So überprüfen Sie X.509-CA-Zertifikate mit Ihrem Gerätebereitstellungsdienst.

Ein überprüftes X.509-Zertifikat von einer Zertifizierungsstelle (ZS) ist ein ZS-Zertifikat, das in Ihren Bereitstellungsdienst hochgeladen und registriert und dann automatisch oder durch einen Besitznachweis (Proof-of-Possession) durch den Dienst bestätigt wird.

Überprüfte Zertifikate spielen bei der Verwendung von Registrierungsgruppen eine wichtige Rolle. Durch die Überprüfung des Zertifikatbesitzes wird eine zusätzliche Sicherheitsebene bereitgestellt, indem sichergestellt wird, dass der Uploader des Zertifikats im Besitz des privaten Schlüssels des Zertifikats ist. Die Überprüfung verhindert, dass ein böswilliger Akteur, der Ihren Datenverkehr abhört, ein Zwischenzertifikat extrahiert und dieses Zertifikat verwendet, um eine Registrierungsgruppe in seinem eigenen Bereitstellungsdienst einzurichten, was effektiv zu einer Übernahme Ihrer Geräte führen kann. Indem Sie den Besitz des Stamms oder eines Zwischenzertifikats in einer Zertifikatkette nachweisen, stellen Sie fest, dass Sie über die Berechtigung zum Generieren von Blattzertifikaten für die Geräte verfügen, die als Teil dieser Registrierungsgruppe registriert werden. Daher muss es sich bei dem in einer Registrierungsgruppe konfigurierten Stamm- oder Zwischenzertifikat um ein verifiziertes Zertifikat handeln, oder ihm muss ein verifiziertes Zertifikat in der Zertifikatkette, die ein Gerät bei der Authentifizierung beim Dienst vorlegt, folgen. Weitere Informationen zum X.509-Zertifikatnachweis finden Sie unter X.509-Zertifikatnachweis.

Voraussetzungen

Bevor Sie mit den Schritten in diesem Artikel beginnen, sollten Sie die folgenden Voraussetzungen vorbereiten.

• Eine DPS-Instanz, die in Ihrem Azure-Abonnement erstellt wurde.
• Eine .cer- oder PEM-Zertifikatdatei.

Automatische Überprüfung der Zwischen- oder Stammzertifizierungsstelle durch Selbstnachweis

Wenn Sie eine Zwischen- oder Stammzertifizierungsstelle verwenden, die Sie vertrauen und wissen, dass Sie über den vollständigen Besitz des Zertifikats verfügen, können Sie selbst bestätigen, dass Sie das Zertifikat überprüft haben.

Führen Sie die folgenden Schritte aus, um ein automatisch überprüftes Zertifikat hinzuzufügen:

1. Navigieren Sie im Azure-Portal zu Ihrem Bereitstellungsdienst, und wählen Sie im linken Menü "Zertifikate " aus.

2. Wählen Sie "Hinzufügen" aus, um ein neues Zertifikat hinzuzufügen.

3. Geben Sie einen Anzeigenamen für Ihr Zertifikat ein.

4. Navigieren Sie zu der .cer- oder PEM-Datei, die den öffentlichen Teil Ihres X.509-Zertifikats darstellt. Wählen Sie die Option Hochladen.

5. Aktivieren Sie das Kontrollkästchen neben Set certificate status to verified on upload (Zertifikatstatus beim Hochladen auf „überprüft“ festlegen).

   

6. Wählen Sie Speichern aus.

7. Ihr Zertifikat wird auf der Registerkarte "Zertifikat" mit dem Status "Überprüft" angezeigt.

   

Manuelle Überprüfung der Zwischen- oder Stammzertifizierungsstelle

Die automatische Überprüfung wird empfohlen, wenn Sie neue Zwischen- oder Stammzertifizierungsstellenzertifikate in DPS hochladen. Sie können jedoch dennoch Besitznachweise durchführen, wenn es für Ihr IoT-Szenario sinnvoll ist.

Der Besitznachweis umfasst die folgenden Schritte:

1. Rufen Sie einen eindeutigen Verifizierungscode ab, der vom Bereitstellungsdienst für Ihr X.509 CA-Zertifikat generiert wird. Sie können diesen Schritt über das Azure-Portal ausführen.
2. Erstellen Sie ein X.509-Überprüfungszertifikat mit dem Prüfcode als Betreff, und signieren Sie das Zertifikat mit dem privaten Schlüssel, der Ihrem X.509-Zertifizierungsstellenzertifikat zugeordnet ist.
3. Laden Sie das signierte Überprüfungszertifikat in den Dienst hoch. Der Dienst überprüft das Überprüfungszertifikat mithilfe des öffentlichen Teils des zu überprüfenden Zertifizierungsstellenzertifikats und stellt somit sicher, dass Sie im Besitz des privaten Schlüssels des Zertifizierungsstellenzertifikats sind.

Registrieren des öffentlichen Teils eines X.509-Zertifikats und Abrufen eines Überprüfungscodes

Führen Sie die folgenden Schritte aus, um ein CA-Zertifikat bei Ihrem Bereitstellungsdienst zu registrieren und einen Überprüfungscode für den Nachweis des Besitzes zu erhalten.

1. Navigieren Sie im Azure-Portal zum Bereitstellungsdienst, und öffnen Sie Zertifikate im linken Menü.

2. Wählen Sie "Hinzufügen" aus, um ein neues Zertifikat hinzuzufügen.

3. Geben Sie im Feld " Zertifikatname " einen Anzeigenamen für Ihr Zertifikat ein.

4. Wählen Sie das Ordnersymbol aus, und navigieren Sie dann zur .cer- oder PEM-Datei, die den öffentlichen Teil Ihres X.509-Zertifikats darstellt. Klicken Sie auf Öffnen.

5. Sobald Sie eine Benachrichtigung erhalten, dass Ihr Zertifikat erfolgreich hochgeladen wurde, wählen Sie "Speichern" aus.

   

   Ihr Zertifikat wird in der Zertifikat-Explorer-Liste angezeigt. Der Status dieses Zertifikats ist nicht überprüft.

6. Wählen Sie das Zertifikat aus, das Sie im vorherigen Schritt hinzugefügt haben, um dessen Details zu öffnen.

7. Beachten Sie in den Zertifikatdetails, dass ein leeres Verifizierungscode-Feld vorhanden ist. Wählen Sie die Schaltfläche "Überprüfungscode generieren" aus .

   

8. Der Bereitstellungsdienst erstellt einen Überprüfungscode , den Sie zum Überprüfen des Zertifikatbesitzes verwenden können. Kopieren Sie den Code in die Zwischenablage.

Signieren Sie den Überprüfungscode digital, um ein Überprüfungszertifikat zu erstellen.

Jetzt müssen Sie den Überprüfungscode von DPS mit dem privaten Schlüssel signieren, der Ihrem X.509-Zertifizierungsstellenzertifikat zugeordnet ist, das eine Signatur generiert. Dieser Schritt wird als Besitznachweis bezeichnet und führt zu einem signierten Überprüfungszertifikat.

Microsoft stellt Tools und Beispiele bereit, mit denen Sie ein signiertes Überprüfungszertifikat erstellen können:

• Das Azure IoT Hub C SDK bietet PowerShell- (Windows) und Bash-Skripts (Linux), mit denen Sie Zertifizierungsstellen- und untergeordnete Zertifikate für die Entwicklung und zum Nachweis des Besitzes mit einem Prüfcode erstellen können. Sie können die Dateien, die für Ihr System relevant sind, in einen Arbeitsordner herunterladen und die Anweisungen in der Readme-Datei zur Verwaltung von Test-CA-Zertifikaten für Beispiele und Tutorials befolgen, um einen Besitznachweis für ein CA-Zertifikat durchzuführen.
• Das Azure IoT Hub C#-SDK enthält das Überprüfungsbeispiel für Gruppenzertifikate, das Sie verwenden können, um besitzsicher zu sein.

Die in der Dokumentation und SDKs bereitgestellten PowerShell- und Bash-Skripts basieren auf OpenSSL. Sie können auch OpenSSL oder andere Nicht-Microsoft-Tools verwenden, um Sie bei der Besitzprüfung zu unterstützen. Ein Beispiel für die Verwendung von Tools, die mit den SDKs bereitgestellt werden, finden Sie unter Erstellen einer X.509-Zertifikatkette.

Hochladen des signierten Überprüfungszertifikats

Laden Sie die resultierende Signatur als Überprüfungszertifikat in Ihren Bereitstellungsdienst im Azure-Portal hoch.

1. Wählen Sie in den Zertifikatdetails im Azure-Portal, aus dem Sie den Überprüfungscode kopiert haben, das Ordnersymbol neben dem Verifizierungszertifikat- ".pem" oder ".cer"-Dateifeld aus. Navigieren Sie vom System zum signierten Überprüfungszertifikat, und wählen Sie "Öffnen" aus.

2. Nachdem das Zertifikat erfolgreich hochgeladen wurde, wählen Sie "Überprüfen" aus. Der Status Ihres Zertifikats wird in der Liste "Zertifikate" in "Überprüft" geändert. Wählen Sie "Aktualisieren" aus, falls es nicht automatisch aktualisiert wird.

Nächste Schritte

• Informationen zur Verwendung des Portals zum Erstellen einer Registrierungsgruppe finden Sie unter Verwalten von Geräteregistrierungen im Azure-Portal.
• Informationen zur Verwendung der Dienst-SDKs zum Erstellen einer Registrierungsgruppe finden Sie unter Programmgesteuertes Erstellen einer Registrierungsgruppe des Gerätebereitstellungsdiensts für den X.509-Zertifikatnachweis.