行业新闻与博客

设备证书使从验证设备到保护它们在 Internet 上传输的通信和数据的所有事情都成为可能。以下是关于这些设备是什么以及如何使用它们可以使您的业务受益的信息

电子设备已成为我们日常个人和职业生活的必需品。如果您和许多人一样，您的家中可能有一个 Alexa，或者您的办公室中有一个智能恒温器。它们如此受欢迎是有原因的——智能设备有助于公司简化流程、提高生产力、更好地服务客户并降低成本。

现在，我们不是在这里向您推销这些设备的好处。但是，我们要指出的是，过去十年中，联网设备的使用一直在稳步增长。IDC 估计，到 2025 年，平均每分钟将有 152,200 台物联网设备连接。这是很多设备——让我们算一算。考虑到一天有 1,440 分钟，平均一年有 525,600 分钟，这意味着他们估计：

• 到 2025 年，每天将连接 219,168,000 台设备，或
• 115,194,700,800,000——超过115 万亿——设备每年将连接！

如果您的组织选择对 IoT 说“是”，您还需要了解您需要采取哪些措施来保护这些设备。这是设备证书发挥作用的地方。但是什么是设备证书？这些证书证书如何使您组织的安全和身份验证功能受益？

让我们来分析一下。

什么是设备证书？定义设备证书

设备证书是一种数字证书，可实现两个设备之间的相互身份验证和安全连接（即机器对机器或 M2M 通信）。这是通过使用公钥基础设施（简称 PKI）来完成的。这就是为什么它们有时也被称为 PKI 设备证书的原因。  

设备证书通常由组织的内部证书颁发机构或所谓的私有 CA 颁发。虽然我们不会深入探讨公共 CA 与私有 CA 的本质差异，但我们将为您提供一个快速概览。

• 公共证书颁发机构是一个独立的可信第三方，它颁发您购买的公共可信证书。
• 另一方面，私有 CA 在您的组织内部（这意味着您颁发自己的证书以在您的网络上使用）。

现在，让我们快速比较公共 CA 颁发的客户端身份验证证书与私有 CA 颁发的设备证书：

简而言之，设备证书可实现以下功能：

• 通过使用经过验证的组织身份进行安全身份验证，
• 通过证书上注册的通用名称进行设备标识，
• 通过使用加密来确保数据安全，以及
• 通过加密签名和散列实现数据完整性。

通常，这些数字证书使授权设备能够连接到您的 Internet 网络或网络上的其他设备和应用程序。这里的想法是证书本身充当设备的一种数字身份形式。就像密码如何帮助您在机场证明您的身份一样，设备证书使其他设备能够验证尝试与其连接的设备是否合法。

每个证书都带有一组加密密钥，有助于创建这些安全通信。一个密钥加密数据，另一个解密数据——这样做是为了确保只有预期的接收者（两个通信设备）才能访问明文数据。这有助于防止未经授权的用户看到他们不应该看到的东西。  

哪些组织和行业通常使用设备证书？

设备证书是不可替代的工具，可帮助设备制造商和部署企业保护其设备。因此，这些证书几乎可用于所有行业和环境，包括：

• 制造设施，  
• 卫生保健设施，
• 公司办公室，
• 机场，以及
• 零售店。

无论您属于哪个行业，这些 PKI 数字证书都可以帮助您保护多种类型的设备。两个常见用例的示例包括：

• 物联网设备制造商可以在将设备运出大门之前对其进行保护。  
• 部署组织（即在其环境中使用这些设备的公司）可以使用这些证书来保护其网络上的设备。

不幸的是，许多物联网设备制造商在将设备运送给客户之前并没有费心保护他们的设备。这意味着，作为用户（即，在您的环境中使用这些设备的组织或企业），您需要主动亲自动手。

这些证书可帮助您保护的设备示例

让我们快速探索一些设备证书保护的设备类型示例：

• 物联网设备——这些设备的例子包括智能闭路电视摄像机、制造机器人、医疗设备以及智能监视器和传感器。
• 移动设备——这是不言自明的，主要包括智能手机和平板电脑（包括企业和 BYOD 设备）。
• 其他硬件设备— 此类别包括多种类型的设备，包括网络设备（例如网关和外围防火墙）。

服务器证书与设备证书 = 单向与双向身份验证

当人们谈论数字证书时，有时会产生一种误解，认为所有数字证书都是相同的，或者它们做同样的事情。但是，就像 Apple 爱好者在 Apple 与 Windows 的终生辩论中对他们的设备的看法一样，并非所有证书都是相同的，并且用于不同的目的。 

让我们考虑一个传统的 SSL/TLS 证书，或者所谓的网站安全证书。如果您在您的网站上使用 SSL/TLS 证书（意味着该证书安装在您的服务器上），则您正在使您的服务器能够向客户的 Web 浏览器识别自身。这允许服务器在您客户的客户端和您的服务器之间建立安全、加密的连接。这个过程被称为单向身份验证，因为只有服务器向客户端标识自己——反之亦然。

（注意：身份验证过程发生在所谓的 SSL/TLS 握手中，这是一个非常技术性的主题，我们现在不打算讨论。请务必查看我们关于该主题的其他文章以了解更多信息什么SSL / TLS 握手以及它是如何工作的。）

现在，让我们考虑设备证书的作用。此证书位于用户的设备上，而不是您的服务器上。因此，他们所做的是允许他们的客户端在 SSL/TLS 握手期间对您的 Web 服务器进行身份验证。这类似于客户端身份验证证书使授权用户（例如您的员工）能够连接到内部网络上的 Web 应用程序或安全驱动器的方式。但是，这些证书用于自治设备。

让我们考虑这三类证书的增强型密钥使用 (EKU) 数据：

现在，让我们将其与三种类型证书的密钥使用数据进行比较：

这就是说：设备证书认证=双向安全认证。

设备证书如何帮助保护您的业务和数据

现在我们知道了设备证书是什么以及它们是如何工作的（一般意义上），让我们探索它们的一些用途和组织应用：

• 在设备之间启用安全身份验证。使您组织的设备能够安全地与您的服务器和其他设备通信，同时降低中间人攻击的风险。
• 保护您的设备免受攻击者的侵害。设备证书使您的组织的设备（及其包含的数据）能够与您的服务器安全通信，从而有助于保护这些设备。这有助于保护他们免受中间人攻击，并有助于防止他们成为僵尸网络僵尸。
• 帮助您扩展设备安全性。提高安全性对任何企业来说都是具有挑战性的——但对于大型组织和企业来说尤其如此。这些公司通常将设备连接到多个网络和地理区域。
• 帮助您实现零信任。设备证书使您的组织更接近于创建零信任环境。

您从哪里获得设备 PKI 证书？

由于设备证书是您的公司在其内部环境和网络中使用的东西，您将通过您的私有 CA 颁发它。这不是您可以像 SSL/TLS 证书或电子邮件签名证书那样从公共 CA 购买的东西。有两种主要方法可以做到这一点：

1. 使用 OpenSSL 或 Microsoft CA 等快速解决方案构建和管理您自己的私有 CA。
2. 您可以使用托管 PKI (mPKI) 提供程序来处理这些过程。  

但是，无论您选择哪种方法，我们都需要在这里强调最后一点……

必须正确管理设备证书才能有用（最后的想法）

虽然使用设备证书显然有许多财务和运营优势，但如果管理不当，这些数字证书对您没有任何好处。其中一部分需要知道您的证书在哪里以及何时必须更换。

就像生活中的其他一切一样，没有什么是永恒的。所有数字证书都具有有效期。它们还可以部署在集中式和分散式环境中，如果没有合适的工具供您使用，它们就更难以密切关注。

正确的设备证书管理需要了解以下内容：

• 何时以及如何（即使用什么流程和程序）颁发设备证书，
• 您的网络和 IT 环境中拥有哪些设备，
• 这些设备是否受 PKI 数字证书保护，
• 当这些证书设置为过期时，以及
• 谁负责管理这些证书的生命周期。