Verwenden von Azure IoT mit Azure Sphere
Azure Sphere-Geräte können mit Azure IoT über verwaltete Dienste wie Azure IoT Hub und Azure IoT Central kommunizieren.
Bevor Sie beginnen
Unabhängig davon, welchen Dienst Sie verwenden, benötigen Sie ein Azure-Abonnement. Wenn Ihr organization noch nicht über ein Abonnement verfügt, können Sie eine kostenlose Testversion einrichten.
Wichtig
Obwohl Sie ein Azure-Abonnement kostenlos erstellen können, müssen Sie für den Registrierungsprozess eine Gutschrift Karte Nummer angeben.
Azure Sphere-Sichtbarkeit in Azure IoT
Der Mechanismus für Azure IoT zum Akzeptieren von Daten von einem Azure Sphere-Gerät besteht darin, einen Azure IoT-Dienst so zu konfigurieren, dass er dem Azure Sphere-Gerät vertraut, das Gerät für den Azure IoT-Dienst bereitstellen und dann mit vertrauenswürdigen Anmeldeinformationen eine Verbindung mit dem Azure IoT-Dienst herstellen. Azure IoT-Dienste können so konfiguriert werden, dass sie das DAA-Zertifikat (Azure Sphere Device Authentication and Attestation) als vertrauenswürdige Anmeldeinformationen akzeptieren. Die Verwendung dieses Zertifikats ist im Betriebssystem des Geräts für Verbindungen mit Azure IoT über das Azure IoT C SDK integriert. Azure IoT-Dienste müssen jedoch so konfiguriert werden, dass sie das Azure Sphere-Katalogzertifikat akzeptieren, das das übergeordnete Zertifikat in der Kette für das DAA-Zertifikat ist. Alternativ kann eine benutzerdefinierte Gerätezertifikatkette verwendet werden, um eine Verbindung mit Azure IoT-Diensten herzustellen. Der Vorteil der Verwendung des Azure Sphere DAA-Zertifikats besteht darin, dass DAA-Zertifikate täglich erneuert werden und das Vorhandensein eines gültigen Zertifikats darauf hinweist, dass ein Gerät vertrauenswürdig ist und bestätigt hat, dass es echt und sicher konfiguriert ist. Beim Herstellen einer Verbindung mit einem benutzerdefinierten Gerätezertifikat sind diese Autorisierungszusicherungen nicht verfügbar und müssen unabhängig verwaltet werden. Benutzerdefinierte Zertifikate werden für Organisationen mit Zertifikatverwaltungssystemen benötigt, die für die Verwendung mit Azure IoT aus Sicherheits-, Gesetzlich- oder Compliancegarantien erforderlich sind, und sollten nur bei Bedarf mit Azure Sphere verwendet werden.
Verwenden von Azure IoT mit Azure Sphere-Zertifikaten
Authentifizieren Ihres Azure Sphere-Katalogs
Nachdem Sie über ein Azure-Abonnement verfügen, müssen Sie eine Vertrauensstellung zwischen Azure Sphere und Ihrer Azure IoT Central-Anwendung oder Azure IoT Hub instance einrichten. Sie müssen die Überprüfungsschritte nur einmal ausführen, indem Sie ein Zertifizierungsstellenzertifikat aus dem Azure Sphere-Sicherheitsdienst herunterladen und mit einem von Azure IoT Hub oder Azure IoT Central generierten Code überprüfen. Der Überprüfungsprozess authentifiziert Ihren Azure Sphere-Katalog.
Der Authentifizierungsprozess unterscheidet sich geringfügig für Azure IoT Hub und Azure IoT Central:
Nächste Schritte
Sobald Sie über ein Azure-Abonnement und eine überprüfte Zertifizierungsstelle verfügen, können Sie die Azure IoT-Beispielanwendung über GitHub ausführen, die eine Verbindung mit Azure IoT Central oder Azure IoT Hub herstellt.
Verwenden von Azure IoT mit benutzerdefinierten Zertifikaten
Kontext für die Verwendung benutzerdefinierter Zertifikate
Benutzerdefinierte Zertifikate können für die Verwendung mit Azure IoT DPS, Hub und Central konfiguriert werden. Um ein benutzerdefiniertes Zertifikat mit Azure Sphere verwenden zu können, muss das Zertifikat auf Gerätebasis generiert und für Azure Sphere-Geräte bereitgestellt werden. Azure Sphere bietet Optionen zum Empfangen von Daten aus verschiedenen Quellen, zum Speichern von Daten und zum Verschlüsseln von Daten für den persistenten Speicher, die zum Abrufen dieser Zertifikate verwendet werden können. Sobald sie auf einem Gerät vorhanden ist, kann eine Azure Sphere-Anwendung das Azure IoT C SDK mit APIs verwenden, um die Azure Sphere-Authentifizierung bei Azure IoT-Diensten zu überschreiben.
Konfigurieren von Azure Sphere-Anwendungen für die Verwendung benutzerdefinierter Zertifikate
Wenn Sie DPS zum Bereitstellen von Azure Sphere-Geräten in anderen Azure IoT-Diensten verwenden, müssen Azure Sphere-Anwendungen mithilfe des Azure IoT C SDK eine DPS-Sitzung erstellen, die mit Prov_Device_LL_Create beginnt. Standardmäßig verwendet Azure Sphere sein internes DAA-Zertifikat für DPS-Sitzungen, sodass ein zusätzlicher Aufruf erforderlich ist, um die benutzerdefinierte Zertifikatkette an das Azure IoT C SDK zu übergeben und das integrierte Zertifikat aus dem Azure Sphere-Sicherheitsdienst mithilfe von AzureIoT_OverrideAzureSphereAuthDPS außer Kraft zu setzen.
Zum Herstellen einer Verbindung mit Azure IoT Hub wird ein anderer Aufruf als das Azure IoT C SDK verwendet, um eine Sitzung zu starten, IoTHubDeviceClient_LL_CreateFromDeviceAuth. Ähnlich wie DPS ist ein zusätzlicher Aufruf erforderlich, um die benutzerdefinierte Zertifikatkette an das Azure IoT C SDK zu übergeben, um das integrierte Zertifikat zu überschreiben, AzureIoT_OverrideAzureSphereAuthIoTHub. Beachten Sie, dass auch bei Verwendung von DPS und IoT Hub beide Außerkraftsetzungen erforderlich sind, da das Azure IoT C SDK für DPS und IoT Hub separat organisiert ist und beide Außerkraftsetzungen mit derselben Zertifikatkette aufgerufen werden müssen.
Informationen zu Azure IoT DPS
Azure IoT Hub Device Provisioning Service (DPS) ermöglicht die Registrierung von Geräten über Zero-Touch Provisiong in anderen Azure IoT-Diensten wie IoT Hub und Central. Dies bedeutet, dass Geräte nicht für bestimmte IoT-Endpunkte hartcodiert werden müssen, und Geräteadministratoren müssen sich nicht in physischer Nähe befinden, damit Geräte für die Verbindung mit Azure IoT-Diensten konfiguriert werden können. Bei Azure Sphere-Geräten erfolgt die Gerätebereitstellung in der Regel während der Produktherstellung oder -bereitstellung, bei der ein Gerät zur aktiven Verwaltung in einem Azure Sphere-Sicherheitsdienstkatalog beansprucht wird. Für die Zwecke von Azure IoT bezieht sich die Bereitstellung nur auf die Autorisierung des Zugriffs auf Azure IoT-Ressourcen und nicht auf den Bereitstellungsstatus des Geräts. DPS kann so konfiguriert werden, dass alle Geräte unter einem Azure Sphere-Katalog als vertrauenswürdig eingestuft werden, indem ein Katalog-Zwischenzertifikat registriert wird. DPS kann dann täglich Geräte autorisieren, da ihre DAA-Zertifikate im Rahmen der Erneuerung der Vertrauenswürdigkeit von Azure Sphere erneuert werden. Dadurch wird sichergestellt, dass autorisierte Geräte als sicher und sicher gelten. und echtem Staat. Die Verwendung von DPS mit Azure Sphere ermöglicht die einfachere Bereitstellung von Geräten im großen Stil mit anderen Azure IoT-Diensten.
Weitere Informationen zu Azure IoT DPS
Über Azure IoT Hub
Azure IoT Hub ist ein verwalteter Dienst, der als zentraler Nachrichtenhub für die bidirektionale Kommunikation zwischen Ihrer IoT-Anwendung und den von ihr verwalteten Geräten fungiert.
Azure IoT Hub unterstützt mehrere Messagingmuster, z. B. Gerät-zu-Cloud-Telemetriedaten, Dateiupload von Geräten und Anforderung/Antwort-Methoden, um Ihre Geräte aus der Cloud zu steuern. Darüber hinaus hilft Ihnen Azure IoT Hub Überwachung, die Integrität Ihrer Lösung aufrechtzuerhalten, indem Ereignisse wie Geräteerstellung, Gerätefehler und Geräteverbindungen nachverfolgt werden.
Weitere Informationen zu Azure IoT Hub
Informationen zu Azure IoT Central
Azure IoT Central ist ein verwalteter Dienst, der die Erstellung von IoT-Lösungen vereinfacht. Azure IoT Central vereinfacht die anfängliche Einrichtung Ihrer IoT-Lösung und reduziert den Verwaltungsaufwand, die Betriebskosten und den Mehraufwand für ein typisches IoT-Projekt.