IoT 中心证书验证
IoT hub certificate validation
我们有以下证书链:
- RootCA -> IntermProduction -> [叶证书]
- RootCA -> IntermTest -> [叶测试证书]
如果我:
会有什么不同吗?
- a) 上传到 IoT 中心 RootCA
- b) 上传到 IoT 中心
IntermProduction 和 IntermTest(没有 RootCA)
叶设备证书的验证方式是否会有所不同?我们的 RootCA 是 self-signed 公司根。
问题的背景是,我按照 MS 示例 here 将我们的 rootCA 上传到 IoT 中心。然而,我们的安全专家拒绝验证所有权证明。原因:我们的 rootCA 已锁定,不应发出 sub-certs。他要我指出文档中所说的,我们必须使用 rootCA。我没有找到这样的点。
由于不了解IoT Hub的内部结构,所以有点不知所措。我们正在从 self-made 服务迁移到 IoT 解决方案。在我们自己的服务中,我确实自己实现了证书链的验证,为此我确实需要根证书。
有人 hands-on 有过类似经历吗?
当然,上传两个中间体并尝试一下是一种选择,我有一种直觉,这会起作用,所以问题更像是我这样做是否会造成潜在的安全漏洞?
对于延迟回复,我们深表歉意。对于您的方案,您可以将选项 (b) 与上传到 IoT 中心的中间 CA 一起使用:
• 将您的IntermProduction 用于您的生产Hub,将IntermTest 用于您的测试Hub。
• 叶设备从中间 CA 开始进行验证,中间 CA 链接到您的根 CA。
• 您的安全专家应该能够为中间CA 允许Proof-of-Possession (PoP)。
使用此选项可让您获得使用中间 CA 的安全性和灵活性,同时限制根 CA 本身的使用(即根 CA 不会上传到 IoT 中心)。
我们有以下证书链:
- RootCA -> IntermProduction -> [叶证书]
- RootCA -> IntermTest -> [叶测试证书]
如果我:
会有什么不同吗?- a) 上传到 IoT 中心 RootCA
- b) 上传到 IoT 中心 IntermProduction 和 IntermTest(没有 RootCA)
叶设备证书的验证方式是否会有所不同?我们的 RootCA 是 self-signed 公司根。
问题的背景是,我按照 MS 示例 here 将我们的 rootCA 上传到 IoT 中心。然而,我们的安全专家拒绝验证所有权证明。原因:我们的 rootCA 已锁定,不应发出 sub-certs。他要我指出文档中所说的,我们必须使用 rootCA。我没有找到这样的点。
由于不了解IoT Hub的内部结构,所以有点不知所措。我们正在从 self-made 服务迁移到 IoT 解决方案。在我们自己的服务中,我确实自己实现了证书链的验证,为此我确实需要根证书。
有人 hands-on 有过类似经历吗?
当然,上传两个中间体并尝试一下是一种选择,我有一种直觉,这会起作用,所以问题更像是我这样做是否会造成潜在的安全漏洞?
对于延迟回复,我们深表歉意。对于您的方案,您可以将选项 (b) 与上传到 IoT 中心的中间 CA 一起使用: • 将您的IntermProduction 用于您的生产Hub,将IntermTest 用于您的测试Hub。 • 叶设备从中间 CA 开始进行验证,中间 CA 链接到您的根 CA。 • 您的安全专家应该能够为中间CA 允许Proof-of-Possession (PoP)。
使用此选项可让您获得使用中间 CA 的安全性和灵活性,同时限制根 CA 本身的使用(即根 CA 不会上传到 IoT 中心)。