Koncepty ověřování zařízení v IoT Central

Tento článek popisuje, jak se zařízení ověřují v aplikaci IoT Central. Další informace o celkovém procesu připojení najdete v tématu Připojení zařízení.

Zařízení se ověřují pomocí aplikace IoT Central pomocí tokenu sdíleného přístupového podpisu (SAS) nebo certifikátu X.509. Certifikáty X.509 se doporučují v produkčních prostředích.

Skupiny registrací slouží ke správě možností ověřování zařízení v aplikaci IoT Central.

Tento článek popisuje následující možnosti ověřování zařízení:

Skupina registrací X.509

V produkčním prostředí je použití certifikátů X.509 doporučeným mechanismem ověřování zařízení pro IoT Central. Další informace najdete v tématu Ověřování zařízení pomocí certifikátů certifikační autority X.509.

Skupina registrací X.509 obsahuje kořenový nebo zprostředkující certifikát X.509. Zařízení se můžou ověřit, pokud mají platný listový certifikát odvozený z kořenového nebo zprostředkujícího certifikátu.

Připojení zařízení s certifikátem X.509 k aplikaci:

  1. Vytvořte skupinu registrací , která používá typ ověření certifikátů (X.509 ).
  2. Přidejte a ověřte zprostředkující nebo kořenový certifikát X.509 ve skupině registrací.
  3. Vygenerujte listový certifikát z kořenového nebo zprostředkujícího certifikátu ve skupině registrací. Nainstalujte listový certifikát na zařízení, aby se používal při připojení k aplikaci.

Každá skupina registrací by měla používat jedinečný certifikát X.509. IoT Central nepodporuje použití stejného certifikátu X.509 ve více skupinách registrací.

Další informace najdete v tématu Připojení zařízení pomocí certifikátů X.509

Pouze pro účely testování

V produkčním prostředí použijte certifikáty od poskytovatele certifikátů. Pouze pro testování můžete použít následující nástroje k vygenerování kořenových, zprostředkujících certifikátů a certifikátů zařízení:

Skupina registrací SAS

Skupina registrací SAS obsahuje klíče SAS na úrovni skupiny. Zařízení se můžou ověřit, pokud mají platný token SAS odvozený z klíče SAS na úrovni skupiny.

Připojení zařízení s tokenem SAS zařízení k aplikaci:

  1. Vytvořte skupinu registrací , která používá typ ověření sdíleného přístupového podpisu (SAS ).

  2. Zkopírujte primární nebo sekundární klíč skupiny ze skupiny registrací.

  3. Pomocí Azure CLI vygenerujte token zařízení z klíče skupiny:

    az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
    
  4. Pokud se zařízení připojí k aplikaci IoT Central, použijte vygenerovaný token zařízení.

Poznámka

Pokud chcete ve skupinách registrací používat existující klíče SAS, zakažte přepínač Automatické vygenerování klíčů a ručně zadejte klíče SAS.

Pokud použijete výchozí skupinu registrací SAS-IoT-Devices , IoT Central za vás vygeneruje jednotlivé klíče zařízení. Pokud chcete získat přístup k těmto klíčům, vyberte Připojit na stránce s podrobnostmi o zařízení. Tato stránka zobrazuje obor ID, ID zařízení, primární klíč a sekundární klíč , který používáte v kódu zařízení. Tato stránka také zobrazuje kód QR, který obsahuje stejná data.

Individuální registrace

Zařízení se obvykle připojují pomocí přihlašovacích údajů odvozených od certifikátu X.509 skupiny registrací nebo klíče SAS. Pokud ale vaše zařízení mají svoje vlastní přihlašovací údaje, můžete použít jednotlivé registrace. Jednotlivá registrace je položka pro jedno zařízení, které se může připojit. Jednotlivé registrace můžou jako mechanismy ověřování používat certifikáty X.509 list nebo tokeny SAS (z fyzického nebo virtuálního důvěryhodného modulu platformy). Další informace najdete v tématu Individuální registrace DPS.

Poznámka

Při vytváření individuální registrace pro zařízení má přednost před výchozími možnostmi skupiny registrací v aplikaci IoT Central.

Vytvoření jednotlivých registrací

IoT Central podporuje následující mechanismy ověření identity pro jednotlivé registrace:

  • Ověření symetrického klíče: Ověření symetrického klíče je jednoduchý přístup k ověřování zařízení s instancí DPS. Pokud chcete vytvořit individuální registraci, která používá symetrické klíče, otevřete stránku připojení zařízení pro zařízení, jako typ ověřování vyberte individuální registraci a jako metodu ověřování vyberte sdílenou přístupový podpis (SAS ). Zadejte primární a sekundární klíče s kódováním base64 a uložte provedené změny. K připojení zařízení použijte obor ID, ID zařízení a primární nebo sekundární klíč.

    Tip

    K testování můžete použít OpenSSL k vygenerování klíčů s kódováním base64: openssl rand -base64 64

  • Certifikáty X.509: Pokud chcete vytvořit individuální registraci s certifikáty X.509, otevřete stránku Připojení zařízení , jako typ ověřování vyberte individuální registraci a jako metodu ověřování vyberte certifikáty (X.509 ). Certifikáty zařízení používané s jednotlivými položkami registrace mají požadavek, aby vystavitel a předmět CN byly nastaveny na ID zařízení.

    Tip

    K testování můžete použít nástroje pro sadu Azure IoT Device Provisioning Device SDK pro Node.js k vygenerování certifikátu podepsaného svým držitelem: node create_test_cert.js device "mytestdevice"

  • Ověření identity čipu TPM (Trusted Platform Module):Čip TPM je typ modulu hardwarového zabezpečení. Použití čipu TPM je jedním z nejbezpečnějších způsobů připojení zařízení. Tento článek předpokládá, že používáte diskrétní, firmware nebo integrovaný čip TPM. Softwarové emulované čipy TPM jsou vhodné pro vytváření prototypů nebo testování, ale neposkytují stejnou úroveň zabezpečení jako diskrétní, firmware nebo integrované čipy TPM. Nepoužívejte softwarové čipy TPM v produkčním prostředí. Pokud chcete vytvořit jednotlivou registraci, která používá čip TPM, otevřete stránku Připojení zařízení , jako typ ověřování vyberte individuální registraci a jako metodu ověřování tpm . Zadejte ověřovací klíč TPM a uložte informace o připojení zařízení.

Automatická registrace zařízení

Tento scénář umožňuje výrobcům OEM hromadnou výrobu zařízení, která se můžou připojit bez registrace v aplikaci. OEM vygeneruje vhodné přihlašovací údaje zařízení a nakonfiguruje zařízení v továrně.

Automatická registrace zařízení používající certifikáty X.509:

  1. Vygenerujte listové certifikáty pro vaše zařízení pomocí kořenového nebo zprostředkujícího certifikátu, který jste přidali do skupiny registrací X.509. Id zařízení použijte jako CNAME v listových certifikátech. ID zařízení může obsahovat písmena, čísla a - znak.

  2. Jako OEM flash každé zařízení s ID zařízení, vygenerovaný listový certifikát X.509 a hodnota oboru ID aplikace. Kód zařízení by měl také odeslat ID modelu zařízení, který implementuje.

  3. Když zapnete zařízení, nejprve se připojí k DPS a načte informace o připojení IoT Central.

  4. Zařízení používá informace z DPS pro připojení k aplikaci IoT Central a registraci v aplikaci IoT Central.

  5. Aplikace IoT Central používá ID modelu odesílané zařízením k přiřazení zaregistrovaného zařízení k šabloně zařízení.

Automatická registrace zařízení, která používají tokeny SAS:

  1. Zkopírujte primární klíč skupiny ze skupiny registrací SAS-IoT-Devices :

    Seskupte primární klíč z S A S – I o T – Skupina registrace zařízení.

  2. az iot central device compute-device-key Pomocí příkazu vygenerujte klíče SAS zařízení. Použijte primární klíč skupiny z předchozího kroku. ID zařízení může obsahovat písmena, číslice a - znak:

    az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
    
  3. Jako OEM flash každé zařízení s ID zařízení, vygenerovaný klíč SAS zařízení a hodnota oboru ID aplikace. Kód zařízení by měl také odeslat ID modelu zařízení, který implementuje.

  4. Když zapnete zařízení, nejprve se připojí k DPS a načte informace o registraci IoT Central.

  5. Zařízení používá informace z DPS pro připojení k aplikaci IoT Central a registraci v aplikaci IoT Central.

  6. Aplikace IoT Central používá ID modelu odesílané zařízením k přiřazení zaregistrovaného zařízení k šabloně zařízení.

Další kroky

Mezi navrhované další kroky patří: