência de operações para selecionar certificados existentes que foram adicionados anteriormente ao Azure Key Vault, verifique se os segredos estão em um formato e codificação com suporte nas Operações de IoT do Azure.

Para adicionar um segredo de certificado PEM ao Azure Key Vault, você pode usar um comando como o seguinte exemplo:

az keyvault secret set \
  --vault-name <your-key-vault-name> \
  --name my-cert-pem \
  --file ./my-cert.pem \
  --encoding hex \
  --content-type 'application/x-pem-file'

Para adicionar um segredo de certificado DER binário ao Azure Key Vault, você pode usar um comando como o seguinte exemplo:

az keyvault secret set \
  --vault-name <your-key-vault-name> \
  --name my-cert-der \
  --file ./my-cert.der \
  --encoding hex \
  --content-type 'application/pkix-cert'

Comentários

Esta página foi útil?

Last updated on 2026-05-31

Gerenciar certificados para comunicações externas

Pré-requisitos

Gerenciar certificados para comunicações externas

Configurar permissões do Azure Key Vault

Adicionar e usar certificados

Adicionar certificados como segredos ao Azure Key Vault

Comentários

Recursos adicionais