Teilen über

Vorgehensweise zum Aufheben der Registrierung oder Widerrufen eines Geräts bei Azure IoT Hub Device Provisioning Service

  • Artikel

Für bedeutende Systeme wie IoT-Lösungen ist eine ordnungsgemäße Verwaltung der Geräteanmeldeinformationen von entscheidender Bedeutung. Für derartige Systeme hat es sich bewährt, einen klaren Plan für das Widerrufen des Gerätezugriffs zu besitzen, für den Fall, dass die Anmeldeinformationen – beispielsweise ein SAS-Token (Shared Access Signature) oder ein X.509-Zertifikat – gefährdet sind.

Die Registrierung eines Geräts beim Device Provisioning Service ermöglicht die Bereitstellung des Geräts. Ein bereitgestelltes Gerät wurde bei IoT Hub registriert und kann seinen anfänglichen Gerätezwillingsstatus erhalten und mit dem Melden von Telemetriedaten beginnen.

In diesem Artikel wird beschrieben, wie Sie die Registrierung eines Geräts bei Ihrer DPS-Instanz aufheben und so seine Bereitstellung oder erneute Bereitstellung in der Zukunft verhindern. Durch das Deaktivieren einer Einzelregistrierung oder Registrierungsgruppe werden keine vorhandenen Geräteregistrierungen aus IoT Hub entfernt. Informationen zum Aufheben der Bereitstellung eines Geräts, das für einen IoT-Hub bereits bereitgestellt wurde, finden Sie unter Verwalten der Bereitstellungsaufhebung.

Verweigern von Geräten durch Verwenden einer individuellen Registrierung

Um zu verhindern, dass ein Gerät über den Device Provisioning Service bereitgestellt wird, können Sie den Bereitstellungsstatus einer einzelnen Registrierung ändern und so verhindern, dass das Gerät bereitgestellt oder erneut bereitgestellt wird. Sie können diese Funktionalität nutzen, wenn sich das Gerät außerhalb seiner normalen Parameter verhält oder davon ausgegangen wird, dass es gefährdet ist, oder aber um den Wiederholungsmechanismus der Bereitstellung Ihrer Geräte zu testen.

Wenn das Gerät, das Sie nicht zulassen möchten, über eine Registrierungsgruppe bereitgestellt wurde, lesen Sie die Schritte zum Verweigern bestimmter Geräte in einer X.509-Registrierungsgruppe.

Hinweis

Achten Sie auf die Wiederholungsrichtlinie von Geräten, für die Sie den Zugriff widerrufen. Ein Gerät, das beispielsweise eine unbegrenzte Wiederholungsrichtlinie aufweist, führt kontinuierlich eine Registrierung beim Bereitstellungsdienst aus. Durch diese Situation werden Dienstressourcen wie Dienstbetriebskontingente verbraucht, und es gibt möglicherweise Auswirkungen auf die Leistung.

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zur Dienstinstanz für die Gerätebereitstellung.

  2. Wählen Sie Registrierungen verwalten und dann die Registerkarte Individuelle Registrierungen aus.

  3. Wählen Sie den Eintrag für das Gerät aus, das nicht zugelassen werden soll.

  4. Deaktivieren Sie auf der Seite mit den Registrierungsdetails das Kontrollkästchen Diese Registrierung aktivieren im Abschnitt Bereitstellungsstatus, und wählen Sie dann Speichern aus.

    Screenshot der Deaktivierung einer Einzelregistrierung im Portal

Wenn sich ein IoT-Gerät am Ende seines Lebenszyklus befindet und für die IoT-Lösung nicht mehr bereitgestellt werden darf, sollte die Geräteregistrierung aus dem Device Provisioning Service entfernt werden:

  1. Wählen Sie in Ihrem Bereitstellungsdienst Registrierungen verwalten und dann die Registerkarte Einzelne Registrierungen aus.

  2. Aktivieren Sie das Kontrollkästchen des Registrierungseintrags für das Gerät, das nicht zugelassen werden soll.

  3. Wählen Sie im oberen Bereich des Fensters Löschen und anschließend Ja aus, um zu bestätigen, dass die Registrierung entfernt werden soll.

    Screenshot des Löschens einer Einzelregistrierung im Portal

Verweigern eines X.509-Zertifikats der Zwischen- oder Stammzertifizierungsstelle mithilfe einer Registrierungsgruppe

X.509-Zertifikate werden in der Regel in einer Zertifikatkette angeordnet. Wenn ein Zertifikat an irgendeiner Stelle in einer Kette gefährdet ist, besteht keine Vertrauensstellung. Das Zertifikat muss verweigert werden, um zu verhindern, dass nachgeschaltete Geräte in der jeweiligen Kette mit dem Zertifikate vom Device Provisioning Service bereitgestellt werden. Weitere Informationen zu X.509-Zertifikaten und ihrer Verwendung mit dem Bereitstellungsdienst finden Sie unter X.509-Zertifikate.

Eine Registrierungsgruppe ist ein Eintrag für Geräte mit einem gemeinsamen Nachweismechanismus von X.509-Zertifikaten, signiert von der gleichen Zwischen- oder Stammzertifizierungsstelle. Der Registrierungsgruppeneintrag ist mit dem X.509-Zertifikat konfiguriert, das einer Zwischen- oder Stammzertifizierungsstelle zugeordnet ist. Der Eintrag ist außerdem mit Konfigurationswerten konfiguriert (z.B. Verbindungen zwischen Gerätezwillingen und IoT Hubs, die von Geräten mit diesem Zertifikat in der Zertifikatkette gemeinsam genutzt werden). Um das Zertifikat nicht zuzulassen, können Sie eine Registrierungsgruppe deaktivieren oder löschen.

So lassen Sie das Zertifikat durch Deaktivieren der Registrierungsgruppe vorübergehend nicht zu

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zur Dienstinstanz für die Gerätebereitstellung.

  2. Wählen Sie in Ihrem Bereitstellungsdienst Registrierungen verwalten und dann die Registerkarte Registrierungsgruppen aus.

  3. Wählen Sie die Registrierungsgruppe über das zu verweigernde Zertifikat aus.

  4. Deaktivieren Sie auf der Seite mit den Registrierungsdetails das Kontrollkästchen Diese Registrierung aktivieren im Abschnitt Bereitstellungsstatus, und wählen Sie dann Speichern aus.

    Deaktivieren des Eintrags für die Registrierungsgruppe im Portal

So lassen Sie das Zertifikat durch Löschen der Registrierungsgruppe dauerhaft nicht zu

  1. Wählen Sie in Ihrem Bereitstellungsdienst Registrierungen verwalten und dann die Registerkarte Registrierungsgruppen aus.

  2. Aktivieren Sie das Kontrollkästchen der Registrierungsgruppe für das Zertifikat, das nicht zugelassen werden soll.

  3. Wählen Sie im oberen Bereich des Fensters Löschen und anschließend Ja aus, um zu bestätigen, dass die Registrierungsgruppe entfernt werden soll.

    Löschen des Eintrags für die Registrierungsgruppe im Portal

Nachdem Sie den Vorgang abgeschlossen haben, sollten Sie sehen, dass Ihr Eintrag aus der Liste der Registrierungsgruppen entfernt wurde.

Hinweis

Wenn Sie eine Registrierungsgruppe für ein Zertifikat löschen, können Geräte, die dieses Zertifikat in der Zertifikatkette enthalten, weiterhin registriert werden – vorausgesetzt eine aktivierte Registrierungsgruppe für das Stammzertifikat oder ein anderes Zwischenzertifikat ist weiter oben in der Zertifikatkette vorhanden.

Hinweis

Wenn Sie eine Registrierungsgruppe löschen, werden dadurch nicht die Registrierungsdatensätze für Geräte in der Gruppe gelöscht. DPS verwendet die Registrierungsdatensätze, um zu ermitteln, ob die maximale Anzahl von Registrierungen für die DPS-Instanz erreicht wurde. Verwaiste Registrierungsdatensätze werden weiterhin auf dieses Kontingent angerechnet. Informationen zur aktuellen maximalen Anzahl von Registrierungen, die für eine DPS-Instanz unterstützt werden, finden Sie unter Kontingente und Grenzwerte.

Möglicherweise möchten Sie die Registrierungsdatensätze für die Registrierungsgruppe löschen, bevor Sie die Registrierungsgruppe selbst löschen. Sie können die Registrierungsdatensätze für eine Registrierungsgruppe manuell auf der Registerkarte Registrierungsstatus für die Gruppe im Azure-Portal anzeigen und verwalten. Sie können die Registrierungsdatensätze programmgesteuert mithilfe der REST-APIs für den Geräteregistrierungsstatus oder der entsprechenden APIs in den DPS SDKs abrufen und verwalten oder die Azure CLI-Befehle vom Typ „az iot dps enrollment-group registration“ verwenden.

Verweigern bestimmter Geräte aus einer X.509-Registrierungsgruppe

Wenn Sie über ein Gerät verfügen, das über eine Registrierungsgruppe bereitgestellt wurde und dessen Registrierung Sie aufheben möchten, können Sie hierzu eine deaktivierte einzelne Registrierung für dieses Gerät erstellen. Wenn ein Gerät eine Verbindung herstellt und beim Device Provisioning-Dienst authentifiziert wird, sucht der Dienst zuerst eine individuelle Registrierung mit der entsprechenden Registrierungs-ID. Nur wenn keine einzelne Registrierung für das Gerät gefunden wird, durchsucht der Dienst Registrierungsgruppen.

Um ein einzelnes Gerät in einer Registrierungsgruppe nicht zuzulassen, gehen Sie folgendermaßen vor:

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zur Dienstinstanz für die Gerätebereitstellung.

  2. Wählen Sie in Ihrem Bereitstellungsdienst Registrierungen verwalten und dann die Registerkarte Einzelne Registrierungen aus.

  3. Wählen Sie Individuelle Registrierung hinzufügen aus.

  4. Befolgen Sie den entsprechenden Schritt, je nachdem, ob Sie über das Gerätezertifikat (Endentität) verfügen oder nicht.

    • Wenn Sie über das Gerätezertifikat verfügen, geben Sie die folgenden Werte auf der Seite Registrierung hinzufügen an:

      Feld BESCHREIBUNG
      Nachweismechanismus Wählen Sie X.509-Clientzertifikate aus.
      Datei des primären Zertifikats Laden Sie das Gerätezertifikat hoch. Verwenden Sie für das Zertifikat das auf dem Gerät installierte signierte Endeinheitszertifikat. Das Gerät nutzt das signierte Endeinheitszertifikat für die Authentifizierung.

    • Wenn Sie nicht über das Gerätezertifikat verfügen, geben Sie die folgenden Werte auf der Seite Registrierung hinzufügen an:

      Feld BESCHREIBUNG
      Nachweismechanismus Wählen Sie Symmetrischer Schlüssel aus.
      Automatisches Generieren symmetrischer Schlüssel : Stellen Sie sicher, dass dieses Kontrollkästchen aktiviert ist. Die Schlüssel sind für dieses Szenario unwichtig.
      Registrierungs-ID Wenn das Gerät bereits bereitgestellt wurde, verwenden Sie dessen IoT Hub-Geräte-ID. Sie finden sie in den Registrierungsdatensätzen der Registrierungsgruppe oder in dem IoT-Hub, für den das Gerät bereitgestellt wurde. Wenn das Gerät noch nicht bereitgestellt wurde, geben Sie den CN des Gerätezertifikats ein. (In diesem letzteren Fall benötigen Sie das Gerätezertifikat nicht, müssen aber den CN wissen.)

  5. Scrollen Sie zum Ende der Seite Registrierung hinzufügen, und deaktivieren Sie das Kontrollkästchen Diese Registrierung aktivieren.

  6. Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen.

Nach erfolgreicher Erstellung Ihrer Registrierung sollte Ihre deaktivierte Geräteregistrierung auf der Registerkarte Individuelle Registrierungen angezeigt werden.

Nächste Schritte

Die Aufhebung der Registrierung ist auch Teil der Bereitstellungsaufhebung. Zur Aufhebung der Bereitstellung eines Geräts muss sowohl die Registrierung beim Bereitstellungsdienst als auch die Registrierung bei IoT Hub aufgehoben werden. Informationen zum gesamten Prozess finden Sie unter Aufheben der Bereitstellung von Geräten, die zuvor bereitgestellt wurden.