Configurar una Azure IoT Hub para Azure Sphere con el servicio de aprovisionamiento de dispositivos

El servicio de aprovisionamiento de dispositivos de Azure IoT Hub (DPS) puede habilitar cualquier dispositivo reclamado en el catálogo de Azure Sphere para conectarse a su instancia de Azure IoT Hub cuando se conecte por primera vez y se autentique mediante un certificado X.509.

Antes de empezar

En los pasos descritos en esta sección se supone que:

• El dispositivo Azure Sphere está conectado a tu PC mediante USB.
• Ha creado una instancia de Azure IoT Hub.

Autenticar mediante el servicio de aprovisionamiento de dispositivos

Siga estos pasos para configurar el dispositivo para autenticarse mediante el Servicio de aprovisionamiento de dispositivos (DPS).

Importante

Si decide probar una aplicación basada en Azure IoT que use DPS, tenga en cuenta que DPS cobra 0,123 $ por cada 1000 operaciones; es decir, 12,3 centavos estadounidenses por cada mil operaciones. Esperamos que el crédito gratuito aplicado a muchas suscripciones nuevas cubra los cargos de DPS, pero te recomendamos que compruebes los detalles de tu contrato de suscripción. Para obtener información sobre los precios, consulta Azure IoT Hub precios.

Paso 1. Crear un nuevo servicio de aprovisionamiento de dispositivos de Azure IoT Hub y vincularlo a la instancia de Azure IoT Hub

1. Inicia sesión en la Azure Portal.
2. Crea un servicio de aprovisionamiento de dispositivos.
3. Vincule la instancia de Azure IoT Hub existente a su DPS.

Paso 2. Descargar el certificado de CA de autenticación de catálogo

1. Desde el símbolo del sistema, inicia sesión con el inicio de sesión de Azure:

   az login
   

2. Descargue el certificado de CA del catálogo para su catálogo de Azure Sphere. Este comando descarga el certificado en un archivo denominado CAcertificate.cer en el directorio de trabajo actual. Asegúrese de descargar el archivo en un directorio donde tenga permisos de escritura o se producirá un error en la operación de descarga. El archivo de salida debe tener una extensión .cer.

   az sphere ca-certificate download --resource-group MyResourceGroup --catalog MyCatalog --output-file CACertificate.cer
   

Paso 3. Cargar y demostrar la posesión del certificado de CA del catálogo

Cargue el certificado de entidad de certificación (CA) del catálogo en DPS y, a continuación, pruebe de forma automática o manual que usted es el propietario del certificado.

1. En Azure Portal, vaya al DPS que ha creado.
2. Seleccione Certificados en la sección Configuración .
3. Seleccione Agregar para agregar un nuevo certificado.
4. En Nombre del certificado, escriba un nombre para mostrar para el certificado.
5. En El archivo .pem certificado o .cer, seleccione el icono de carpeta para elegir el archivo de certificado que descargó en el paso anterior.
6. Demostrar la posesión de un certificado de CA mediante uno de los siguientes métodos:
   • Comprobar certificado automáticamente
   • Comprobar certificado manualmente

Comprobar certificado automáticamente

Para agregar un certificado y verificarlo automáticamente (demostrar la posesión del certificado de CA del catálogo):

1. En el cuadro Agregar certificado , active la casilla Establecer el estado del certificado para comprobarlo al cargarlo.
2. Después de la comprobación, el estado del certificado cambia a Comprobado en la vista de lista de certificados . Seleccione Actualizar si el estado no se actualiza automáticamente.

A continuación, vaya al Paso 4: Usar el certificado de validación para agregar el dispositivo a un grupo de inscripción.

Comprobar certificado manualmente

Para agregar un certificado y verificarlo manualmente (demostrar la posesión del certificado de CA del catálogo):

1. Obtén un código de verificación único de la Azure Portal.
2. Descargue el certificado de prueba de posesión que demuestre que es el propietario del certificado de CA del catálogo de la CLI de Azure.
3. Cargue el certificado de verificación firmado en el Azure Portal. El servicio valida el certificado de verificación usando la parte pública del certificado de CA que se va a verificar, lo que demuestra que tiene la clave privada del certificado de CA.

Obtén un código de verificación único de la Azure Portal

1. Después de seleccionar un certificado en la hoja Agregar certificado , deje desactivada la casilla Establecer estado del certificado para comprobarlo al cargar . Seleccione Guardar.

2. La vista de lista Certificados muestra los certificados. El estado del certificado que ha creado es No comprobado.

   

3. Seleccione el nombre del certificado para mostrar sus detalles. En la hoja Certificados , seleccione Generar código de verificación. Copia el código de verificación en el Portapapeles para usarlo en el paso siguiente. (No selecciones Verificar todavía).

   

Descargar un certificado de prueba de posesión que demuestre que es el propietario del certificado de CA del catálogo

Vuelva a la CLI de Azure y descargue un certificado de prueba de posesión para su catálogo de Azure Sphere. Use el código de verificación para generar el certificado como un archivo X.509 .cer.

az sphere ca-certificate download-proof --destination ValidationCertification.cer --verification-code <code>

Cargar el certificado de verificación firmado

El Servicio de seguridad azure Sphere firma el certificado de validación con el código de verificación para demostrar que es el propietario de la CA.

1. En Certificados del Azure Portal, en el campo de archivo .pem o .cer del certificado de verificación, busque para seleccionar y cargar el certificado de verificación firmado. El certificado se encuentra en el directorio en el que invocó el comando download.

2. Cuando el certificado se cargue correctamente, seleccione Comprobar.

   

3. Después de la comprobación, el estado del certificado cambia a Comprobado en la vista de lista de certificados . Seleccione Actualizar si el estado no se actualiza automáticamente.

Nota

Realice los pasos 1-3 solo una vez por catálogo de Azure Sphere.

Paso 4. Usar el certificado de validación para agregar el dispositivo a un grupo de inscripción

1. En la sección Configuración , seleccione Administrar inscripciones y, después, Agregar grupo de inscripciones.

2. En el panel Agregar grupo de inscripción :

   • Escriba un nombre para el grupo de inscripción.
   • Seleccione Certificado como tipo de atestación y Certificado de CA como tipo de certificado.
   • En la lista desplegable de Certificado principal, seleccione el certificado que validó en el paso anterior.

3. Seleccione Guardar en la parte superior de la página. Después de crear correctamente el grupo de inscripción, debería ver que el nombre del grupo aparece en la pestaña Grupos de inscripción .

Pasos siguientes

Después de completar estos pasos, cualquier dispositivo que se reclama en su catálogo de Azure Sphere se inscribirá automáticamente en su instancia de Azure IoT Hub cuando se conecte por primera vez al dispositivo.

Ahora puede ejecutar el ejemplo de Azure IoT siguiendo las instrucciones específicas para conectarse a través de DPS.

Información adicional

Para usar la autenticación directa en lugar de DPS, consulte Configurar un IoT Hub para Azure Sphere.