Azure IoT 中級(5)- 在 DPS/IoT Hub中使用X509證書的準備工作(1)瞭解證書鏈

原創 江湖人称于老师 2020-06-30 07:14

準備工作(1)瞭解證書鏈

 

本文介紹如下內容:

1. 瞭解證書鏈

2. 使用OPENSSL和 微軟提供的示例工具生成自簽名證書並應用在IoT Hub/DPS中;

 

視頻講解:

您可以在B站觀看視頻講解:https://www.bilibili.com/video/av92976806/

或在本站觀看:https://www.51azure.cloud/post/2020/3/3/azure-iot-5-iot-x509-cert-chain

 

 

圖文講解:

數字證書是用來認證公鑰持有者身份合法性的電子文檔,以防止第三方冒充行爲。數字證書由 CA(Certifacate Authority) 負責簽發,關鍵內容包括 頒發s者證書有效期使用者組織使用者公鑰 等信息。

數字證書涉及到一個名爲 PKI(Public Key Infrastructure) 的規範體系,包含了數字證書格式定義、密鑰生命週期管理、數字簽名及驗證等多項技術說明,不在本文中詳細展開。

簽發證書的過程

  1. 撰寫證書元數據:包括 簽發人(Issuer)地址簽發時間有效期 等,還包括證書持有者(Owner)基本信息,比如 DN(DNS Name,即證書生效的域名)Owner 公鑰 等信息
  2. 使用通用的 Hash 算法(如SHA-256)對證書元數據計算生成 數字摘要
  3. 使用 Issuer 的私鑰對該數字摘要進行加密,生成一個加密的數字摘要,也就是Issuer的 數字簽名
  4. 將數字簽名附加到數字證書上,變成一個 簽過名的數字證書
  5. 將簽過名的數字證書與 Issuer 的公鑰,一同發給證書使用者(注意,將公鑰主動發給使用者是一個形象的說法,只是爲了表達使用者最終獲取到了 Issuer 的公鑰)

驗證證書的過程

  1. 證書使用者獲通過某種途徑(如瀏覽器訪問)獲取到該數字證書,解壓後分別獲得 證書元數據數字簽名
  2. 使用同樣的Hash算法計算證書元數據的 數字摘要
  3. 使用 Issuer 的公鑰 對數字簽名進行解密,得到 解密後的數字摘要
  4. 對比 2 和 3 兩個步驟得到的數字摘要值,如果相同,則說明這個數字證書確實是被 Issuer 驗證過合法證書,證書中的信息(最主要的是 Owner 的公鑰)是可信的

上述是對數字證書的簽名和驗證過程,對普通數據的數字簽名和驗證也是利用了同樣的方法。

我們再來總結一下“簽發證書”與“驗證證書”兩個過程,Issuer(CA)使用 Issuer 的私鑰 對簽發的證書進行數字簽名,證書使用者使用 Issuser 的公鑰 對證書進行校驗,如果校驗通過,說明該證書可信。

由此看出,校驗的關鍵是 Issuer 的公鑰,使用者獲取不到 Issuer 的私鑰,只能獲取到 Issuer 的公鑰,如果 Issuer 是一個壞傢伙,誰來證明 Issuer 的身份 是可信的?

這就涉及到一個信任鏈條了,也就是證書鏈。

 

 

看一個案例, 比如在本站的證書中,可以查看到證書鏈條:

 

 

根證書是DigiCert,中間證書是CN=Encryption Everywhere DV TLS CA-G1, 葉證書是 www.51azure.cloud

 

證書鏈在物聯網設備製造過程中的應用:

在本例中,X 公司對 Y 工廠進行簽名,Y 工廠轉而對 Z 技術人員進行簽名,而 Z 技術人員最後要對智能 X 小組件進行簽名,整個過程中不需要暴漏或傳遞任何私鑰,保證安全。

 

 

證書鏈在DPS中的應用:

例如,假設有五臺設備具有以下證書鏈:

  • 設備 1:根證書 -> 證書 A -> 設備 1 證書
  • 設備 2:根證書 -> 證書 A -> 設備 2 證書
  • 設備 3:根證書 -> 證書 A -> 設備 3 證書
  • 設備 4:根證書 -> 證書 B -> 設備 4 證書
  • 設備 5:根證書 -> 證書 B -> 設備 5 證書

最開始,可爲根證書創建單個啓用的組註冊條目,讓五臺設備均獲得訪問權限。

如果之後證書 B 出現安全風險,可以爲證書 B 創建一個禁用的註冊組條目,以防止設備 4 和設備 5 進行註冊。

如果之後設備 3 出現安全風險,可爲其證書創建一個禁用的單個註冊條目。 這會撤消設備 3 的訪問權限,但仍允許設備 1 和設備 2 進行註冊。

 

 

本系列其他文章:

  1. (視頻)Azure IoT 中級(1)-Device Provisioning Service(DPS)概覽
  2. (視頻)Azure IoT 中級(2)-理解DPS組註冊和單獨註冊
  3. (視頻)Azure IoT 中級(3)-(案例1)使用DPS通過對稱密鑰進行單個設備註冊
  4. (視頻)Azure IoT 中級(4)-(案例2)使用DPS通過對稱密鑰進行設備組註冊
  5. (視頻)Azure IoT 中級(5)- 在 DPS/IoT Hub中使用X509證書的準備工作(1)瞭解證書鏈
  6. (視頻)Azure IoT 中級(6)- 在 DPS/IoT Hub中使用X509證書的準備工作(2)創建自簽名證書並驗證所有權
  7. (視頻)Azure IoT 中級(7)- (案例3)設備通過X509證書經DPS驗證後註冊到IoT Hub並開始通信

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

10分鐘搞定Mysql主從部署配置

流程 Master數據庫安裝 Slave數據庫安裝 配置Master數據庫 配置Slave數據庫 網絡信息 Master數據庫IP:192.168.198.133 Slave數據庫IP:192.168.198.132 配置Maste

zer0black 2024-05-17 14:31:12

無法AC,關於使用fgets碰到的問題——末尾多一個換行符

題目是輸入一串字符串,包含空格,裏面有多個單詞,將每個單詞翻轉輸出,並且單詞之間的空格要與原文一致。 寫的時候沒有使用string的輸入,而是選擇了char數組的輸入。 樣例測試hello world->olleh dlrow是沒有問題的,

Danlis 2024-05-17 14:30:52

lightdb秒級增加列和刪除列(not null帶默認值)

  對數據量過億的大表而言,dba最頭疼的是隨着業務變化增加帶默認值的字段,以及修改字段的數據類型,在實現不好的數據庫中,動不動執行半天,中途失敗的話,還會卡半天。這在lightdb中是不會發生的。如下所示: lightdb@oradb=

zhjh256 2024-05-17 14:28:42

lightdb mysql 8.0兼容之不可見主鍵

  數據庫設計通常需要滿足一定的範式要求,其中主鍵更是最基本的要求。不過,數據庫管理系統卻允許我們創建沒有主鍵的表。這樣的表在數據庫中會帶來查詢性能低下、複製延遲甚至無法實現高可用配置等問題。   爲此,lightdb在22.1版本引入了一

zhjh256 2024-05-17 14:28:42

lightdb數據庫超時相關控制參數

  在業務開發中,通常因爲代碼不規範、中間件缺陷、DBA誤提交批量SQL等原因,會導致服務端連接一直存在、但是實際上並未在執行的情況,從而導致數據庫連接泄露。爲了防止這種異常情況積壓,lightdb中包含了多個參數用於控制超時相關的行爲:

zhjh256 2024-05-17 14:28:42

如何使用 JS 判斷用戶是否處於活躍狀態

有時候,我們需要在網頁判斷用戶是否處與非活躍狀態,如果用戶長時間沒有在頁面上進行任何操作,我們則判定該用戶是非活躍的。 在 javascript 中我們可以通過監聽某些鼠標或鍵盤相關的事件來判定用戶是否在活躍中。 案例演示 在線演示 - 使

劉漢貴 2024-05-17 14:26:51

使用 JS 實現在瀏覽器控制檯打印圖片 console.image()

在前端開發過程中,調試的時候,我門會使用 console.log 等方式查看數據。但對於圖片來說,僅靠展示的數據與結構,是無法想象出圖片最終呈現的樣子的。 雖然我們可以把圖片數據通過 img 標籤展示到頁面上,或將圖片下載下來進行預覽。但這

劉漢貴 2024-05-17 14:26:51

基於Ubuntu-22.04安裝K8s-v1.28.2實驗(四)使用域名訪問網站應用

安裝負載均衡metalb 安裝metalb kubectl create namespace metallb-system 配置metalb #kubectl create secret generic -n metallb-system

hiningrise 2024-05-17 14:25:27

Flink的State

    有狀態的計算是流式計算框架的一個重要功能,很多複雜的計算場景都需要記錄一下相關的狀態。Flink State一種爲了滿足算子計算時需要歷史數據需求的,使用 checkpoint 機制進行容錯,存儲在 state backend 的數

人不瘋狂枉一生 2024-05-17 14:23:00

ASP.NET Core Web中使用AutoMapper進行對象映射

前言 在日常開發中,我們常常需要將一個對象映射到另一個對象,這個過程中可能需要編寫大量的重複性代碼,如果每次都手動編寫,不僅會影響開發效率,而且當項目越來越複雜、龐大的時候還容易出現錯誤。爲了解決這個問題,對象映射庫就隨之而出了,這些庫可以

追逐時光 2024-05-17 14:22:00

第四節:MySQL主從集羣搭建、擴容與數據遷移、半同步複製詳解

一.                二.                三.                  ! 作       者 : Yaopengfei(姚鵬飛) 博客地址 : http://www.cnblogs.com

Yaopengfei 2024-05-17 14:21:40

RDLC降低使用內存

在Winform使用RDLC時,在批量打印情況下,內存隨着打印任務的數量逐漸增加。即便手動GC效果也不明顯。 原因: localReport在創建時,每個實例都是一個應用程序域。租約的過期時間比較久,按照網上的資料,過期時間大約10分鐘左右

煙臺西炮臺 2024-05-17 14:21:20

❤️‍🔥 Solon Cloud Event 新的事務特性與應用

1、Solon Cloud Event? 是 Solon 分佈式事件總線的解決方案。也是 Solon “最終一致性”分佈式事務的解決方案之一 2、事務特性 事務?就是要求 Event 有原子性,當多個 Event 發佈時,要麼全成功,要麼

劉之西東 2024-05-17 14:21:09

AI-FastGPT安裝

最近開始體驗FastGPT知識庫問答系統,參考官方文檔,在自己的阿里雲服務器使用Docker Compose快速完成了部署。 環境說明:阿里雲ECS,2核8G,X86架構,CentOS 7.9操作系統。 Docker與Docker-Com

2018 2024-05-17 14:14:58

matlab練習程序(線性常微分方程組矩陣解)

之前有通過ode和simulink解線性常微分方程組。 除了上面兩種方法,線性常微分方程組還可以通過矩陣的方法求解。 比如下面這個之前使用的方程組: x'' = x' - x + y' -z' y'' = y' - y - x' z'' =

Dsp Tian 2024-05-17 14:11:07