(1)準備は、証明書チェーンを理解します
この資料では、以下について説明します。
証明書チェーンを理解する1
2. OPENSSLと自己署名証明書を生成し、中のIoTハブ/ DPSに適用するために、マイクロソフトが提供するサンプルツール。
ビデオチュートリアル:
あなたはB駅を説明するビデオを見ることができます。https://www.bilibili.com/video/av92976806/
または時計のサイトで:https://www.51azure.cloud/post/2020/3/3/azure-iot-5-iot-x509-cert-chain
写真の説明:
デジタル証明書は、行動を偽装から第三者を防ぐために、公共の電子文書の正当性の保有者の身元を認証するために使用されています。発行されたデジタル証明書CA(認証局Certifacate)キーを含む責任によって発行され、問題の人物は、証明書が有効で、ユーザ組織、ユーザーのパブリックキーとその他の情報。
デジタル証明書と呼ばれる関係PKI(公開鍵基盤)デジタル証明書のフォーマットが含まれている指定システム定義されているが、ライフサイクル管理、デジタル署名と検証の重要な技術的な説明の数は、詳細展開]に記載されていません。
証明書発行処理
- メタデータの書かれた証明書が含まれます:発行者(発行者)、住所、時間の問題、期間などを、また、のような証明書所有者(所有者)の基本的な情報が含まDN(DNS名、有効になっているドメイン名の証明書)、所有者の公開鍵およびその他の情報を
- 一般的な(例えば、SHA-256)を用いて、ハッシュアルゴリズムは、ライセンスメタデータ演算生成するデジタル抽象的に
- デジタルダイジェストを暗号化するために使用する発行者の秘密鍵は、暗号化されたデジタル抽象を生成、発行者であるデジタル署名
- デジタル証明書に添付されたデジタル署名署名デジタル証明書の名前
- 名前で署名したデジタル証明書発行者の公開鍵一緒にユーザーに発行された証明書と、(ユーザー公開鍵イニシアチブに配布ノートはちょうど発行者へのユーザの公開鍵の究極の表現を取得するには、引数のイメージです)
検証プロセスの証明書
- 証明書は、抽出後に得られたデジタル証明書を取得するために(例えば、ブラウザのアクセスなど)何らかの方法でユーザによって得られた証明書のメタデータとデジタル署名は
- 同じハッシュアルゴリズム証明書のメタデータを使用してデジタルダイジェスト
- 使用発行者の公開鍵デジタル署名を解読するためには、取得したデジタルダイジェストが復号化されました
- 比較の図2及び図3に示すように、同一の、発行者が実際に正当な証明書、証明書情報(所有者が最も重要な公開鍵である)を有し、デジタル証明書が検証されるが真正である場合には、二段階で得たダイジェスト値
以上が、デジタル署名の検証デジタル署名と証明書の検証プロセスであり、通常のデータも同様に利用されています。
私たちが使用して、「証明書が発行されました」と「検証証明書」二つのプロセス、発行者(CA)を要約してみましょう発行者の秘密鍵デジタル使用して、ユーザー証明書を発行した証明書に署名する公開鍵のIssuser学校場合は、証明書の検証を証明書が信頼できることを示すことによってテストします。
キーがあることを確認することをこの番組発行者の公開鍵は、発行者が証明するために起こっている悪い奴、であれば、発行者の秘密鍵を取得することができないユーザーは、発行者の公開鍵のみを取得することができる発行者の身元は信憑性の?
これは、証明書チェーンである信頼の連鎖を伴います。
あなたが証明書チェーンを表示することができ、そのようなサイトの証明書として、ケースを見てください:
ルート証明書は、DigiCert、中間証明書がCN =暗号化どこDV TLS CA-G1であり、リーフ証明書はwww.51azure.cloudあります
製造プロセス、デバイス証明書チェーンの物事の応用:
この例では、会社X Yは、代わりにZ Yの技術記号の工場出荷時に署名し、かつ当Z最後に、スマートウィジェット記号X、全体のプロセスは、任意の転写雨水管を必要とするか、またはプライベートありません安全性を確保します。
DPSでの証明書チェーンの応用:
例えば、5つの証明書チェーンデバイスがあると仮定すると、次があります。
- デバイス1:ルート証明書- >証明書A - >デバイス証明書1
- デバイス2:ルート証明書- >証明書A - >デバイス証明書2
- デバイス3:ルート証明書- >証明書A - >証明書デバイス3
- デバイス4:ルート証明書- >証明書B - >デバイス4証明書
- 设备 5:根证书 -> 证书 B -> 设备 5 证书
最开始,可为根证书创建单个启用的组注册条目,让五台设备均获得访问权限。
如果之后证书 B 出现安全风险,可以为证书 B 创建一个禁用的注册组条目,以防止设备 4 和设备 5 进行注册。
如果之后设备 3 出现安全风险,可为其证书创建一个禁用的单个注册条目。 这会撤消设备 3 的访问权限,但仍允许设备 1 和设备 2 进行注册。
本系列其他文章:
- (视频)Azure IoT 中级(1)-Device Provisioning Service(DPS)概览
- (视频)Azure IoT 中级(2)-理解DPS组注册和单独注册
- (视频)Azure IoT 中级(3)-(案例1)使用DPS通过对称密钥进行单个设备注册
- (视频)Azure IoT 中级(4)-(案例2)使用DPS通过对称密钥进行设备组注册
- (视频)Azure IoT 中级(5)- 在 DPS/IoT Hub中使用X509证书的准备工作(1)了解证书链
- (视频)Azure IoT 中级(6)- 在 DPS/IoT Hub中使用X509证书的准备工作(2)创建自签名证书并验证所有权
- (视频)Azure IoT 中级(7)- (案例3)设备通过X509证书经DPS验证后注册到IoT Hub并开始通信