X.509 客戶端證書 TLS 與 Azure 服務的相互身份驗證

Question

我是 TLS/HTTPS 證書流程的新手。 我們的用例是嵌入式設備（基於 yocto）需要具有客戶端證書以進行雙向 TLS 身份驗證並訪問 Azure 服務。 問題是這個身份驗證（TLS 握手）邏輯是否在 yocto recipe 的 TLS 模塊中完成？ 我們使用 REST API 來訪問 Azure 服務。 還是因為我們不使用 Azure IoT Hub 客戶端 API 而需要手動完成？

第二個問題是購買的客戶端證書如何寫入設備？ 如果是在工廠完成，工廠 SW 怎么知道寫信到哪里？ 如果我們要輪換證書，設備在客戶端后就沒有工廠可以使用。 如果我們有硬件安全模塊 (HSM)，我們如何推出新證書？ 寫證書可以不用工廠軟件嗎？

Answer 1

我是 TLS/HTTPS 證書流程的新手。 我們的用例是嵌入式設備（基於 yocto）需要具有客戶端證書以進行雙向 TLS 身份驗證並訪問 Azure 服務。 問題是這個身份驗證（TLS 握手）邏輯是否在 yocto recipe 的 TLS 模塊中完成？ 我們使用 REST API 來訪問 Azure 服務。 還是因為我們不使用 Azure IoT Hub 客戶端 API 而需要手動完成？

使用 Azure SDK 讓您的生活更輕松。 If you are using Azure REST API's the flow will be similar to Azure sdk usage but this time you need to do the heavy lifting. 每個 Azure 服務都有 API，您需要 go 通過相同的身份驗證，注冊流程也通過 REST API 進行。 例如，這里是將證書上傳到 IoT HUB 的api 。

第二個問題是購買的客戶端證書如何寫入設備？ 如果是在工廠完成，工廠 SW 怎么知道寫信到哪里？

這是在各種情況下滾動 X509 證書的鏈接。 我希望這將回答您與滾動證書有關的一些問題。

您可以在生產過程中安裝證書。 最簡單的方法是在您 flash 初始固件映像的同時在 HSM 中安裝證書。 您的過程必須添加一個步驟以在每台設備上安裝映像。 在此步驟之后，您可以在 package 和發貨之前運行最終質量檢查和任何其他步驟。 請參閱此鏈接。

以下是決定證書安裝位置的一些因素：-

這取決於您正在構建的設備類型、預期的設備余量（您是否能夠負擔得起安全存儲）、設備的功能以及設備上可能利用的現有安全技術。 您的選擇是：

1. 在硬件安全模塊 (HSM) 中（推薦）。 檢查您設備的控制板是否已安裝 HSM。 我與幾個客戶交談過，他們驚訝地發現他們的設備中已經安裝了 HSM，而他們只是沒有使用，如果您知道自己沒有 HSM。 與您的硬件制造商一起確定滿足您需求的 HSM。
2. 在磁盤上的安全位置，例如可信執行環境 (TEE)。
3. 本地文件系統或證書存儲，例如 Windows 證書存儲。
4. 其他

如果我們要輪換證書，設備在客戶端后就沒有工廠可以使用。

它基本上取決於最初在設備上安裝證書的方式，可以使用相同的流程來更新證書並再次安裝它們。 檢查此鏈接。