البرنامج التعليمي: تكوين التسجيل عبر خادم النقل الآمن ل Azure IoT Edge

ينطبق على: IoT Edge 1.5 IoT Edge 1.4

هام

IoT Edge 1.5 LTS وIoT Edge 1.4 LTS هي إصدارات مدعومة. IoT Edge 1.4 LTS هو نهاية العمر الافتراضي في 12 نوفمبر 2024. إذا كنت تستخدم إصدارا سابقا، فشاهد تحديث IoT Edge.

باستخدام Azure IoT Edge، يمكنك تكوين أجهزتك لاستخدام خادم التسجيل عبر النقل الآمن (EST) لإدارة شهادات x509.

يرشدك هذا البرنامج التعليمي من خلال استضافة خادم اختبار EST وتكوين جهاز IoT Edge لتسجيل شهادات x509 وتجديدها. في هذا البرنامج التعليمي، تتعلم كيفية:

• إنشاء خادم اختبار EST واستضافته
• تكوين تسجيل مجموعة DPS
• تكوين الجهاز

المتطلبات الأساسية

• جهاز IoT Edge موجود مع تثبيت أحدث وقت تشغيل Azure IoT Edge. إذا كنت بحاجة إلى إنشاء جهاز اختبار، فأكمل التشغيل السريع: نشر أول وحدة IoT Edge على جهاز Linux ظاهري.
• يتطلب جهاز IoT Edge وقت تشغيل Azure IoT Edge 1.2 أو أحدث لدعم EST. وقت تشغيل Azure IoT Edge 1.3 أو أحدث مطلوب لتجديد شهادة EST.
• خدمة توفير جهاز IoT Hub (DPS) المرتبطة ب IoT Hub. للحصول على معلومات حول تكوين DPS، راجع التشغيل السريع: إعداد خدمة توفير جهاز IoT Hub باستخدام مدخل Microsoft Azure.

ما هو التسجيل عبر النقل الآمن؟

التسجيل عبر النقل الآمن (EST) هو بروتوكول تشفير يقوم بأتمتة إصدار شهادات x.509. يتم استخدامه لعملاء البنية الأساسية للمفتاح العام (PKI)، مثل IoT Edge الذي يحتاج إلى شهادات العميل المرتبطة بمرجع مصدق (CA). تحل EST محل الحاجة إلى إدارة الشهادات اليدوية، والتي يمكن أن تكون محفوفة بالمخاطر وعرضة للخطأ.

خادم EST

لإصدار الشهادة وتجديدها، تحتاج إلى خادم EST يمكن لأجهزتك الوصول إليه.

هام

بالنسبة لحلول درجة المؤسسة، ضع في اعتبارك: GlobalSign IoT Edge Enroll أو DigiCert IoT إدارة الأجهزة.

للاختبار والتطوير، يمكنك استخدام خادم اختبار EST. في هذا البرنامج التعليمي، سنقوم بإنشاء خادم اختبار EST.

تشغيل خادم EST على الجهاز

للبدء بسرعة، يعرض هذا البرنامج التعليمي خطوات نشر خادم EST بسيط في حاوية محليا على جهاز IoT Edge. هذا الأسلوب هو أبسط نهج لتجربته.

يستخدم Dockerfile Ubuntu 18.04، ومكتبة Cisco تسمى libest، ونموذج التعليمات البرمجية للخادم. تم تكوينه بالإعداد التالي الذي يمكنك تغييره:

• المرجع المصدق الجذر صالح لمدة 20 عاما
• شهادة خادم EST صالحة لمدة 10 سنوات
• تعيين أيام الشهادة الافتراضية إلى 1 لاختبار تجديد EST
• يتم تشغيل خادم EST محليا على جهاز IoT Edge في حاوية

تنبيه

لا تستخدم Dockerfile هذا في الإنتاج.

1. اتصل بالجهاز، على سبيل المثال باستخدام SSH، حيث قمت بتثبيت IoT Edge.

2. أنشئ ملفا باسم Dockerfile (حساس لحالة الأحرف) وأضف نموذج المحتوى باستخدام محرر النص المفضل لديك.

   تلميح

   إذا كنت ترغب في استضافة خادم EST الخاص بك في مثيل حاوية Azure، قم بالتغيير myestserver.westus.azurecontainer.io إلى اسم DNS لخادم EST الخاص بك. عند اختيار اسم DNS، يجب أن تكون على علم بأن تسمية DNS لمثيل حاوية Azure يجب أن يكون طولها خمسة أحرف على الأقل.

   # DO NOT USE IN PRODUCTION - Use only for testing #
   
   FROM ubuntu:18.04
   
   RUN apt update && apt install -y apache2-utils git openssl libssl-dev build-essential && \
       git clone https://github.com/cisco/libest.git && cd libest && \
       ./configure --disable-safec && make install && \
       rm -rf /src && apt remove --quiet -y libssl-dev build-essential && \
       apt autoremove -y && apt clean -y && apt autoclean -y && \
       rm -rf /var/lib/apt /tmp/* /var/tmp/*
   
   WORKDIR /libest/example/server/
   
   # Setting the root CA expiration to 20 years
   RUN sed -i "s|-days 365|-days 7300 |g" ./createCA.sh
   
   ## If you want to host your EST server remotely (for example, an Azure Container Instance),
   ## change myestserver.westus.azurecontainer.io to the fully qualified DNS name of your EST server
   ## OR, change the IP address
   ## and uncomment the corresponding line.
   # RUN sed -i "s|DNS.2 = ip6-localhost|DNS.2 = myestserver.westus.azurecontainer.io|g" ./ext.cnf
   # RUN sed -i "s|IP.2 = ::1|IP.2 = <YOUR EST SERVER IP ADDRESS>|g" ./ext.cnf
   
   # Set EST server certificate to be valid for 10 years
   RUN sed -i "s|-keyout \$EST_SERVER_PRIVKEY -subj|-keyout \$EST_SERVER_PRIVKEY -days 7300 -subj |g" ./createCA.sh
   
   # Create the CA
   RUN echo 1 | ./createCA.sh
   
   # Set cert default-days to 1 to show EST renewal
   RUN sed -i "s|default_days   = 365|default_days   = 1 |g" ./estExampleCA.cnf
   
   # The EST server listens on port 8085 by default
   # Uncomment to change the port to 443 or something else. If changed, EXPOSE that port instead of 8085. 
   # RUN sed -i "s|estserver -c|estserver -p 443 -c |g" ./runserver.sh
   EXPOSE 8085
   CMD ./runserver.sh
   

3. في الدليل الذي يحتوي على Dockerfile، أنشئ صورتك من نموذج Dockerfile.

   sudo docker build . --tag est
   

4. ابدأ تشغيل الحاوية وعرض منفذ الحاوية 8085 إلى المنفذ 8085 على المضيف.

   sudo docker run -d -p 8085:8085 est
   

5. الآن، خادم EST الخاص بك قيد التشغيل ويمكن الوصول إليه باستخدام localhost على المنفذ 8085. تحقق من توفره عن طريق تشغيل أمر لمشاهدة شهادة الخادم الخاصة به.

   openssl s_client -showcerts -connect localhost:8085
   

6. يجب أن تشاهد -----BEGIN CERTIFICATE----- في منتصف المخرجات. يتحقق استرداد الشهادة من إمكانية الوصول إلى الخادم ويمكنه تقديم شهادته.

تلميح

لتشغيل هذه الحاوية في السحابة، قم بإنشاء الصورة ودفع الصورة إلى Azure Container Registry. ثم اتبع التشغيل السريع للنشر إلى مثيل حاوية Azure.

تنزيل شهادة المرجع المصدق

يتطلب كل جهاز شهادة المرجع المصدق (CA) المقترنة بشهادة هوية الجهاز.

1. على جهاز IoT Edge، قم بإنشاء /var/aziot/certs الدليل إذا لم يكن موجودا، ثم قم بتغيير الدليل إليه.

   # If the certificate directory doen't exist, create, set ownership, and set permissions
   sudo mkdir -p /var/aziot/certs
   sudo chown aziotcs:aziotcs /var/aziot/certs
   sudo chmod 755 /var/aziot/certs
   
   # Change directory to /var/aziot/certs
   cd /var/aziot/certs
   

2. استرجع شهادة المرجع المصدق من خادم EST إلى /var/aziot/certs الدليل وقم بتسمية .cacert.crt.pem

   openssl s_client -showcerts -verify 5 -connect localhost:8085 < /dev/null | sudo awk '/BEGIN/,/END/{ if(/BEGIN/){a++}; out="cert"a".pem"; print >out}' && sudo cp cert2.pem cacert.crt.pem
   

3. يجب أن تكون الشهادات مملوكة من قبل aziotcs مستخدم الخدمة الرئيسية. تعيين الملكية إلى aziotcs لجميع ملفات الشهادة وتعيين الأذونات. لمزيد من المعلومات حول ملكية الشهادة والأذونات، راجع متطلبات الأذونات.

   # Give aziotcs ownership to certificates
   sudo chown -R aziotcs:aziotcs /var/aziot/certs
   # Read and write for aziotcs, read-only for others
   sudo find /var/aziot/certs -type f -name "*.*" -exec chmod 644 {} \;
   

توفير جهاز IoT Edge باستخدام DPS

يتيح لك استخدام خدمة تزويد الأجهزة إصدار الشهادات وتجديدها تلقائيا من خادم EST في IoT Edge. عند استخدام خادم EST البرنامج التعليمي، تنتهي صلاحية شهادات الهوية في يوم واحد مما يجعل التوفير اليدوي مع IoT Hub غير عملي نظرا لأنه في كل مرة تنتهي فيها صلاحية الشهادة، يجب تحديث بصمة الإبهام يدويا في IoT Hub. تسمح مصادقة المرجع المصدق DPS مع مجموعة التسجيل بتجديد شهادات هوية الجهاز دون أي خطوات يدوية.

تحميل شهادة CA إلى DPS

1. إذا لم يكن لديك خدمة تزويد الأجهزة مرتبطة ب IoT Hub، فشاهد التشغيل السريع: إعداد خدمة توفير جهاز IoT Hub باستخدام مدخل Microsoft Azure.

2. cacert.crt.pem انقل الملف من جهازك إلى كمبيوتر لديه حق الوصول إلى مدخل Microsoft Azure مثل كمبيوتر التطوير الخاص بك. طريقة سهلة لنقل الشهادة هي الاتصال عن بعد بجهازك، وعرض الشهادة باستخدام الأمر cat /var/aziot/certs/cacert.crt.pem، ونسخ الإخراج بأكمله، ولصق المحتويات إلى ملف جديد على كمبيوتر التطوير الخاص بك.

3. في مدخل Microsoft Azure، انتقل إلى مثيل خدمة توفير جهاز IoT Hub.

4. ضمن الإعدادات، حدد الشهادات، ثم +إضافة.

   

   الإعداد	القيمة‬
   اسم الشهادة	أدخل اسما مألوفا لشهادة المرجع المصدق
   ملف الشهادة .pem أو .cer	استعرض للوصول إلى cacert.crt.pem من خادم EST
   تعيين حالة الشهادة إلى تم التحقق منها عند التحميل	تحديد خانة الاختيار

5. حدد حفظ.

إنشاء مجموعة تسجيل

1. في مدخل Microsoft Azure، انتقل إلى مثيل خدمة توفير جهاز IoT Hub.

2. ضمن Settings، حدد Manage enrollments.

3. حدد Add enrollment group ثم أكمل الخطوات التالية لتكوين التسجيل.

4. في علامة التبويب Registration + provisioning ، اختر الإعدادات التالية:

   

   الإعداد	القيمة‬
   آلية الإثبات	حدد شهادات X.509 التي تم تحميلها إلى مثيل خدمة تزويد الأجهزة هذا
   الشهادة الأساسية	اختر شهادتك من القائمة المنسدلة
   اسم المجموعة	أدخل اسما مألوفا لتسجيل المجموعة هذا
   حالة التوفير	حدد خانة الاختيار Enable this enrollment

5. في علامة التبويب IoT hubs ، اختر IoT Hub من القائمة.

6. في علامة التبويب Device settings ، حدد خانة الاختيار Enable IoT Edge on provisioned devices .

   الإعدادات الأخرى غير ذات صلة بالبرنامج التعليمي. يمكنك قبول الإعدادات الافتراضية.

7. حدد "Review + create".

الآن بعد وجود تسجيل للجهاز، يمكن لوقت تشغيل IoT Edge إدارة شهادات الجهاز تلقائيا لمركز IoT المرتبط.

تكوين جهاز IoT Edge

على جهاز IoT Edge، قم بتحديث ملف تكوين IoT Edge لاستخدام شهادات الجهاز من خادم EST.

1. افتح ملف تكوين IoT Edge باستخدام محرر. على سبيل المثال، استخدم nano المحرر لفتح /etc/aziot/config.toml الملف.

   sudo nano /etc/aziot/config.toml
   

2. إضافة الأقسام التالية أو استبدالها في ملف التكوين. تستخدم إعدادات التكوين هذه مصادقة اسم المستخدم وكلمة المرور في البداية للحصول على شهادة الجهاز من خادم EST. يتم استخدام شهادة الجهاز للمصادقة على خادم EST لتجديد الشهادات المستقبلية.

   استبدل نص العنصر النائب التالي: <DPS-ID-SCOPE> مع نطاق معرف DPS المرتبط بمركز IoT الذي يحتوي على الجهاز المسجل، ومع myiotedgedevice معرف الجهاز المسجل في Azure IoT Hub. يمكنك العثور على قيمة نطاق المعرف في صفحة نظرة عامة على DPS.

   # DPS provisioning with X.509 certificate
   # Replace with ID Scope from your DPS
   [provisioning]
   source = "dps"
   global_endpoint = "https://global.azure-devices-provisioning.net"
   id_scope = "<DPS-ID-SCOPE>"
   
   [provisioning.attestation]
   method = "x509"
   registration_id = "myiotedgedevice"
   
   [provisioning.attestation.identity_cert]
   method = "est"
   common_name = "myiotedgedevice"
   
   # Auto renewal settings for the identity cert
   # Available only from IoT Edge 1.3 and above
   [provisioning.attestation.identity_cert.auto_renew]
   rotate_key = false
   threshold = "80%"
   retry = "4%"
   
   # Trusted root CA certificate in the global EST options
   # Optional if the EST server's TLS certificate is already trusted by the system's CA certificates.
   [cert_issuance.est]
       trusted_certs = [
           "file:///var/aziot/certs/cacert.crt.pem",
       ]
   
   # The default username and password for libest
   # Used for initial authentication to EST server
   #
   # Not recommended for production
   [cert_issuance.est.auth]
   username = "estuser"
   password = "estpwd"
   
   [cert_issuance.est.urls]
   default = "https://localhost:8085/.well-known/est"
   

   إشعار

   في هذا المثال، يستخدم IoT Edge اسم المستخدم وكلمة المرور للمصادقة على خادم EST في كل مرة يحتاج فيها إلى الحصول على شهادة. هذا الأسلوب غير مستحسن في الإنتاج لأن 1) يتطلب تخزين سر في نص عادي و2) يجب أن يستخدم IoT Edge شهادة هوية للمصادقة على خادم EST أيضا. لتعديل الإنتاج:

   1. ضع في اعتبارك استخدام شهادات bootstrap طويلة العمر التي يمكن تخزينها على الجهاز أثناء التصنيع على غرار النهج الموصى به ل DPS. لمعرفة كيفية تكوين شهادة bootstrap لخادم EST، راجع مصادقة جهاز باستخدام الشهادات الصادرة ديناميكيا عبر EST.
   2. قم بالتكوين [cert_issuance.est.identity_auto_renew] باستخدام نفس بناء الجملة مثل تكوين التجديد التلقائي لشهادة التوفير أعلاه.

   بهذه الطريقة، تستخدم خدمة شهادة IoT Edge شهادة bootstrap للمصادقة الأولية مع خادم EST، وتطالب بشهادة هوية لطلبات EST المستقبلية إلى نفس الخادم. إذا انتهت صلاحية شهادة هوية EST قبل التجديد لسبب ما، يعود IoT Edge إلى استخدام شهادة bootstrap.

3. قم بتشغيل sudo iotedge config apply لتطبيق الإعدادات الجديدة.

4. قم بتشغيل sudo iotedge check للتحقق من تكوين جهاز IoT Edge. يجب أن تنجح جميع عمليات التحقق من التكوين. بالنسبة لهذا البرنامج التعليمي، يمكنك تجاهل أخطاء الاستعداد للإنتاج والتحذيرات، وتحذيرات خادم DNS، وعمليات التحقق من الاتصال.

5. انتقل إلى جهازك في IoT Hub. تمت إضافة بصمات إبهام الشهادة إلى الجهاز تلقائيا باستخدام DPS وخادم EST.

   

   إشعار

   عند إنشاء جهاز IoT Edge جديد، فإنه يعرض رمز 417 -- The device's deployment configuration is not set in the Azure portal. الحالة هذه الحالة عادية، ويعني أن الجهاز جاهز لتلقي نشر وحدة نمطية.

اختبار تجديد الشهادة

يمكنك إعادة إصدار شهادات هوية الجهاز على الفور عن طريق إزالة الشهادات والمفاتيح الموجودة من الجهاز ثم تطبيق تكوين IoT Edge. يكتشف IoT Edge الملفات المفقودة ويطلب شهادات جديدة.

1. على جهاز IoT Edge، أوقف وقت تشغيل IoT Edge.

   sudo iotedge system stop
   

2. احذف الشهادات والمفاتيح الموجودة.

   sudo sh -c "rm /var/lib/aziot/certd/certs/*"
   sudo sh -c "rm /var/lib/aziot/keyd/keys/*"
   

3. تطبيق تكوين IoT Edge لتجديد الشهادات.

   sudo iotedge config apply
   

   قد تحتاج إلى الانتظار بضع دقائق حتى يبدأ وقت التشغيل.

4. انتقل إلى جهازك في IoT Hub. تم تحديث بصمة إبهام الشهادة.

   

5. سرد ملفات الشهادة باستخدام الأمر sudo ls -l /var/lib/aziot/certd/certs. يجب أن تشاهد تواريخ الإنشاء الأخيرة لملفات شهادة الجهاز.

6. openssl استخدم الأمر للتحقق من محتويات الشهادة الجديدة. على سبيل المثال:

   sudo openssl x509 -in /var/lib/aziot/certd/certs/deviceid-bd732105ef89cf8edd2606a5309c8a26b7b5599a4e124a0fe6199b6b2f60e655.cer -text -noout
   

   استبدل اسم ملف شهادة الجهاز (.cer) بملف شهادة جهازك.

   يجب أن تلاحظ أن نطاق تاريخ صلاحية الشهادة قد تغير.

فيما يلي طرق أخرى اختيارية يمكنك من خلالها اختبار تجديد الشهادة. توضح هذه الفحوصات كيفية تجديد IoT Edge للشهادات من خادم EST عند انتهاء صلاحيتها أو فقدانها. بعد كل اختبار، يمكنك التحقق من بصمات الإبهام الجديدة في مدخل Microsoft Azure واستخدام openssl الأمر للتحقق من الشهادة الجديدة.

1. حاول الانتظار لمدة يوم حتى تنتهي صلاحية الشهادة. تم تكوين خادم اختبار EST لإنشاء شهادات تنتهي صلاحيتها بعد يوم واحد. يقوم IoT Edge تلقائيا بتجديد الشهادة.
2. حاول ضبط النسبة المئوية threshold للتجديد التلقائي المعين في config.toml (تم تعيينه حاليا إلى 80٪ في تكوين المثال). على سبيل المثال، قم بتعيينه إلى 10% ومراقبة تجديد الشهادة كل ساعتين تقريبا.
3. حاول ضبط إلى threshold عدد صحيح متبوعا ب m (دقائق). على سبيل المثال، قم بتعيينه إلى 60m ومراقبة تجديد الشهادة قبل ساعة من انتهاء الصلاحية.

تنظيف الموارد

يمكنك الاحتفاظ بالموارد والتكوينات التي قمت بإنشائها في هذا البرنامج التعليمي وإعادة استخدامها. غير ذلك يمكنك حذف التكوينات المحلية وموارد Azure التي استخدمتها في هذه المقالة لتجنب التكاليف.

قم بحذف موارد Azure.

حذف موارد Azure ومجموعات الموارد لا رجعة فيه. يُرجى التأكد من عدم حذف مجموعة الموارد أو الموارد غير الصحيحة عن طريق الخطأ. إذا قمت بإنشاء مركز IoT داخل مجموعة موارد موجودة لديها موارد تريد الاحتفاظ بها، فاحذف فقط مورد محور IoT نفسه، وليس مجموعة الموارد.

لحذف الموارد:

1. سجل الدخول إلى مدخل Azure، وحدد "Resource groups".

2. حدد اسم مجموعة الموارد التي تحتوي على موارد اختبار IoT Edge.

3. راجع قائمة الموارد الموجودة في مجموعة الموارد الخاصة بك. إذا كنت تريد حذفها جميعاً، يمكنك تحديد Delete resource group. إذا كنت تريد حذف بعضها فقط، فيمكنك النقر فوق كل مورد لحذفها بشكل فردي.

الخطوات التالية

• لاستخدام خادم EST لإصدار شهادات المرجع المصدق Edge، راجع مثال التكوين.
• لا ينصح باستخدام اسم المستخدم وكلمة المرور لمصادقة bootstrap إلى خادم EST للإنتاج. بدلا من ذلك، ضع في اعتبارك استخدام شهادات bootstrap طويلة الأمد التي يمكن تخزينها على الجهاز أثناء التصنيع مشابهة للنهج الموصى به ل DPS. لمعرفة كيفية تكوين شهادة bootstrap لخادم EST، راجع مصادقة جهاز باستخدام الشهادات الصادرة ديناميكيا عبر EST.
• يمكن استخدام خادم EST لإصدار شهادات لجميع الأجهزة في التسلسل الهرمي أيضا. اعتمادا على ما إذا كان لديك متطلبات ISA-95، قد يكون من الضروري تشغيل سلسلة من خوادم EST مع واحد في كل طبقة أو استخدام وحدة وكيل واجهة برمجة التطبيقات لإعادة توجيه الطلبات. لمعرفة المزيد، راجع مدونة كيفن.
• للحصول على حلول على مستوى المؤسسة، ضع في اعتبارك: GlobalSign IoT Edge Enroll أو DigiCert IoT إدارة الأجهزة
• لمعرفة المزيد حول الشهادات، راجع فهم كيفية استخدام Azure IoT Edge للشهادات.