Koncepty ověřování zařízení ve službě IoT Central

Tento článek popisuje, jak se zařízení ověřují v aplikaci IoT Central. Další informace o celkovém procesu připojení najdete v tématu Připojení zařízení.

Zařízení se ověřují pomocí aplikace IoT Central pomocí tokenu sdíleného přístupového podpisu (SAS) nebo certifikátu X.509. Certifikáty X.509 se doporučují v produkčních prostředích.

Skupiny registrací slouží ke správě možností ověřování zařízení v aplikaci IoT Central.

Tento článek popisuje následující možnosti ověřování zařízení:

• Skupina registrací X.509
• Skupina registrací SAS
• Jednotlivá registrace

Skupina registrací X.509

V produkčním prostředí je použití certifikátů X.509 doporučeným mechanismem ověřování zařízení pro IoT Central. Další informace najdete v tématu Ověřování zařízení pomocí certifikátů certifikační autority X.509.

Skupina registrací X.509 obsahuje kořenový nebo zprostředkující certifikát X.509. Zařízení se můžou ověřit, pokud mají platný listový certifikát odvozený z kořenového nebo zprostředkujícího certifikátu.

Připojení zařízení s certifikátem X.509 k aplikaci:

1. Vytvořte skupinu registrací, která používá typ ověření certifikátů (X.509 ).
2. Přidejte a ověřte zprostředkující nebo kořenový certifikát X.509 ve skupině registrací.
3. Vygenerujte listový certifikát z kořenového nebo zprostředkujícího certifikátu ve skupině registrací. Nainstalujte na zařízení listový certifikát, který se má použít při připojení k vaší aplikaci.

Každá skupina registrací by měla používat jedinečný certifikát X.509. IoT Central nepodporuje použití stejného certifikátu X.509 ve více skupinách registrací.

Další informace najdete v tématu Připojení zařízení pomocí certifikátů X.509.

Pouze pro účely testování

V produkčním prostředí použijte certifikáty od poskytovatele certifikátů. Pouze pro testování můžete použít následující nástroje k vygenerování kořenových, zprostředkujících certifikátů a certifikátů zařízení:

• Nástroje pro sadu AZURE IoT Device Provisioning Device SDK: kolekce nástrojů Node.js, které můžete použít ke generování a ověřování certifikátů a klíčů X.509.
• Správa certifikátů testovací certifikační autority pro ukázky a kurzy: kolekce skriptů PowerShellu a Bash pro:
  • Vytvořte řetěz certifikátů.
  • Uložte certifikáty jako soubory .cer pro nahrání do aplikace IoT Central.
  • K vygenerování ověřovacího certifikátu použijte ověřovací kód z aplikace IoT Central.
  • Vytvořte listové certifikáty pro vaše zařízení pomocí ID zařízení jako parametr nástroje.

Skupina registrací SAS

Skupina registrací SAS obsahuje klíče SAS na úrovni skupiny. Zařízení se můžou ověřit, pokud mají platný token SAS odvozený z klíče SAS na úrovni skupiny.

Připojení zařízení pomocí tokenu SAS zařízení k aplikaci:

1. Vytvořte skupinu registrací, která používá typ ověření sdíleného přístupového podpisu (SAS).

2. Zkopírujte primární nebo sekundární klíč skupiny ze skupiny registrací.

3. Pomocí Azure CLI vygenerujte token zařízení z klíče skupiny:

   az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
   

4. Token vygenerovaného zařízení použijte, když se zařízení připojí k aplikaci IoT Central.

Poznámka:

Pokud chcete ve skupinách registrací používat existující klíče SAS, zakažte přepínač Automatické generování klíčů a ručně zadejte klíče SAS.

Pokud použijete výchozí skupinu registrací SAS-IoT-Devices , IoT Central za vás vygeneruje jednotlivé klíče zařízení. K těmto klíčům se dostanete tak, že na stránce s podrobnostmi o zařízení vyberete Připojení. Tato stránka zobrazuje obor ID, ID zařízení, primární klíč a sekundární klíč, které používáte v kódu zařízení. Tato stránka také zobrazuje kód QR, který obsahuje stejná data.

Jednotlivá registrace

Zařízení se obvykle připojují pomocí přihlašovacích údajů odvozených z certifikátu X.509 skupiny registrací nebo klíče SAS. Pokud ale vaše zařízení mají svoje vlastní přihlašovací údaje, můžete použít jednotlivé registrace. Jednotlivá registrace je položka pro jedno zařízení, které umožňuje připojení. Jednotlivé registrace můžou jako mechanismy ověřování používat buď certifikáty typu list X.509, nebo tokeny SAS (z fyzického nebo virtuálního důvěryhodného modulu platformy). Další informace najdete v tématu Individuální registrace DPS.

Poznámka:

Když vytvoříte individuální registraci pro zařízení, bude mít přednost před výchozími možnostmi skupiny registrací ve vaší aplikaci IoT Central.

Vytvoření jednotlivých registrací

IoT Central podporuje následující mechanismy ověření identity pro jednotlivé registrace:

• Ověření symetrického klíče: Ověření symetrického klíče je jednoduchý přístup k ověřování zařízení s instancí DPS. Pokud chcete vytvořit jednotlivou registraci, která používá symetrické klíče, otevřete stránku připojení zařízení pro zařízení, jako typ ověřování vyberte jednotlivou registraci a jako metodu ověřování vyberte sdílený přístupový podpis (SAS ). Zadejte primární a sekundární klíče s kódováním base64 a uložte změny. K připojení zařízení použijte obor ID, ID zařízení a primární nebo sekundární klíč.

  Tip

  K testování můžete použít OpenSSL k vygenerování klíčů s kódováním Base64: openssl rand -base64 64

• Certifikáty X.509: Pokud chcete vytvořit jednotlivou registraci s certifikáty X.509, otevřete stránku Připojení ion zařízení, jako typ ověřování vyberte jednotlivou registraci a jako metodu ověřování vyberte certifikáty (X.509). Certifikáty zařízení používané s jednotlivými položkami registrace mají požadavek, aby vystavitel a cn předmětu byly nastaveny na ID zařízení.

  Tip

  K testování můžete použít nástroje pro sadu SDK zařízení Azure IoT Device Provisioning pro Node.js k vygenerování certifikátu podepsaného svým držitelem: node create_test_cert.js device "mytestdevice"

• Ověření identity čipu TPM (Trusted Platform Module):Čip TPM je typ modulu hardwarového zabezpečení. Použití čipu TPM je jedním z nejbezpečnějších způsobů připojení zařízení. Tento článek předpokládá, že používáte diskrétní, firmware nebo integrovaný čip TPM. Softwarové emulované čipy TPM jsou vhodné pro vytváření prototypů nebo testování, ale neposkytují stejnou úroveň zabezpečení jako diskrétní, firmware nebo integrované čipy TPM. Nepoužívejte softwarové čipy TPM v produkčním prostředí. Pokud chcete vytvořit jednotlivou registraci, která používá čip TPM, otevřete stránku Připojení ion zařízení, jako typ ověřování vyberte jednotlivou registraci a jako metodu ověřování TPM. Zadejte ověřovací klíč TPM a uložte informace o připojení zařízení.

Automatická registrace zařízení

Tento scénář umožňuje výrobcům OEM hromadnou výrobu zařízení, která se můžou připojit bez registrace v aplikaci. Výrobce OEM vygeneruje vhodné přihlašovací údaje zařízení a nakonfiguruje zařízení v továrně.

Automatická registrace zařízení, která používají certifikáty X.509:

1. Vygenerujte certifikáty typu list pro vaše zařízení pomocí kořenového nebo zprostředkujícího certifikátu, který jste přidali do skupiny registrací X.509. Id zařízení použijte jako CNAME v listových certifikátech. ID zařízení může obsahovat písmena, číslice a - znak.

2. Jako výrobce OEM flash každé zařízení s ID zařízení, vygenerovaným certifikátem X.509 list a hodnotou oboru ID aplikace. Kód zařízení by měl také odeslat ID modelu zařízení, který implementuje.

3. Když zařízení zapnete, nejprve se připojí k DPS a načte informace o připojení IoT Central.

4. Zařízení používá informace z DPS pro připojení k aplikaci IoT Central a registraci v aplikaci IoT Central.

5. Aplikace IoT Central používá ID modelu odesílané zařízením k přiřazení registrovaného zařízení k šabloně zařízení.

Automatická registrace zařízení, která používají tokeny SAS:

1. Zkopírujte primární klíč skupiny ze skupiny registrací SAS-IoT-Devices :

   

2. az iot central device compute-device-key Pomocí příkazu vygenerujte klíče SAS zařízení. Použijte primární klíč skupiny z předchozího kroku. ID zařízení může obsahovat písmena, číslice a - znak:

   az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
   

3. Jako výrobce OEM flash každé zařízení s ID zařízení, vygenerovaným klíčem SAS zařízení a hodnotou oboru ID aplikace. Kód zařízení by měl také odeslat ID modelu zařízení, který implementuje.

4. Když zařízení zapnete, nejprve se připojí k DPS a načte informace o registraci IoT Central.

5. Zařízení používá informace z DPS pro připojení k aplikaci IoT Central a registraci v aplikaci IoT Central.

6. Aplikace IoT Central používá ID modelu odesílané zařízením k přiřazení registrovaného zařízení k šabloně zařízení.

Další kroky

Mezi navrhované další kroky patří:

• Projděte si osvědčené postupy pro vývoj zařízení.
• Projděte si ukázkový kód, který ukazuje, jak používat tokeny SAS v kurzu: Vytvoření a připojení klientské aplikace k aplikaci Azure IoT Central
• Zjistěte, jak připojit zařízení pomocí certifikátů X.509 pomocí sady NODE.JS SDK pro zařízení pro aplikaci IoT Central.
• Informace o monitorování připojení zařízení pomocí Azure CLI
• Přečtěte si o zařízeních Azure IoT Edge a Azure IoT Central