Verwenden von Azure IoT mit Azure Sphere
Azure Sphere-Geräte können mit Azure IoT kommunizieren, indem verwaltete Dienste wie Azure IoT Hub und Azure IoT Central verwendet werden.
Voraussetzungen
Unabhängig davon, welchen Dienst Sie verwenden, müssen Sie über ein Azure-Abonnement verfügen. Wenn Ihre Organisation nicht bereits über ein Abonnement verfügt, können Sie eine kostenlose Testversion einrichten.
Wichtig
Obwohl Sie ein kostenloses Azure-Abonnement erstellen können, müssen Sie für den Registrierungsvorgang eine Kreditkartennummer eingeben.
Sichtbarkeit von Azure-Kugeln in Azure IoT
Der Mechanismus für Azure IoT zum Akzeptieren von Daten von einem Azure Sphere-Gerät besteht darin, einen Azure IoT-Dienst zu konfigurieren, dem Azure Sphere-Gerät zu vertrauen, das Gerät für den Azure IoT-Dienst bereitzustellen und dann eine Verbindung mit dem Azure IoT-Dienst mit vertrauenswürdigen Anmeldeinformationen herzustellen. Azure IoT-Dienste können so konfiguriert werden, dass das Azure Sphere Device Authentication and Attestation (DAA)-Zertifikat als vertrauenswürdige Anmeldeinformationen akzeptiert wird. Das Verwenden dieses Zertifikats ist für Verbindungen mit Azure IoT unter Verwendung des Azure IoT C SDK in das Betriebssystem des Geräts integriert. Azure IoT-Dienste müssen jedoch so konfiguriert werden, dass das Azure Sphere-Katalogzertifikat akzeptiert wird, das das übergeordnete Zertifikat in der Kette für das DAA-Zertifikat ist. Alternativ kann eine benutzerdefinierte Gerätezertifikatkette verwendet werden, um eine Verbindung mit Azure IoT-Diensten herzustellen. Der Vorteil der Verwendung des Azure Sphere DAA-Zertifikats besteht darin, dass DAA-Zertifikate täglich erneuert werden, und das Vorhandensein eines gültigen Zertifikats weist darauf hin, dass ein Gerät vertrauenswürdig ist und bestätigt hat, dass es echt und sicher konfiguriert ist. Beim Herstellen einer Verbindung mit einem benutzerdefinierten Gerätezertifikat sind diese Autorisierungsüberprüfungen nicht verfügbar und müssen unabhängig verwaltet werden. Benutzerdefinierte Zertifikate sind für Organisationen mit Zertifikatverwaltungssystemen erforderlich, die für die Verwendung mit Azure IoT für Sicherheit, Behördliche oder Complianceüberprüfungen erforderlich sind und nur bei Bedarf mit Azure Sphere verwendet werden sollten.
Verwenden von Azure IoT mit Azure Sphere-Zertifikaten
Authentifizieren Ihres Azure Sphere-Katalogs
Nachdem Sie über ein Azure-Abonnement verfügen, müssen Sie eine Vertrauensstellung zwischen Azure Sphere und Ihrer Azure IoT Central-Anwendung oder Azure IoT Hub-Instanz einrichten. Sie müssen Überprüfungsschritte nur einmal ausführen, indem Sie ein Zertifizierungsstellenzertifikat (CA) aus dem Azure Sphere Security Service herunterladen und mit einem code validieren, der von Azure IoT Hub oder Azure IoT Central generiert wird. Der Überprüfungsprozess authentifiziert Ihren Azure Sphere-Katalog.
Der Authentifizierungsprozess unterscheidet sich geringfügig von Azure IoT Hub und Azure IoT Central:
Nächste Schritte
Sobald Sie über ein Azure-Abonnement und eine validierte Zertifizierungsstelle verfügen, können Sie die Azure IoT-Beispielanwendung von GitHub ausführen, die eine Verbindung mit Azure IoT Central oder Azure IoT Hub herstellt.
Verwenden von Azure IoT mit benutzerdefinierten Zertifikaten
Kontext für die benutzerdefinierte Zertifikatverwendung
Benutzerdefinierte Zertifikate können für die Arbeit mit Azure IoT DPS, Hub und Central konfiguriert werden. Um ein benutzerdefiniertes Zertifikat mit Azure Sphere zu verwenden, muss das Zertifikat pro Gerät generiert und für Azure Sphere-Geräte bereitgestellt werden. Azure Sphere bietet Optionen zum Empfangen von Daten aus verschiedenen Quellen, zum Speichern von Daten und zum Verschlüsseln von Daten für beständigen Speicher, die zum Abrufen dieser Zertifikate verwendet werden können. Sobald sie auf einem Gerät vorhanden sind, kann eine Azure Sphere-Anwendung das Azure IoT C SDK mit APIs verwenden, um die Azure Sphere-Authentifizierung für Azure IoT-Dienste außer Kraft zu setzen.
Konfigurieren von Azure Sphere-Anwendungen für die Verwendung von benutzerdefinierten Zertifikaten
Wenn Sie DPS verwenden, um Azure Sphere-Geräte in anderen Azure IoT-Diensten bereitzustellen, müssen Azure Sphere-Anwendungen eine DPS-Sitzung mit dem Azure IoT C SDK erstellen, das mit Prov_Device_LL_Create beginnt. Standardmäßig verwendet Azure Sphere sein internes DAA-Zertifikat für DPS-Sitzungen, sodass ein zusätzlicher Aufruf erforderlich ist, um die benutzerdefinierte Zertifikatkette an das Azure IoT C SDK zu übergeben und das integrierte Zertifikat über den Azure Sphere Security Service mithilfe von AzureIoT_OverrideAzureSphereAuthDPS außer Kraft zu setzen.
Für die Verbindung mit Azure IoT Hub wird ein anderer Aufruf vom Azure IoT C SDK verwendet, um eine Sitzung zu starten, IoTHubDeviceClient_LL_CreateFromDeviceAuth. Ähnlich wie DPS wird ein zusätzlicher Aufruf benötigt, um die benutzerdefinierte Zertifikatkette an das Azure IoT C SDK zu übergeben, um das integrierte Zertifikat AzureIoT_OverrideAzureSphereAuthIoTHub außer Kraft zu setzen. Beachten Sie, dass auch bei Verwendung von DPS und IoT Hub beide Außerkraftsetzungen erforderlich sind, da das Azure IoT C SDK separat für DPS und IoT Hub organisiert ist und beide Außerkraftsetzungen mithilfe derselben Zertifikatkette aufgerufen werden müssen.
Informationen zu Azure IoT DPS
Azure IoT Hub Device Provisioning Service (DPS) ermöglicht die Registrierung von Geräten über Zero-Touch Provisiong in anderen Azure IoT-Diensten, z. B. IoT Hub und Central. Dies bedeutet, dass Geräte für bestimmte IoT-Endpunkte nicht hartcodiert werden müssen, und Geräteadministratoren müssen nicht in physischer Nähe sein, damit Geräte für die Verbindung mit Azure IoT-Diensten konfiguriert werden. Bei Azure Sphere-Geräten erfolgt die Gerätebereitstellung in der Regel während der Produktherstellung oder -bereitstellung, bei der ein Gerät in einem Azure Sphere Security Service-Katalog für die aktive Verwaltung beansprucht wird. Für die Zwecke von Azure IoT bezieht sich die Bereitstellung nur auf die Autorisierung des Zugriffs auf Azure IoT-Ressourcen und nicht auf den Bereitstellungsstatus des Geräts. DPS kann so konfiguriert werden, dass alle Geräte unter einem Azure Sphere-Katalog vertrauenswürdig sind, indem ein Katalog-Zwischenzertifikat registriert wird. DPS kann dann täglich Geräte autorisieren, während ihre DAA-Zertifikate als Teil der Erneuerung der Vertrauensstellung von Azure Sphere erneuert werden und ein hohes Maß an Sicherheit bieten, dass autorisierte Geräte in einem sicheren, guten, guten, und echter Zustand. Durch die Verwendung von DPS mit Azure Sphere können Geräte mit anderen Azure IoT-Diensten einfacher bereitgestellt werden.
Weitere Informationen zu Azure IoT DPS
Informationen zu Azure IoT Hub
Azure IoT Hub ist ein verwalteter Dienst, der als zentraler Nachrichtenhub für die bidirektionale Kommunikation zwischen Ihrer IoT-Anwendung und den verwalteten Geräten fungiert.
Azure IoT Hub unterstützt mehrere Messagingmuster, z. B. Geräte-zu-Cloud-Telemetrie, Dateiupload von Geräten und Methoden zur Anforderungsantwort, um Ihre Geräte aus der Cloud zu steuern. Darüber hinaus hilft Ihnen die Azure IoT Hub-Überwachung, die Integrität Ihrer Lösung aufrechtzuerhalten, indem Sie Ereignisse wie Geräteerstellung, Gerätefehler und Geräteverbindungen nachverfolgen.
Weitere Informationen zu Azure IoT Hub
Informationen zu Azure IoT Central
Azure IoT Central ist ein verwalteter Dienst, der die Erstellung von IoT-Lösungen vereinfacht. Azure IoT Central vereinfacht die anfängliche Einrichtung Ihrer IoT-Lösung und verringert den mit der Verwaltung und einem typischen IoT-Projekt verbundenen Aufwand sowie die Betriebskosten.