Sdílet prostřednictvím

Správa certifikátů IoT Edge

platí pro:ikona Ano IoT Edge 1.1

Důležité

IoT Edge 1.1 datum ukončení podpory bylo 13. prosince 2022. Informace o způsobu podpory tohoto produktu, služby, technologie nebo rozhraní API najdete v tématu věnovaném životnímu cyklu produktů Microsoftu. Další informace o aktualizaci na nejnovější verzi IoT Edge najdete v tématu AktualizaceIoT Edge .

Všechna zařízení IoT Edge používají certifikáty k vytvoření bezpečných připojení mezi runtime a jakýmikoli moduly běžícími na zařízení. IoT Edge zařízení fungující jako brány používají ty samé certifikáty také k připojení na své dolů umístěné zařízení. Další informace o funkci různých certifikátů na zařízení IoT Edge najdete v tématu Vysvětlení, jak Azure IoT Edge používá certifikáty.

Poznámka:

Termín root CA používaný v celém tomto článku odkazuje na certifikát nejvyšší autority v certifikačním řetězci pro vaše IoT řešení. Kořen certifikátu syndikované certifikační autority ani kořen certifikační autority vaší organizace nemusíte používat. V mnoha případech se jedná o zprostředkující certifikát certifikační autority.

Požadavky

  • Seznamte se s tím, jak Azure IoT Edge používá certifikáty.

  • Zařízení IoT Edge. Pokud nemáte nastavené zařízení IoT Edge, můžete ho vytvořit ve virtuálním počítači Azure. Postupujte podle kroků v jednom z článků rychlého startu k vytvoření virtuálního zařízení s Linuxem nebo vytvoření virtuálního zařízení s Windows.

  • Schopnost upravit konfigurační soubor IoT Edge config.toml podle konfigurační šablony.

    • Pokud váš config.toml není založen na šabloně, otevřete šablonu a použijte komentované pokyny k přidání konfiguračních sekcí podle struktury šablony.

    • Pokud máte novou instalaci IoT Edge, která ještě nebyla nakonfigurována, zkopírujte šablonu k inicializaci konfigurace. Nepoužívejte tento příkaz, pokud již máte existující konfiguraci. Přepíše soubor.

      sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

Certifikační autorita zařízení

Všechna zařízení IoT Edge používají certifikáty k vytváření bezpečných spojení mezi runtime prostředím a všemi moduly spuštěnými na zařízení. Zařízení IoT Edge fungující jako brány používají stejné certifikáty k připojení ke svým downstreamovým zařízením. Další informace o funkci různých certifikátů na zařízení IoT Edge najdete v tématu Vysvětlení, jak Azure IoT Edge používá certifikáty.

IoT Edge automaticky vygeneruje CA zařízení na zařízení v několika případech, včetně:

  • Pokud při instalaci a zřízení Služby IoT Edge neposkytujete vlastní produkční certifikáty, správce zabezpečení IoT Edge automaticky vygeneruje certifikát certifikační autority zařízení. Tento samo podepsaný certifikát je určen pouze pro vývoj a testování, nikoliv pro produkci. Platnost tohoto certifikátu vyprší po 90 dnech.
  • Správce zabezpečení IoT Edge také vygeneruje CA certifikát pracovní zátěže podepsaný certifikátem certifikační autority zařízení.

U těchto dvou automaticky generovaných certifikátů máte možnost nastavit příznak v konfiguračním souboru, abyste nakonfigurovali počet dnů po dobu životnosti certifikátů.

Poznámka:

Existuje třetí automaticky vygenerovaný certifikát, který vytvoří správce zabezpečení IoT Edge, certifikát serveru centra IoT Edge. Tento certifikát má vždy 30denní životnost, ale před vypršením platnosti se automaticky obnoví. Hodnota životnosti automaticky generované certifikační autority nastavená v konfiguračním souboru nemá vliv na tento certifikát.

Přizpůsobení délky platnosti certifikátu zařízení pro rychlý start vydaného certifikační autoritou

Po uplynutí zadaného počtu dnů se musí IoT Edge restartovat, aby se znovu vygeneroval certifikát certifikační autority zařízení. Certifikát certifikační autority zařízení se neprodlouží automaticky.

  1. Pokud chcete nakonfigurovat vypršení platnosti certifikátu na něco jiného, než je výchozí 90 dní, přidejte hodnotu ve dnech do oddílu certifikáty konfiguračního souboru.

    certificates:
  device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
  device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
  trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
  auto_generated_ca_lifetime_days: <value>

    Poznámka:

    V současné době omezení v libiothsm zabraňuje použití certifikátů, jejichž platnost vyprší 1. ledna 2038 nebo po 1. lednu 2038.

  2. Odstraňte obsah hsm složky a odeberte všechny dříve vygenerované certifikáty.

    • /var/aziot/hsm/certs
    • /var/aziot/hsm/cert_keys

  3. Restartujte službu IoT Edge.

    sudo systemctl restart iotedge

  4. Potvrďte nastavení životnosti.

    sudo iotedge check --verbose

    Zkontrolujte výstup připravenosti na produkční prostředí: kontrola certifikátů , která uvádí počet dní, po který vyprší platnost automaticky vygenerovaných certifikátů certifikační autority zařízení.

Instalace certifikační autority zařízení pro produkční prostředí

Jakmile přejdete do produkčního scénáře nebo chcete vytvořit zařízení brány, musíte zadat vlastní certifikáty.

Vytvoření a instalace certifikační autority zařízení pro produkční prostředí

  1. K vytvoření následujících souborů použijte vlastní certifikační autoritu:

    • Kořenová certifikační autorita
    • Certifikát CA zařízení
    • Privátní klíč certifikační autority zařízení

    Kořenová certifikační autorita není nejvyšší certifikační autoritou organizace. Je to nejvyšší certifikační autorita pro scénář IoT Edge, který modul centra IoT Edge, uživatelské moduly a všechna podřízená zařízení používají k navázání vztahu důvěryhodnosti mezi sebou.

    Pokud chcete zobrazit příklad těchto certifikátů, projděte si skripty, které vytvářejí ukázkové certifikáty ve správě certifikátů testovací certifikační autority pro ukázky a kurzy.

    Poznámka:

    V současné době omezení v libiothsm zabraňuje použití certifikátů, jejichž platnost vyprší 1. ledna 2038 nebo po 1. lednu 2038.

  2. Zkopírujte tři soubory certifikátu a klíče do zařízení IoT Edge. K přesunutí souborů certifikátů můžete použít službu, jako je Azure Key Vault, nebo funkci, jako je protokol zabezpečeného kopírování. Pokud jste vygenerovali certifikáty na samotném zařízení IoT Edge, můžete tento krok přeskočit a použít cestu k pracovnímu adresáři.

    Návod

    Pokud jste k vytvoření ukázkových certifikátů použili ukázkové skripty, jsou tyto tři soubory certifikátů a klíčů umístěny na následujících cestách:

    • Certifikát certifikační autority zařízení: <WRKDIR>\certs\iot-edge-device-MyEdgeDeviceCA-full-chain.cert.pem
    • Privátní klíč certifikační autority zařízení: <WRKDIR>\private\iot-edge-device-MyEdgeDeviceCA.key.pem
    • Kořenová certifikační autorita: <WRKDIR>\certs\azure-iot-test-only.root.ca.cert.pem

  1. Otevřete konfigurační soubor démona zabezpečení IoT Edge: /etc/iotedge/config.yaml

  2. Upravte vlastnosti certifikátu v souboru config.yaml na URI cesty k souboru obsahujícímu certifikát a klíč na zařízení IoT Edge. Odeberte znak # před vlastnostmi certifikátu a odkomentujte čtyři řádky. Ujistěte se, že řádek certifikáty: neobsahuje žádnou předcházející mezeru a že vnořené položky jsou odsazené dvěma mezerami. Například:

    certificates:
   device_ca_cert: "file:///<path>/<device CA cert>"
   device_ca_pk: "file:///<path>/<device CA key>"
   trusted_ca_certs: "file:///<path>/<root CA cert>"

  3. Ujistěte se, že uživatel iotedge má oprávnění ke čtení a zápisu pro adresář obsahující certifikáty.

  4. Pokud jste předtím na zařízení použili nějaké jiné certifikáty pro IoT Edge, odstraňte soubory v následujících dvou adresářích před spuštěním nebo restartováním IoT Edge:

    • /var/aziot/hsm/certs
    • /var/aziot/hsm/cert_keys

  5. Restartujte IoT Edge.

    sudo iotedge system restart

Certifikáty serveru modulu

Edge Daemon vydává certifikáty serveru modulu a identity pro použití moduly Edge. Zůstává odpovědností modulů Edge, aby podle potřeby obnovovaly své identifikační a serverové certifikáty.

Prodloužení

Certifikáty serveru můžou být vydány z certifikátu certifikační autority Edge nebo prostřednictvím nakonfigurované certifikační autority DPS. Bez ohledu na způsob vydání musí být tyto certifikáty obnovovány modulem.

Změny ve verzi 1.2 a novějších

  • Certifikát Device CA byl přejmenován na certifikát Edge CA.
  • Certifikát CA pro pracovní zátěž byl zastaralý. Nyní manažer zabezpečení IoT Edge generuje certifikát serveru IoT Edge hub edgeHub přímo z certifikátu Edge CA, bez zprostředkujícího certifikátu workload CA mezi nimi.
  • Výchozí konfigurační soubor má nové jméno a umístění, a to od /etc/iotedge/config.yaml do /etc/aziot/config.toml ve výchozím nastavení. Příkaz iotedge config import lze použít k pomoci při migraci konfiguračních informací ze starého umístění a syntaxe na nový.

Další kroky

Instalace certifikátů na zařízení IoT Edge je nezbytným krokem před nasazením vašeho řešení do produkce. Zjistěte více o tom, jak Připravit nasazení vašeho IoT Edge řešení do produkce.

  • Last updated on