滚动IoT设备证书以提高网络安全性

设备证书如何在物联网中工作

设备证书是验证和授权设备访问网络的机制。它首先在网络上注册有效和授权的设备，然后将设备与一个证书关联起来，作为网络护照。没有数字证书，即使注册为有效设备，设备也无法连接网络来执行其功能。

证书是更广泛的公钥基础设施(PKI)用于设备认证，以及证书颁发机构(CA)、注册机构和证书数据库或存储。

物联网设备存储设备证书，与其他安全机制一起工作，以提供网络访问，例如设备管理软件应用程序，移动设备管理器或第三方证书经理。

当物联网设备连接到网络进行身份验证时，它们通常通过安全通信协议(如a安全套接字层（SSL）或传输层安全（TLS）协议。许多网络使用SSL，许多Web应用程序和网络设备仍然使用的旧协议。较新的设备使用TLS，具有更安全和高效的认证过程，并支持更高级和安全的算法。具有TLS协议的IOT设备可以向后兼容使用SSL的设备，但它管理员应使用其网络管理员或设备制造商验证此功能。

如何发放物联网设备证书

IT管理员有多种方式通过第三方或私有服务发放物联网设备证书。

第三方证书供应商

许多组织从第三方证书供应商处购买PKI符合条件的证书，例如Globalsign或Comodo，或使用托管的PKI解决方案，例如委托或脚步。正确的选项取决于网络安全堆栈中的第三方供应商的网络和IoT设备部署，安全预算和容忍度。

托管数字证书服务提供了提供、保护和管理物联网数字证书的集中方式。这些服务可以快速扩展或缩小，立即颁发证书，跨设备群管理证书生命周期，并自动化证书活动。

大批量私人数字证书管理

组织还可以创建私有证书服务器，为物联网设备手动提供数字证书。简单证书登记协议服务器通过与企业PKI服务协同工作，可以为网络上的物联网设备提供和分发证书。业务生成证书，并通过MDM系统分发给设备。组织可以使用MDM作为一种经济有效的方法来优化物联网设备证书管理，这些物联网设备完全位于防火墙之后，从不使用公共互联网传输数据。

低容量手动数字证书管理

它管理员可以手动为IOT设备提供设备证书。手动证书服务创建root或中间ad hoc证书以在设备上安装。例如，IT管理员可以为基于Linux的Raspberry PI设备创建自定义脚本，该设备与手动证书一起注册设备，并安装正确的网络设置以获取到网络的安全连接。其他服务，例如Azure IoT集线器设备配置服务，在云网络上创建配置服务，这使得可以轻松生成个人或多个设备的证书和密钥。

类似于区块链技术如何保持信息和活动的不可变记录，组织使用证书技术来跟踪通过PKI的访问和授权。

为什么使用IoT设备证书

设备需要安全的端到端通信，因为错误的参与者经常使用IoT设备作为各种活动的网络入口点，包括网络钓鱼。证书验证授权设备并向网络添加安全层。这公共和私钥PKI中使用的组合可确保发送到IoT设备的所有数据仍然是未经授权的视图或使用。

类似于区块链技术如何保持信息和活动的不可变记录，组织使用证书技术来跟踪通过PKI的访问和授权。身份验证机制通过日期，时间和关键信息记录每个身份验证和操作，提供谁的谁以及何时何地提供谁。因此，数字证书提供了篡改抗篡改功能，以在IOT设备和网络之间的通信。攻击者更难以将内容或恶意代码注入加密数据流。

与其他安全技术相比，物联网设备证书对任何企业来说都是一种低成本的安全措施。即使有了第三方CA和证书管理服务，成本仍然比为每个物联网设备购买一个新的硬件设备要低得多。许多核证机关还提供批量折扣，以控制成本。例如，AWS物联网设备管理以每1000台注册设备10美分的价格提供批量设备证书注册，而Sectigo以每年125美元的价格提供具有无限服务器许可证的域验证证书。

了解物联网设备证书的缺点

如果没有设备管理或证书管理服务，可以难以管理大型设备的设备证书。因为每个证书都有明确的到期日，所以可以花费大量的时间和精力来跟踪它们。

如果IT管理员必须一次集成大量的物联网设备，在关闭它们时删除多个设备，或者向上或向下扩展多个设备证书，那么提供证书可能是一个挑战。如果IT管理员必须手动发放和管理物联网设备证书，时间可以翻倍或三倍。除非一个组织有专门的资源只负责设备证书，否则发放会耗费大量时间。