我正在使用 Azure IoT Hub + DPS 处理 IoT 设备,使用 x509 CA 身份验证方法。
我想了解在发生根 CA 安全漏洞时管理设备证书和根 CA 续订的正确方法。
在互联网上,我主要找到更新设备证书的教程,而不是根 CA。
这就是我的看法。我不喜欢的是:设备能够要求 PKI API 签署新生成的设备证书。
有人经历过这种情况吗?
谢谢你, 西奥
根CA安全漏洞时的物联网证书
使用CA证书连接IOT集线器时,必须进行授权。密钥和证书从 CA 证书中提取,用作连接 IOT Hub 的授权。一旦提取出来,就可以多次连接到现有的物联网集线器。仅在创建新的 IOT 中心时才需要新的 CA 证书详细信息。
如果根 CA 受到威胁,您需要撤销受威胁的根 CA 证书并生成新证书。此过程通常涉及:
安全地生成新的根 CA 私钥,并从受信任的证书颁发机构 (CA) 获取新的根 CA 证书,或者在自我管理的情况下生成自签名证书。
将新的根 CA 证书分发给所有必要方并更新信任存储。
新的根 CA 证书到位后,您需要为所有受影响的 IoT 设备续订证书。这个过程涉及:
为每个设备生成新的设备证书签名请求 (CSR)。
将 CSR 提交给 PKI API 或 CA,以便使用新的根 CA 证书进行签名。
将新签名的设备证书安全地分发到各个设备。
撤销旧设备证书以防止其使用。
在证书续订过程中,确保您的 IoT 设备可以安全地与 PKI API 或 CA 通信以请求和接收新证书。实施适当的身份验证和加密机制,以在证书交换期间保护敏感信息。
注意:
X.509 certificate authority
(CA) 身份验证的使用尚未普遍可用,并且必须启用 预览模式:
我按照此文档使用 X.509 证书进行身份验证。