Azure Sphere에서 인증서 사용
이 항목에서는 Azure Sphere 인증서 "환경"에 대한 개요를 제공합니다. 다양한 Azure Sphere 구성 요소에서 사용하는 인증서 유형, 인증서의 출신 위치, 저장된 위치, 업데이트 방법 및 필요한 경우 액세스하는 방법. 또한 Azure Sphere OS, SDK 및 서비스가 인증서 관리를 더 쉽게 만드는 방법을 설명합니다. 인증 기관 및 신뢰 체인에 대한 기본적인 지식이 있다고 가정합니다.
Azure Sphere 디바이스
모든 Azure Sphere 디바이스는 Azure Sphere OS의 일부인 신뢰할 수 있는 루트 저장소를 사용합니다. 신뢰할 수 있는 루트 저장소에는 디바이스가 디바이스 인증 및 증명(DAA), OTA(무선) 업데이트 또는 오류 보고를 위해 연결할 때 Azure Sphere Security Service의 ID를 확인하는 데 사용되는 루트 인증서 목록이 포함되어 있습니다. 이러한 인증서는 OS와 함께 제공됩니다.
일일 증명이 성공하면 디바이스는 업데이트 인증서와 고객 인증서라는 두 개의 인증서를 받습니다. 업데이트 인증서를 사용하면 디바이스가 Azure Sphere 업데이트 서비스에 연결하여 소프트웨어 업데이트를 받고 오류 보고서를 업로드할 수 있습니다. 애플리케이션 또는 명령줄을 통해 액세스할 수 없습니다. DAA 인증서라고도 하는 고객 인증서는 애플리케이션에서 TLS(전송 계층 보안)를 사용하는 wolfSSL과 같은 타사 서비스에 연결하는 데 사용할 수 있습니다. 이 인증서는 24시간 동안 유효합니다. 애플리케이션은 DeviceAuth_GetCertificatePath 함수를 호출하여 프로그래밍 방식으로 검색할 수 있습니다.
Azure IoT Hub, Azure IoT Central 및 Azure IoT Edge와 같은 Azure 기반 서비스에 연결하는 디바이스는 Azure Sphere 카탈로그를 인증하기 위해 Azure Sphere 카탈로그 CA 인증서를 제공해야 합니다. CLI의 az sphere ca-certificate download 명령은 이러한 용도에 대한 카탈로그 CA 인증서를 반환합니다.
EAP-TLS 네트워크 연결
EAP-TLS 네트워크에 연결하는 디바이스는 네트워크의 RADIUS 서버로 인증할 인증서가 필요합니다. 클라이언트로 인증하려면 디바이스가 클라이언트 인증서를 RADIUS에 전달해야 합니다. 상호 인증을 수행하려면 디바이스에 RADIUS 서버에 대한 루트 CA 인증서도 있어야 서버를 인증할 수 있습니다. Microsoft는 이러한 인증서 중 하나를 제공하지 않습니다. 사용자 또는 네트워크 관리자는 네트워크의 RADIUS 서버에 대한 올바른 인증 기관을 확인하고 발급자로부터 필요한 인증서를 획득할 책임이 있습니다.
RADIUS 서버에 대한 인증서를 가져오려면 인증 기관에 인증해야 합니다. 이 목적을 위해 앞에서 설명한 대로 DAA 인증서를 사용할 수 있습니다. RADIUS 서버에 대한 인증서를 가져온 후 디바이스 인증서 저장소에 저장해야 합니다. 디바이스 인증서 저장소는 EAP-TLS를 사용하여 보안 네트워크에 인증하는 데만 사용할 수 있습니다. (DAA 인증서는 디바이스 인증서 저장소에 보관되지 않으며 OS에서 안전하게 유지됩니다.) CLI의 az sphere 디바이스 인증서 명령을 사용하면 명령줄에서 인증서 저장소를 관리할 수 있습니다. Azure Sphere 애플리케이션은 CertStore API를 사용하여 디바이스 인증서 저장소에 인증서를 저장, 검색 및 관리할 수 있습니다. 또한 CertStore API에는 앱이 인증서 만료 및 갱신을 준비할 수 있도록 개별 인증서에 대한 정보를 반환하는 함수도 포함되어 있습니다.
EAP-TLS 네트워킹에 사용되는 인증서에 대한 전체 설명은 EAP-TLS 사용을 참조하고, 자세한 내용은 Microsoft 기술 커뮤니티의 Azure Sphere에서 보안 엔터프라이즈 Wi-Fi 액세스: EAP-TLS를 참조하세요.
Azure Sphere 애플리케이션
Azure Sphere 애플리케이션은 웹 서비스 및 일부 네트워크에 인증하기 위한 인증서가 필요합니다. 서비스 또는 엔드포인트의 요구 사항에 따라 앱은 DAA 인증서 또는 외부 인증 기관의 인증서를 사용할 수 있습니다.
wolfSSL 또는 유사한 라이브러리를 사용하여 타사 서비스에 연결하는 앱은 DeviceAuth_GetCertificatePath 함수를 호출하여 인증을 위해 DAA 인증서를 가져올 수 있습니다. 이 함수는 20.10 SDK의 deviceauth.h 헤더에 도입되었습니다.
Azure Sphere에 기본 제공되는 Azure IoT 라이브러리는 이미 필요한 루트 CA를 신뢰하므로 이 라이브러리를 사용하여 Azure IoT 서비스(Azure IoT Hub, Azure IoT Central, 디바이스 프로비저닝 서비스)에 액세스하는 앱에는 추가 인증서가 필요하지 않습니다.
앱에서 다른 Azure 서비스를 사용하는 경우 해당 서비스에 대한 설명서를 확인하여 필요한 인증서를 확인합니다.
Azure Sphere REST API
Azure Sphere REST API는 카탈로그, 제품, 배포 및 디바이스 그룹과 같은 Azure Sphere 리소스를 만들고 관리하기 위한 HTTP 작업을 지원하는 서비스 엔드포인트 집합입니다. Azure Sphere REST API는 REST(REpresentational State Transfer) HTTP 프로토콜을 사용하여 작업 요청 및 응답을 보냅니다. 작업 응답에서 반환된 데이터는 JSON(JavaScript 개체 표기법)으로 형식이 지정됩니다. 사용 가능한 작업은 Azure Sphere REST API 참조에 설명되어 있습니다.
Azure Sphere Security Service
일반적으로 Azure Sphere 클라우드 서비스 및 특히 Security Service는 보안 서비스 간 통신에 사용되는 수많은 인증서를 관리합니다. 이러한 인증서의 대부분은 서비스 및 해당 클라이언트 내부이므로 Microsoft는 필요에 따라 업데이트를 조정합니다. 예를 들어 10월에 공용 API TLS 인증서를 업데이트하는 것 외에도 Azure Sphere Security Service는 DAA 서비스 및 업데이트 서비스에 대한 TLS 인증서도 업데이트했습니다. 업데이트 전에 디바이스는 새 필수 루트 인증서를 포함하는 신뢰할 수 있는 루트 저장소에 대한 OTA 업데이트를 받았습니다. Security Service와의 디바이스 통신을 유지하기 위해 고객 조치가 필요하지 않았습니다.
Azure Sphere를 통해 고객이 인증서를 더 쉽게 변경할 수 있는 방법은 무엇인가요?
인증서 만료는 Azure Sphere에서 방지할 수 있는 IoT 디바이스에 대한 오류의 일반적인 원인입니다.
Azure Sphere 제품에는 OS와 Security Service가 모두 포함되어 있으므로 이러한 두 구성 요소에서 사용하는 인증서는 Microsoft에서 관리됩니다. 디바이스는 애플리케이션을 변경하지 않고도 DAA 프로세스, OS 및 애플리케이션 업데이트 및 오류 보고를 통해 업데이트된 인증서를 받습니다. Microsoft가 DigiCert Global Root G2 인증서를 추가했을 때 DAA, 업데이트 또는 오류 보고를 계속하기 위해 고객 변경이 필요하지 않았습니다. 업데이트 당시 오프라인 상태인 디바이스는 인터넷에 다시 연결되는 즉시 업데이트를 받았습니다.
Azure Sphere OS에는 Azure IoT 라이브러리도 포함되어 있으므로 Microsoft에서 Azure IoT 라이브러리에서 사용하는 인증서를 추가로 변경하는 경우 애플리케이션을 변경할 필요가 없도록 OS에서 라이브러리를 업데이트합니다. 또한 추가 블로그 게시물을 통해 앱 또는 스크립트를 수정해야 할 수 있는 에지 사례 또는 특별한 상황에 대해 알려드리겠습니다.
두 경우 모두 Azure Sphere가 인증서 변경을 처리하기 위해 애플리케이션의 유지 관리 업데이트 필요성을 제거하여 애플리케이션 관리를 간소화하는 방법을 보여 줍니다. 모든 디바이스는 일일 증명의 일부로 업데이트 인증서를 받기 때문에 디바이스 및 애플리케이션에서 사용하는 로컬로 관리되는 인증서의 업데이트를 쉽게 관리할 수 있습니다. 예를 들어 애플리케이션이 LOB(기간 업무) 서버의 ID의 유효성을 검사하는 경우 업데이트된 인증서를 포함하는 업데이트된 애플리케이션 이미지 패키지를 배포할 수 있습니다. Azure Sphere 플랫폼에서 제공하는 애플리케이션 업데이트 서비스는 이러한 업데이트를 제공하여 업데이트 서비스 자체에 인증서 만료 문제가 발생할 것이라는 걱정을 제거합니다.