Einrichten einer Azure IoT Hub für Azure Sphere

  • Artikel

Um Ihre Azure Sphere-Geräte mit Azure IoT Hub zu verwenden, müssen Sie einen Hub erstellen und einrichten, um mit Ihrem Azure Sphere-Katalog zu arbeiten, und dann die x509-Zertifikatauthentifizierung für jedes Gerät konfigurieren.

Bevor Sie beginnen

Bei den Schritten in diesem Abschnitt wird Folgendes vorausgesetzt:

  • Ihr Azure Sphere-Gerät ist über USB mit Ihrem PC verbunden.
  • Sie verfügen über ein Azure-Abonnement.

Wichtig

Obwohl Sie ein Azure-Abonnement kostenlos erstellen können, müssen Sie für den Registrierungsprozess eine Gutschrift Karte Nummer eingeben. Azure bietet mehrere Abonnementdienstebenen. Standardmäßig wird der Tarif Standard ausgewählt, für den eine monatliche Dienstgebühr erforderlich ist, wenn Sie eine Azure IoT Hub instance erstellen. Um eine monatliche Gebühr zu vermeiden, wählen Sie den Free-Tarif aus. Der Free-Tarif umfasst die Dienste, die für die Verwendung Ihres Geräts mit Azure IoT Hub erforderlich sind, einschließlich des Gerätezwillings. Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Konto , bevor Sie beginnen.

Schritt 1. Erstellen eines IoT-Hubs

Wechseln Sie zu Erstellen eines IoT-Hubs mithilfe der Azure-Portal.

Wichtig

Befolgen Sie in "Erstellen eines IoT-Hubs mithilfe des Azure-Portal" nur die Anweisungen im ersten Abschnitt "Erstellen eines IoT-Hubs", und kehren Sie dann zu diesem Thema zurück.

Schritt 2. Herunterladen des Zertifizierungsstellenzertifikats für die Katalogauthentifizierung

  1. Melden Sie sich an der Eingabeaufforderung mit Ihrem Azure-Anmeldenamen an:

    az login

  2. Laden Sie das Zertifizierungsstellenzertifikat für Ihren Azure Sphere-Katalog herunter. Dieser Befehl lädt das Zertifikat in eine Datei namens CAcertificate.cer im aktuellen Arbeitsverzeichnis herunter. Stellen Sie sicher, dass Sie die Datei in ein Verzeichnis herunterladen, in dem Sie über Schreibberechtigungen verfügen. Andernfalls schlägt der Downloadvorgang fehl. Die Ausgabedatei muss die Erweiterung CER aufweisen.

    az sphere ca-certificate download --resource-group MyResourceGroup --catalog MyCatalog --output-file CAcertificate.cer

Schritt 3. Hochladen und Nachweisen des Besitzes des Katalogzertifizierungsstellenzertifikats

Laden Sie Ihr Katalogzertifizierungsstellenzertifikat (CA) in Azure IoT Hub hoch, und bestätigen Sie dann automatisch oder manuell, dass Sie besitzer des Zertifikats sind.

  1. Navigieren Sie im Azure-Portal zu dem IoT-Hub, den Sie erstellt haben.
  2. Wählen Sie im Abschnitt Sicherheitseinstellungendie Option Zertifikate aus.
  3. Wählen Sie Hinzufügen aus, um ein neues Zertifikat hinzuzufügen.
  4. Geben Sie unter Zertifikatname einen Anzeigenamen für das Zertifikat ein.
  5. Wählen Sie unter PEM- oder CER-Zertifikatdatei das Ordnersymbol aus, um die Zertifikatdatei auszuwählen, die Sie im vorherigen Schritt heruntergeladen haben.
  6. Nachweis des Besitzes eines Zertifizierungsstellenzertifikats mithilfe einer der folgenden Methoden:

Automatisches Überprüfen des Zertifikats

So fügen Sie ein Zertifikat hinzu und überprüfen es automatisch (nachweist den Besitz des Zertifikats der Katalogzertifizierungsstelle):

  1. Aktivieren Sie im Feld Zertifikat hinzufügen das Kontrollkästchen Zertifikat festlegen, status beim Upload überprüft werden soll.
  2. Nach der Überprüfung ändert sich die status Ihres Zertifikats in der Listenansicht Zertifikate in Überprüft. Wählen Sie Aktualisieren aus, wenn die status nicht automatisch aktualisiert wird.

Automatische Überprüfung

Fahren Sie als Nächstes mit Schritt 4 fort. Erstellen Sie ein X.509-Gerät in Ihrem IoT Hub für Ihr Azure Sphere-Gerät.

Manuelles Überprüfen des Zertifikats

So fügen Sie ein Zertifikat hinzu und überprüfen es manuell (nachweist den Besitz des Zertifikats der Katalogzertifizierungsstelle):

  1. Rufen Sie einen eindeutigen Überprüfungscode aus dem Azure-Portal ab.
  2. Laden Sie das Besitznachweiszertifikat herunter, das beweist, dass Sie das Katalogzertifizierungsstellenzertifikat über die Azure CLI besitzen.
  3. Laden Sie das signierte Überprüfungszertifikat auf die Azure-Portal hoch. Der Dienst überprüft das Überprüfungszertifikat mithilfe des öffentlichen Teils des zu überprüfenden Zertifizierungsstellenzertifikats, wodurch nachgewiesen wird, dass Sie im Besitz des privaten Schlüssels des Zertifizierungsstellenzertifikats sind.

Abrufen eines eindeutigen Überprüfungscodes aus dem Azure-Portal

  1. Nachdem Sie auf dem Blatt Zertifikat hinzufügen ein Zertifikat ausgewählt haben, lassen Sie das Kontrollkästchen Zertifikat status beim Hochladen überprüft festlegen deaktiviert. Wählen Sie Speichern aus.

  2. In der Listenansicht Zertifikate werden Ihre Zertifikate angezeigt. Der Status des erstellten Zertifikats lautet Nicht überprüft.

    Nicht überprüftes Zertifikat

  3. Wählen Sie den Namen Ihres Zertifikats aus, um dessen Details anzuzeigen. Wählen Sie auf dem Blatt Zertifikate die Option Überprüfungscode generieren aus. Kopieren Sie den Prüfcode zur Verwendung im nächsten Schritt in die Zwischenablage. (Wählen Sie noch nicht Überprüfen aus.)

    Überprüfen der direkten Zertifikatverbindung

Laden Sie ein Besitznachweiszertifikat herunter, das beweist, dass Sie das Katalogzertifizierungsstellenzertifikat besitzen.

Kehren Sie zur Azure CLI zurück, und laden Sie ein Besitznachweiszertifikat für Ihren Azure Sphere-Katalog herunter. Verwenden Sie den Überprüfungscode, um das Zertifikat als X.509-CER-Datei zu generieren.

az sphere ca-certificate download-proof --output-file ValidationCertification.cer --verification-code <code>

Hochladen des signierten Überprüfungszertifikats

Der Azure Sphere-Sicherheitsdienst signiert das Validierungszertifikat mit dem Prüfcode, um zu beweisen, dass Sie der Besitzer der Zertifizierungsstelle sind.

  1. Navigieren Sie unter Zertifikate im Azure-Portal im Feld PEM- oder CER-Datei zur Überprüfung , um das signierte Überprüfungszertifikat auszuwählen und hochzuladen. Das Zertifikat befindet sich in dem Verzeichnis, in dem Sie den Downloadbefehl aufgerufen haben.

  2. Wenn das Zertifikat erfolgreich hochgeladen wurde, wählen Sie Überprüfen aus.

    Direkte Verbindung zur Zertifikatüberprüfung hochladen

  3. Nach der Überprüfung ändert sich die status Ihres Zertifikats in der Listenansicht Zertifikate in Überprüft. Wählen Sie Aktualisieren aus, wenn die status nicht automatisch aktualisiert wird.

Hinweis

Führen Sie die Schritte 1 bis 3 nur einmal pro Azure Sphere-Katalog aus.

Schritt 4. Erstellen eines X.509-Geräts in Ihrem IoT Hub für Ihr Azure Sphere-Gerät

  1. Navigieren Sie im Azure-Portal zu Ihrem IoT Hub. Wählen Sie im Abschnitt Geräteverwaltungdie Option Geräte>Gerät hinzufügen aus.

  2. Wählen Sie Neu aus, um ein neues Gerät hinzuzufügen.

  3. Geben Sie unter Geräte-ID die Geräte-ID an. Beachten Sie, dass die Geräte-ID in Kleinbuchstaben enthalten sein muss. (Sie können in der Azure CLI ausführen az sphere device show-attached , um die Geräte-ID abzurufen.)

  4. Wählen Sie unter Authentifizierungstyp die Option X.509 CA Signed (X.509-Zertifizierungsstelle signiert) und dann Speichern aus.

    Erstellen eines X.509-IoT-Geräts

Nächste Schritte

Sie können jetzt das Azure IoT-Beispiel ausführen oder Eine eigene Anwendung erstellen, die Ihre Azure IoT Hub verwendet.

Weitere Informationen

Informationen zur Verwendung des Device Provisioning-Diensts anstelle der direkten Authentifizierung finden Sie unter Einrichten eines IoT Hubs für Azure Sphere mit DPS.

Informationen zum Hinzufügen eines Azure IoT Edge-Geräts, das eine Filter- und Datenverarbeitungsebene zwischen Ihrem Azure Sphere-Gerät und Azure IoT Hub bereitstellt, finden Sie unter Einrichten von Azure IoT Edge für Azure Sphere.