Algo que hemos escuchado con más frecuencia es: “¿Puedo usar certificados de dispositivos IoT para autenticarme en Azure?” El TL;DR aquí es: sí, absolutamente puedes. Pero antes de profundizar, comencemos por el principio y definamos los términos asociados con Azure IoT CBA…
Un certificado de dispositivo IoT es un tipo de certificado que autentica la identidad del dispositivo y protege las comunicaciones entre dispositivos con PKI (infraestructura de clave pública). Los certificados de dispositivos IoT tienen un cifrado excepcionalmente fuerte y garantizan la integridad de los datos durante todo el ciclo de vida del dispositivo. En términos más simples, estos certificados convierten los datos a un formato que es imposible descifrar sin la clave privada correspondiente. En consecuencia, los dispositivos pueden identificar otros dispositivos y servidores confiables. Como puede imaginar, estas son una de las herramientas más utilizadas e importantes para las prácticas recomendadas de seguridad de Azure IoT Hub.
Un certificado de dispositivo IoT normalmente incluye:
Información de identidad del dispositivo: nombre del dispositivo, modelo y detalles del fabricante.
Clave pública: una clave criptográfica utilizada para validar la identidad del dispositivo.
Información del emisor: Detalles sobre la autoridad certificadora (CA) que emitió el certificado.
Período de validez: Cantidad de tiempo durante el cual el certificado es válido.
Crear su CA para Azure IoT es esencialmente el “primer punto” de todo este proceso y en la jerarquía de las mejores prácticas de seguridad de Azure IoT. Probablemente estés familiarizado con el concepto de implementar una CA en Azure llegados a este punto, ¡lo cual es un excelente comienzo! Si no es así, consulte nuestros documentos donde proporcionamos tutoriales en fotografía y video paso a paso sobre todo el proceso de creación de una CA emisora en Azure. Para los que tienen inclinaciones visuales, aquí hay un video rápido para su placer visual.
Sin lugar a dudas, la parte más complicada de este canto y baile es agregar el primer certificado al dispositivo IoT. Es por eso que hemos creado un ejemplo de código además de nuestra sección de documentos excepcionalmente detallada sobre creación de su primer certificado de dispositivo IoT.
Creación de un certificado SSL de IoT en fábrica
1) El dispositivo IoT crea una clave privada y la utiliza para crear una solicitud de firma de certificado (CSR) con su ID de dispositivo único.
2) Luego, la CSR se transfiere al servicio de programación de IoT. Es importante tener en cuenta que, dado que no existe autenticación entre el dispositivo IoT y el servicio de programación IoT, esto debe realizarse a través de un bus seguro donde sería físicamente imposible que otro dispositivo se haga pasar por un dispositivo IoT.
3) El Servicio de Programación de IoT envía la solicitud a la CA.
4) La CA devuelve un certificado firmado.
5) El certificado está instalado en el dispositivo IoT.
Registro y conexión de un dispositivo IoT a Azure IoT Hub
Nota: No es necesario que la conexión a Azure se realice en fábrica; una vez que se carga el certificado, el dispositivo IoT puede usarlo para registrarse en Azure una vez que se vaya a utilizar el dispositivo IoT.
1) IoT Hub está configurado para utilizar autenticación basada en certificados con una autoridad de certificación.
2) El dispositivo IoT usa ese certificado para autenticarse con Azure IoT Hub.
3) El dispositivo IoT comienza a comunicarse con Azure IoT Hub.
Comprender e implementar certificados de dispositivos IoT es absolutamente esencial en la ciberseguridad moderna. Ya sea que trabaje con Azure IoT u otras plataformas, los principios de autenticación de dispositivos siguen siendo los mismos. EZCA le permite ejecutar y escalar su propio servicio de CA privado de alta disponibilidad sin la inversión inicial ni los costos de mantenimiento continuos que implica operar una CA privada o una jerarquía de CA privada. EZCA ganó popularidad en el espacio de IoT debido a nuestras increíbles guías, así como a nuestras API fáciles de usar y al paquete NuGet, que hacen que la emisión y administración de certificados de IoT sea lo más fácil posible. .
