Erste Schritte mit der ADR-Integration und der von Microsoft gesicherten X.509-Zertifikatverwaltung im IoT Hub (Vorschau)

In diesem Artikel wird erläutert, wie Sie einen neuen IoT Hub mit Azure Device Registry (ADR) -Integration und der von Microsoft gesicherten X.509-Zertifikatverwaltung erstellen.

Von Bedeutung

Azure IoT Hub mit ADR-Integration und microsoft-gesicherter X.509-Zertifikatverwaltung befindet sich in der öffentlichen Vorschau und wird für Produktionsworkloads nicht empfohlen. Weitere Informationen finden Sie in den häufig gestellten Fragen: Was ist neu in IoT Hub?.

Voraussetzungen

• Ein aktives Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen.

• Wenn Sie die Azure CLI nicht installiert haben, führen Sie die Schritte zum Installieren der Azure CLI aus.

• Installieren Sie die Azure IoT CLI-Erweiterung mit aktivierten Vorschauen, um Zugriff auf die ADR-Integrations- und Zertifikatverwaltungsfunktionen für IoT Hub zu erhalten.

  1. Überprüfen Sie auf vorhandene Azure CLI-Erweiterungsinstallationen.

     az extension list
     

  2. Entfernen Sie alle vorhandenen Azure-iot-Installationen.

     az extension remove --name azure-iot
     

  3. Installieren Sie die Azure-iot-Erweiterung aus dem Index mit aktivierten Vorschauen,

     az extension add --name azure-iot --allow-preview
     

     oder laden Sie die WHL-Datei von der GitHub-Veröffentlichungsseite herunter, um die Erweiterung manuell zu installieren.

     az extension add --upgrade --source https://github.com/Azure/azure-iot-cli-extension/releases/download/v0.30.0b1/azure_iot-0.30.0b1-py3-none-any.whl
     

  4. Überprüfen Sie nach der Installation, ob Ihre Azure-iot-Erweiterungsversion größer als 0.30.0b1 ist.

     az extension list
     

• Stellen Sie sicher, dass Sie über die Berechtigung verfügen, Rollenzuweisungen innerhalb Ihres Zielbereichs auszuführen. Das Ausführen von Rollenzuweisungen in Azure erfordert eine privilegierte Rolle, z. B. "Besitzer" oder "Benutzerzugriffsadministrator" im entsprechenden Bereich.

Auswählen einer Bereitstellungsmethode

Um die Zertifikatverwaltung zu verwenden, müssen Sie auch IoT Hub, ADR und den Device Provisioning Service (DPS) einrichten. Wenn Sie es vorziehen, können Sie die Zertifikatverwaltung nicht aktivieren und nur IoT Hub mit ADR konfigurieren.

Um Ihren IoT Hub mit ADR-Integration und Zertifikatverwaltung einzurichten, können Sie Azure CLI oder ein Skript verwenden, das den Einrichtungsprozess automatisiert.

Bereitstellungsmethode	Description
Wählen Sie die Azure CLI oben auf der Seite aus.	Verwenden Sie die Azure CLI, um einen neuen IoT-Hub, eine DPS-Instanz und einen ADR-Namespace zu erstellen und alle erforderlichen Einstellungen zu konfigurieren.
Wählen Sie das PowerShell-Skript oben auf der Seite aus.	Verwenden Sie ein PowerShell-Skript (nur Windows), um die Erstellung einer neuen IoT Hub-, DPS- und ADR-Namespace zu automatisieren und alle erforderlichen Einstellungen zu konfigurieren.

Überblick

Verwenden Sie die Azure CLI-Befehle, um einen IoT Hub mit ADR-Integration und Zertifikatverwaltung zu erstellen.

Der Setupprozess in diesem Artikel enthält die folgenden Schritte:

1. Erstellen einer Ressourcengruppe
2. Konfigurieren der erforderlichen App-Berechtigungen
3. Erstellen einer benutzerseitig zugewiesenen verwalteten Identität
4. Erstellen eines ADR-Namespace mit vom System zugewiesener verwalteter Identität
5. Erstellen Sie eine Anmeldeinformation (Stammzertifizierungsstelle) und eine Richtlinie (ausstellende Zertifizierungsstelle), die auf diesen Namespace beschränkt sind.
6. Erstellen eines IoT Hub (Vorschau) mit verknüpftem Namespace und verwalteter Identität
7. Erstellen eines DPS mit verknüpftem IoT Hub und Namespace
8. Synchronisieren Sie Ihre Anmeldeinformationen und Richtlinien (CA-Zertifikate) mit dem ADR-Namespace
9. Erstellen sie eine Registrierungsgruppe und einen Link zu Ihrer Richtlinie, um die Zertifikatbereitstellung zu aktivieren.

Von Bedeutung

Während des Vorschauzeitraums sind IoT Hub mit aktivierten ADR-Integrations- und Zertifikatverwaltungsfunktionen über IoT Hub kostenlos verfügbar. Der Gerätebereitstellungsdienst (Device Provisioning Service, DPS) wird separat abgerechnet und ist nicht im Vorschauangebot enthalten. Ausführliche Informationen zu DPS-Preisen finden Sie unter Azure IoT Hub-Preise.

Vorbereiten der Umgebung

Führen Sie die folgenden Schritte aus, um Ihre Umgebung für die Verwendung der Azure Device Registry vorzubereiten:

1. Öffnen Sie ein Terminalfenster.

2. Führen Sie az login aus, um sich bei Ihrem Azure-Konto anzumelden.

3. Führen Sie az account list aus, um alle Abonnements und Mandanten aufzulisten, auf die Sie Zugriff haben.

4. Wenn Sie Zugriff auf mehrere Azure-Abonnements haben, legen Sie Ihr aktives Abonnement fest, in dem Ihre IoT-Geräte erstellt werden, indem Sie den folgenden Befehl ausführen.

   az account set --subscription "<your subscription name or ID>"
   

5. Führen Sie az account show aus, um die Details Ihres aktuellen Kontos anzuzeigen. Kopieren Sie beide der folgenden Werte aus der Ausgabe des Befehls, und speichern Sie sie an einem sicheren Speicherort.

   • Die id GUID. Sie verwenden diesen Wert, um Ihre Abonnement-ID anzugeben.
   • Die tenantId GUID. Sie verwenden diesen Wert, um Ihre Berechtigungseinstellungen mithilfe der Tenant-ID zu aktualisieren.

Konfigurieren Sie Ihre Ressourcengruppe, Berechtigungen und verwaltete Identität

Führen Sie die folgenden Schritte aus, um eine Ressourcengruppe, Rolle und Berechtigungen für Ihre IoT-Lösung zu erstellen:

1. Erstellen Sie eine Ressourcengruppe für Ihre Umgebung.

   az group create --name <RESOURCE_GROUP_NAME> --location <REGION>
   

2. Weisen Sie der IoT Hub auf Ressourcengruppenebene die Rolle Mitwirkender zu. Der AppId-Wert, der die Haupt-ID für IoT Hub ist, ist 89d10474-74af-4874-99a7-c23c2f643083 und für alle Hub-Apps identisch.

   az role assignment create --assignee "89d10474-74af-4874-99a7-c23c2f643083" --role "Contributor" --scope "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP_NAME>"
   

3. Erstellen einer neuen vom Benutzer zugewiesenen verwalteten Identität (UAMI).

   az identity create --name <USER_IDENTITY> --resource-group <RESOURCE_GROUP_NAME> --location <REGION>
   

4. Rufen Sie die Ressourcen-ID der verwalteten Identität ab. Sie benötigen die Ressourcen-ID, um Rollen zuzuweisen, Zugriffsrichtlinien zu konfigurieren oder die Identität mit anderen Ressourcen zu verknüpfen.

   UAMI_RESOURCE_ID=$(az identity show --name <USER_IDENTITY> --resource-group <RESOURCE_GROUP_NAME> --query id -o tsv)
   

Erstellen eines neuen ADR-Namespace

In diesem Abschnitt erstellen Sie einen neuen ADR-Namespace mit einer vom System zugewiesenen verwalteten Identität. Dieser Prozess erzeugt automatisch eine Stamminformation der Zertifizierungsstelle und eine ausstellende CA-Richtlinie für den Namespace. Weitere Informationen dazu, wie Anmeldeinformationen und Richtlinien verwendet werden, um Geräteblattzertifikate während der Bereitstellung zu signieren, finden Sie unter "Zertifikatverwaltung".

Hinweis

Zugangsdaten sind optional. Sie können auch einen Namespace ohne verwaltete Identität erstellen, indem Sie die --enable-credential-policy und --policy-name Flags weglassen.

1. Erstellen Sie einen neuen ADR-Namespace. Ihr Namespace name darf nur Kleinbuchstaben und Bindestriche ('-' ) in der Mitte des Namens enthalten, aber nicht am Anfang oder Am Ende. Der Name "msft-namespace" ist beispielsweise gültig.
   Der --enable-credential-policy Befehl erstellt Berechtigungen (Stammzertifizierungsstelle) und Standardrichtlinie (ausstellende Zertifizierungsstelle) für diesen Namespace. Sie können den Namen für diese Richtlinie mithilfe des --policy-name Befehls konfigurieren. Standardmäßig kann eine Richtlinie Zertifikate mit einer Gültigkeit von 30 Tagen ausstellen.

   az iot adr ns create --name <NAMESPACE_NAME> --resource-group <RESOURCE_GROUP_NAME> --location <REGION> --enable-credential-policy true --policy-name <POLICY_NAME>
   

   Tipp

   Sie können optional eine benutzerdefinierte Richtlinie erstellen, indem Sie die Parameter --cert-subject und --cert-validity-days hinzufügen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Richtlinie.

   Hinweis

   Die Erstellung des ADR-Namespace mit vom System zugewiesener verwalteter Identität kann bis zu 5 Minuten dauern.

2. Stellen Sie sicher, dass der Namespace mit einer vom System zugewiesenen verwalteten Identität oder Prinzipal-ID erstellt wird.

   az iot adr ns show --name <NAMESPACE_NAME> --resource-group <RESOURCE_GROUP_NAME>
   

3. Überprüfen Sie, ob ein Anmeldedatensatz und eine Richtlinie erstellt wurden.

   az iot adr ns credential show --namespace <NAMESPACE_NAME> --resource-group <RESOURCE_GROUP_NAME>
   az iot adr ns policy show --namespace <NAMESPACE_NAME> --resource-group <RESOURCE_GROUP_NAME> --name <POLICY_NAME>
   

   Hinweis

   Wenn Sie keinen Richtliniennamen zugewiesen haben, wird die Richtlinie mit dem Namen "default" erstellt.

Zuweisen der UAMI-Rolle für den Zugriff auf den ADR-Namespace

In diesem Abschnitt weisen Sie die Rolle "Azure Device Registry Contributor" der verwalteten Identität zu und legen den Gültigkeitsbereich auf den Namespace fest. Diese benutzerdefinierte Rolle ermöglicht den vollständigen Zugriff auf IoT-Geräte im ADR-Namespace.

1. Abrufen der Prinzipal-ID der benutzerdefinierten verwalteten Identität. Diese ID wird benötigt, um der Identität Rollen zuzuweisen.

   UAMI_PRINCIPAL_ID=$(az identity show --name <USER_IDENTITY> --resource-group <RESOURCE_GROUP> --query principalId -o tsv)
   

2. Rufen Sie die Ressourcen-ID des ADR-Namespace ab. Diese ID wird als Bereich für die Rollenzuweisung verwendet.

   NAMESPACE_RESOURCE_ID=$(az iot adr ns show --name <NAMESPACE_NAME> --resource-group <RESOURCE_GROUP> --query id -o tsv)
   

3. Weisen Sie der verwalteten Identität die Rolle " Mitwirkender der Azure Device Registry" zu. Diese Rolle gewährt der verwalteten Identität die erforderlichen Berechtigungen, die auf den Namespace beschränkt sind.

   az role assignment create --assignee $UAMI_PRINCIPAL_ID --role "a5c3590a-3a1a-4cd4-9648-ea0a32b15137" --scope $NAMESPACE_RESOURCE_ID
   

Erstellen eines IoT Hub mit ADR-Integration

1. Erstellen Sie einen neuen IoT Hub, der mit dem ADR-Namespace und mit dem zuvor erstellten UAMI verknüpft ist.

   az iot hub create --name <HUB_NAME> --resource-group <RESOURCE_GROUP> --location <HUB_LOCATION> --sku GEN2 --mi-user-assigned $UAMI_RESOURCE_ID --ns-resource-id $NAMESPACE_RESOURCE_ID --ns-identity-id $UAMI_RESOURCE_ID
   

   Von Bedeutung

   Der IoT-Hub ist öffentlich als DNS-Endpunkt ermittelbar. Stellen Sie daher sicher, dass Sie beim Vergeben des Namens keine sensiblen oder personenbezogenen Informationen verwenden.

2. Stellen Sie sicher, dass der IoT Hub die richtigen Identitäts- und ADR-Eigenschaften konfiguriert hat.

   az iot hub show --name <HUB_NAME> --resource-group <RESOURCE_GROUP> --query identity --output json
   

Zuweisen von IoT Hub-Rollen für den Zugriff auf den ADR-Namespace

1. Rufen Sie die Prinzipal-ID der verwalteten Identität des ADR-Namespaces ab. Diese Identität benötigt Berechtigungen für die Interaktion mit dem IoT Hub.

   ADR_PRINCIPAL_ID=$(az iot adr ns show --name <NAMESPACE_NAME> --resource-group <RESOURCE_GROUP> --query identity.principalId -o tsv)
   

2. Rufen Sie die Ressourcen-ID des IoT Hub ab. Diese ID wird als Geltungsbereich für Rollenzuweisungen verwendet.

   HUB_RESOURCE_ID=$(az iot hub show --name <HUB_NAME> --resource-group <RESOURCE_GROUP> --query id -o tsv)
   

3. Weisen Sie der ADR-Identität die Rolle "Mitwirkender" zu. Dadurch erhält der ADR-Namespace den Zugriff des verwalteten Identitätsmitwirkenden auf den IoT Hub. Diese Rolle ermöglicht den allgemeinen Zugriff, einschließlich der Verwaltung von Ressourcen, aber nicht das Zuweisen von Rollen.

   az role assignment create --assignee $ADR_PRINCIPAL_ID --role "Contributor" --scope $HUB_RESOURCE_ID
   

4. Weisen Sie der ADR-Identität die Rolle "IoT Hub Registry Contributor" zu. Dadurch werden spezifischere Berechtigungen zum Verwalten von Geräteidentitäten im IoT Hub gewährt. Dies ist für ADR unerlässlich, um Geräte im Hub zu registrieren und zu verwalten.

   az role assignment create --assignee $ADR_PRINCIPAL_ID --role "IoT Hub Registry Contributor" --scope $HUB_RESOURCE_ID
   

Erstellen einer Gerätebereitstellungsdienstinstanz mit ADR-Integration

1. Erstellen Sie eine neue DPS-Instanz, die mit Ihrem ADR-Namespace verknüpft ist, der in den vorherigen Abschnitten erstellt wurde. Ihre DPS-Instanz muss sich in derselben Region wie Ihr ADR-Namespace befinden.

   az iot dps create --name <DPS_NAME> --resource-group <RESOURCE_GROUP> --location <LOCATION> --mi-user-assigned $UAMI_RESOURCE_ID --ns-resource-id $NAMESPACE_RESOURCE_ID --ns-identity-id $UAMI_RESOURCE_ID
   

2. Stellen Sie sicher, dass der DPS die richtigen Identitäts- und ADR-Eigenschaften konfiguriert hat.

   az iot dps show --name <DPS_NAME> --resource-group <RESOURCE_GROUP> --query identity --output json
   

Verknüpfen Ihres IoT Hub mit der Device Provisioning Service-Instanz

1. Verknüpfen Sie den IoT Hub mit Ihrem DPS.

   az iot dps linked-hub create --dps-name <DPS_NAME> --resource-group <RESOURCE_GROUP> --hub-name <HUB_NAME>
   

2. Stellen Sie sicher, dass der IoT Hub in der Liste der verknüpften Hubs für den DPS angezeigt wird.

   az iot dps linked-hub list --dps-name <DPS_NAME> --resource-group <RESOURCE_GROUP>
   

Ausführen der ADR-Anmeldeinformationssynchronisierung

Synchronisieren Sie Ihre Anmeldeinformationen und Richtlinien mit dem IoT Hub. Dieser Schritt stellt sicher, dass der IoT Hub die Zertifizierungsstellenzertifikate registriert und allen blattbasierten Zertifikaten vertraut, die von Ihren konfigurierten Richtlinien ausgestellt wurden.

az iot adr ns credential sync --namespace <NAMESPACE_NAME> --resource-group <RESOURCE_GROUP>

Überprüfen Sie das Hub-CA-Zertifikat

Überprüfen Sie, ob Ihr IoT Hub sein Zertifizierungsstellenzertifikat registriert hat.

az iot hub certificate list --hub-name <HUB_NAME> --resource-group <RESOURCE_GROUP>

Erstellen einer Registrierung in DPS

Um Geräte mit Leaf-Zertifikaten bereitzustellen, erstellen Sie eine Registrierungsgruppe in DPS und weisen Sie sie der entsprechenden Zugriffsrichtlinie mit dem --credential-policy Parameter zu.

Mit dem folgenden Befehl wird standardmäßig eine Registrierungsgruppe mit symmetrischen Schlüsselnachweis erstellt:

Hinweis

Wenn Sie eine Richtlinie mit einem anderen Namen als "default" erstellt haben, stellen Sie sicher, dass Sie diesen Richtliniennamen nach dem --credential-policy Parameter verwenden.

az iot dps enrollment-group create --dps-name <DPS_NAME> --resource-group <RESOURCE_GROUP> --enrollment-id <ENROLLMENT_ID> --credential-policy <POLICY_NAME>

Ihr IoT Hub mit ADR-Integration und Zertifikatverwaltung ist jetzt eingerichtet und einsatzbereit.

Optionale Befehle

Mit den folgenden Befehlen können Sie Ihre ADR-Namespaces verwalten, Geräte deaktivieren, benutzerdefinierte Richtlinien erstellen und Ressourcen löschen, wenn sie nicht mehr benötigt werden.

Verwalten Ihrer Namespaces

1. Listet alle Namespaces in Ihrer Ressourcengruppe auf.

   az iot adr ns list --resource-group <RESOURCE_GROUP_NAME>
   

2. Details eines bestimmten Namespaces anzeigen.

   az iot adr ns show --name <NAMESPACE_NAME> --resource-group <RESOURCE_GROUP_NAME>
   

3. Listen Sie alle Richtlinien in Ihrem Namespace auf.

   az iot adr ns policy list --namespace <NAMESPACE_NAME> --resource-group <RESOURCE_GROUP_NAME>
   

4. Details einer bestimmten Richtlinie anzeigen.

   az iot adr ns policy show --namespace <NAMESPACE_NAME> --resource-group <RESOURCE_GROUP_NAME> --name <POLICY_NAME>
   

5. Listen Sie alle Anmeldeinformationen in Ihrem Namespace auf.

   az iot adr ns credential list --namespace <NAMESPACE_NAME> --resource-group <RESOURCE_GROUP_NAME>
   

Geräte deaktivieren

1. Auflisten aller Geräte in Ihrem IoT Hub.

   az iot hub device-identity list --hub-name <HUB_NAME> --resource-group <RESOURCE_GROUP_NAME>
   

2. Deaktivieren Sie ein Gerät, indem Sie den Status auf disabled aktualisieren. Stellen Sie sicher, dass Sie <MY_DEVICE_ID> durch die Geräte-ID ersetzen, die Sie deaktivieren möchten.

   az iot hub device-identity update --hub-name <HUB_NAME> --resource-group <RESOURCE_GROUP_NAME> -d <MY_DEVICE_ID> --status disabled
   

3. Führen Sie das Gerät erneut aus, und stellen Sie sicher, dass keine Verbindung mit einem IoT Hub hergestellt werden kann.

Erstellen einer benutzerdefinierten Richtlinie

Erstellen Sie eine benutzerdefinierte Richtlinie mit dem az iot adr ns policy create Befehl. Legen Sie den Namen, den Zertifikatantragsteller und den Gültigkeitszeitraum für die Richtlinie gemäß den folgenden Regeln fest:

• Der Richtlinienwert name muss innerhalb des Namespace eindeutig sein. Wenn Sie versuchen, eine Richtlinie mit einem bereits vorhandenen Namen zu erstellen, wird eine Fehlermeldung angezeigt.
• Der Zertifikatsubjektwert cert-subject muss für alle Richtlinien im Namespace eindeutig sein. Wenn Sie versuchen, eine Richtlinie mit einem bereits vorhandenen Betreff zu erstellen, wird eine Fehlermeldung angezeigt.
• Der Gültigkeitszeitraumswert cert-validity-days muss zwischen 1 und 30 Tagen liegen. Wenn Sie versuchen, eine Richtlinie mit einem Gültigkeitszeitraum außerhalb dieses Bereichs zu erstellen, wird eine Fehlermeldung angezeigt.

Im folgenden Beispiel wird eine Richtlinie mit dem Namen "custom-policy" mit dem Betreff "CN=TestDevice" und einem Gültigkeitszeitraum von 30 Tagen erstellt.

az iot adr ns policy create --name "custom-policy" --namespace <NAMESPACE_NAME> --resource-group <RESOURCE_GROUP_NAME> --cert-subject "CN=TestDevice" --cert-validity-days "30"

Löschen von Ressourcen

Um Ihren ADR-Namespace zu löschen, müssen Sie zuerst alle IoT Hubs- und DPS-Instanzen löschen, die mit dem Namespace verknüpft sind.

az iot hub delete --name <HUB_NAME> --resource-group <RESOURCE_GROUP_NAME>
az iot adr ns delete --name <NAMESPACE_NAME> --resource-group <RESOURCE_GROUP_NAME>
az iot dps delete --name <DPS_NAME> --resource-group <RESOURCE_GROUP_NAME> 
az identity delete --name <USER_IDENTITY> --resource-group <RESOURCE_GROUP_NAME>

Überblick

Verwenden Sie das bereitgestellte PowerShell-Skript, um die Einrichtung Ihres IoT Hub mit der Azure Device Registry-Integration zu automatisieren. Das Skript führt alle erforderlichen Schritte aus, um die erforderlichen Ressourcen zu erstellen und zu verknüpfen, einschließlich:

1. Erstellen einer Ressourcengruppe
2. Konfigurieren der erforderlichen App-Berechtigungen
3. Erstellen einer benutzerseitig zugewiesenen verwalteten Identität
4. Erstellen eines ADR-Namespace mit vom System zugewiesener verwalteter Identität
5. Erstellen Sie eine Anmeldeinformation (Stammzertifizierungsstelle) und eine Richtlinie (ausstellende Zertifizierungsstelle), die auf diesen Namespace beschränkt sind.
6. Erstellen eines IoT Hub (Vorschau) mit verknüpftem Namespace und verwalteter Identität
7. Erstellen eines DPS mit verknüpftem IoT Hub und Namespace
8. Synchronisieren Sie Ihre Anmeldeinformationen und Richtlinien (CA-Zertifikate) mit dem ADR-Namespace
9. Erstellen sie eine Registrierungsgruppe und einen Link zu Ihrer Richtlinie, um die Zertifikatbereitstellung zu aktivieren.

Von Bedeutung

Während des Vorschauzeitraums sind IoT Hub mit aktivierten ADR-Integrations- und Zertifikatverwaltungsfunktionen über IoT Hub kostenlos verfügbar. Der Gerätebereitstellungsdienst (Device Provisioning Service, DPS) wird separat abgerechnet und ist nicht im Vorschauangebot enthalten. Ausführliche Informationen zu DPS-Preisen finden Sie unter Azure IoT Hub-Preise.

Vorbereiten der Umgebung

1. Laden Sie PowerShell 7 für Windows herunter.
2. Navigieren Sie zum GitHub-Repository, und laden Sie den Skriptordner herunter, der die Skriptdatei enthält. iothub-adr-certs-setup-preview.ps1

Anpassen der Skriptvariablen

Öffnen Sie die Skriptdatei in einem Text-Editor, und ändern Sie die folgenden Variablen entsprechend Ihrer gewünschten Konfiguration.

• TenantId: Ihre Mandanten-ID. Sie können diesen Wert ermitteln, indem Sie az account show in Ihrem Terminal ausführen.
• SubscriptionId: Ihre Abonnement-ID. Sie können diesen Wert ermitteln, indem Sie az account show in Ihrem Terminal ausführen.
• ResourceGroup: Der Name Ihrer Ressourcengruppe.
• Location: Die Azure-Region, in der Sie Ihre Ressourcen erstellen möchten. Sehen Sie sich die verfügbaren Speicherorte für Vorschaufunktionen im Abschnitt Unterstützte Regionen an.
• NamespaceName: Der Namespacename darf nur Kleinbuchstaben und Bindestriche ('-' ) in der Mitte des Namens enthalten, aber nicht am Anfang oder Ende. Beispielsweise ist "msft-namespace" ein gültiger Name.
• HubName: Der Hubname darf nur Kleinbuchstaben und Ziffern enthalten.
• DpsName: Der Name Ihrer Device Provisioning Service-Instanz.
• UserIdentity: Die vom Benutzer zugewiesene verwaltete Identität für Ihre Ressourcen.
• WorkingFolder: Der lokale Ordner, in dem sich Ihr Skript befindet.

Von Bedeutung

Der IoT-Hub ist öffentlich als DNS-Endpunkt ermittelbar. Stellen Sie daher sicher, dass Sie beim Vergeben des Namens keine sensiblen oder personenbezogenen Informationen verwenden.

Interaktives Ausführen des Skripts

1. Öffnen Sie das Skript, und führen Sie es in PowerShell 7+ als Administrator aus. Navigieren Sie zu dem Ordner, der Ihr Skript enthält, und führen Sie es aus .\iothub-adr-certs-setup-preview.ps1.

2. Wenn ein Ausführungsrichtlinienproblem auftritt, versuchen Sie, powershell -ExecutionPolicy Bypass -File .\iothub-adr-certs-setup-preview.ps1 auszuführen.

3. Folgen Sie den angeleiteten Anweisungen:

   • Drücken Sie Enter , um mit einem Schritt fortzufahren.
   • Drücken Sie s oder S, um einen Schritt zu überspringen
   • Drücken Ctrl + C , um abzubrechen

Hinweis

Die Erstellung Ihres ADR-Namespaces, IoT Hub, DPS und andere Ressourcen kann bis zu 5 Minuten dauern.

Überwachen der Ausführung und Überprüfen der Ressourcen

1. Das Skript setzt die Ausführung fort, wenn Warnungen aufgetreten sind, und wird nur beendet, wenn ein Befehl einen Nicht-Null-Ausgangscode zurückgibt. Überwachen Sie die Konsole auf rote FEHLERMELDUNGen , die auf Probleme hinweisen, die Aufmerksamkeit erfordern.

2. Nachdem das Skript abgeschlossen ist, überprüfen Sie die Erstellung Ihrer Ressourcen, indem Sie Ihre neue Ressourcengruppe im Azure-Portal besuchen. Die folgenden Ressourcen sollten erstellt werden:

   • IoT Hub-Instanz
   • Device Provisioning Service (DPS)-Instanz
   • Azure Device Registry (ADR)-Namespace
   • Vom Benutzer zugewiesene verwaltete Identität (UAMI)

Nächste Schritte

Zu diesem Zeitpunkt ist Ihr IoT Hub mit ADR-Integration und Zertifikatverwaltung eingerichtet und einsatzbereit. Sie können nun mit dem Onboarding Ihrer IoT-Geräte in den Hub beginnen, indem Sie die Device Provisioning Service (DPS)-Instanz verwenden und Ihre IoT-Geräte sicher mithilfe der von Ihnen eingerichteten Richtlinien und Registrierungen verwalten.

Neu: Die Zertifikatverwaltung wird für ausgewählte DPS-Geräte-SDKs unterstützt. Sie können jetzt Geräte mithilfe der von Microsoft gesicherten X.509-Zertifikatverwaltung mit den folgenden SDK-Beispielen integrieren:

• Eingebettetes C:
  • Bare Metal: Beispiel
  • Kostenlose RTOS: Beispiel
• C: Beispiel
• Python: Beispiel