我是否需要设置 PKI 来保护 Azure 中的 D2C 和 C2D (IOT) 通信？

【问题标题】：Do I need to set up a PKI to secure D2C and C2D (IOT) communication in Azure?我是否需要设置 PKI 来保护 Azure 中的 D2C 和 C2D (IOT) 通信？
【发布时间】：2022-09-22 21:53:27
【问题描述】：

我想知道我是否需要设置公钥基础设施以确保安全的设备到云和云到设备的连接？我有几个物联网设备应该通过 MQTT 进行通信。为确保设备 X 实际上是将数据发送到 Azure 中的 IoT 中心的设备 X，我是否需要设置托管 PKI？我已经阅读了几个微软文档，但我不明白。我是否只需要在 Azure IoT Hub 中上传设备证书，然后在编写设备客户端时将设备证书作为参数提供？如何在设备和 Azure 之间实现安全通信，并确保设备是它伪装的设备？

标签： azure x509certificate public-key-encryption azure-iot-hub pki

【解决方案1】：

您有两个选项来保护与 IoT 中心的设备连接。在这两种情况下，您都需要在 IoT 中心设备注册表中注册您的设备，然后才能连接：

SAS 令牌。您可以从设备注册表中获取设备的 SAS 令牌。当设备提供令牌时，IoT 中心会验证它是由您的 IoT 中心颁发的并且设备已注册。
X.509 证书。此方法要求您将根证书或中间证书上传到 IoT 中心。如果设备提供从根证书或中间证书派生的叶证书，则允许连接。

要了解更多信息，请参阅https://learn.microsoft.com/azure/iot-hub/iot-hub-dev-guide-sas。

此外，IoT 中心使用 TLS 来保护所有通信。请参阅：https://learn.microsoft.com/azure/iot-hub/iot-hub-tls-support。在允许连接之前，这通常不需要代表您进行任何设置或配置。

【讨论】：