Créer et provisionner des appareils IoT Edge à grande échelle sur Windows à l’aide de certificats X.509

S’applique à : IoT Edge 1.1

Important

IoT Edge la date de fin du support 1.1 était le 13 décembre 2022. Consultez la page Politique de support Microsoft pour plus d’informations sur la prise en charge de ce produit, de ce service, de cette technologie ou de cette API. Pour plus d’informations sur la mise à jour vers la dernière version de IoT Edge, consultez Mettre à jour IoT Edge.

Cet article fournit des instructions complètes pour l’approvisionnement automatique d’un ou plusieurs appareils IoT Edge Windows à l’aide de certificats X.509. Les appareils Azure IoT Edge peuvent être approvisionnés automatiquement à l’aide du Service IoT Hub Device Provisioning (DPS). Si vous ne connaissez pas le processus d’approvisionnement automatique, consultez la présentation de l’approvisionnement avant de poursuivre.

Notes

Azure IoT Edge pour conteneurs Windows ne sera pas pris en charge à partir de la version 1.2 d’Azure IoT Edge.

Envisagez d’utiliser la nouvelle méthode pour exécuter IoT Edge sur des appareils Windows, Azure IoT Edge pour Linux sur Windows.

Si vous souhaitez utiliser Azure IoT Edge pour Linux sur Windows, vous pouvez effectuer les étapes décrites dans le guide pratique équivalent.

Voici les tâches à effectuer :

1. Génération de certificats et de clés
2. Création d’une inscription individuelle pour un seul appareil ou d’une inscription de groupe pour un ensemble d’appareils
3. Installation du runtime IoT Edge et inscription de l’appareil auprès d’IoT Hub

Utiliser des certificats X.509 comme mécanisme d’attestation est un excellent moyen de mettre à l’échelle la production et de simplifier le provisionnement des appareils. Les certificats X.509 sont généralement organisés en une chaîne d’approbation de confiance. À partir d’un certificat racine auto-signé ou approuvé, chaque certificat de la chaîne signe le certificat inférieur suivant. Ce modèle crée une chaîne déléguée de confiance depuis le certificat racine jusqu’au certificat en aval final installé sur un appareil, en passant par chaque certificat intermédiaire.

Prérequis

Ressources cloud

• Hub IoT actif
• Instance du service de provisionnement des appareils IoT Hub dans Azure, liée à votre hub IoT
  • Si vous ne disposez pas d’une instance de service Device Provisioning, vous pouvez suivre les instructions fournies dans les sections Créer un service IoT Hub Device Provisioning et Lier le hub IoT et votre service Device Provisioning du guide de démarrage rapide du service IoT Hub Device Provisioning.
  • Après avoir lancé l’exécution du service Device Provisioning, copiez la valeur de Étendue de l’ID à partir de la page de présentation. Vous utilisez cette valeur lorsque vous configurez le runtime IoT Edge.

Exigences relatives aux appareils

Un appareil Windows physique ou virtuel faisant office d’appareil IoT Edge.

Générer des certificats d’identité d’appareil

Le certificat d’identité d’appareil est un certificat d’appareil en aval qui se connecte par le biais d’une chaîne de certificats de confiance au certificat d’autorité de certification X.509 supérieur. Le nom commun (CN) du certificat d’identité d’appareil doit être défini sur l’ID d’appareil que vous souhaitez que l’appareil ait dans votre hub IoT.

Les certificats d’identité d’appareil sont utilisés uniquement pour provisionner l’appareil IoT Edge et l’authentifier auprès d’Azure IoT Hub. Ils ne signent pas de certificats, contrairement aux certificats d’autorité de certification que l’appareil IoT Edge présente aux modules ou aux appareils en aval à des fins de vérification. Pour plus d’informations, consultez les détails sur l’utilisation des certificats par Azure IoT Edge.

Après avoir créé le certificat d’identité d’appareil, vous devez avoir deux fichiers : un fichier .cer ou .pem, qui contient la partie publique du certificat, et un fichier .cer ou .pem, qui comporte la clé privée du certificat. Si vous envisagez d’utiliser l’inscription de groupe dans le service Device Provisioning, vous avez également besoin de la partie publique d’un certificat d’autorité de certification racine ou intermédiaire dans la même chaîne de certificats de confiance.

Les fichiers suivants sont nécessaires pour configurer le provisionnement automatique avec X.509 :

• Le certificat d’identité d’appareil et son certificat de clé privée. Le certificat d’identité d’appareil est chargé dans DPS si vous créez une inscription individuelle. La clé privée est transmise au runtime IoT Edge.
• Un certificat de chaîne complète, qui doit comporter au moins l’identité d’appareil et les certificats intermédiaires qu’elle contient. Le certificat de chaîne complète est transmis au runtime IoT Edge.
• Un certificat d’autorité de certification racine ou intermédiaire issu de la chaîne d’approbation des certificats. Ce certificat est chargé dans DPS si vous créez une inscription de groupe.

Notes

Il existe actuellement dans libiothsm une limitation empêchant l’utilisation de certificats qui expirent le 1er janvier 2038 ou après cette date.

Utiliser des certificats de test (facultatif)

Si vous n’avez pas d’autorité de certification disponible pour créer des certificats d’identité et que vous souhaitez tester ce scénario, le dépôt Git Azure IoT Edge contient des scripts que vous pouvez utiliser pour générer des certificats de test. Ces certificats, conçus uniquement pour les tests de développement, ne doivent pas être utilisés en production.

Pour créer des certificats de test, suivez les étapes décrites dans Créer des certificats de démonstration pour tester les fonctionnalités de l’appareil IoT Edge. Effectuez les deux sections nécessaires pour configurer les scripts de génération de certificat et créer un certificat d’autorité de certification racine. Ensuite, suivez les étapes permettant de créer un certificat d’identité d’appareil. Quand vous avez terminé, vous devez disposer de la chaîne de certificats et de la paire de clés suivantes :

• <WRKDIR>\certs\iot-edge-device-identity-<name>-full-chain.cert.pem
• <WRKDIR>\private\iot-edge-device-identity-<name>.key.pem

Vous avez besoin de ces deux certificats sur l’appareil IoT Edge. Si vous envisagez d’utiliser l’inscription individuelle dans le service Device Provisioning, vous devez charger le fichier .cert.pem. Si vous envisagez d’utiliser l’inscription de groupe dans le service Device Provisioning, la même chaîne de certificats de confiance doit également comporter un certificat d’autorité de certification racine ou intermédiaire à charger. Si vous recourez à des certificats de démonstration, utilisez le certificat <WRKDIR>\certs\azure-iot-test-only.root.ca.cert.pem pour l’inscription de groupe.

Créer une inscription au service Device Provisioning

Utilisez vos certificats et clés générés afin de créer une inscription dans le service Device Provisioning pour un ou plusieurs appareils IoT Edge.

Si vous envisagez de provisionner un seul appareil IoT Edge, créez une inscription individuelle. Si vous avez besoin de provisionner plusieurs appareils, suivez les étapes de création d’une inscription de groupe DPS.

Lorsque vous créez une inscription auprès du service Device Provisioning, vous avez la possibilité de déclarer un État initial du jumeau d’appareil. Dans le jumeau d’appareil, vous pouvez définir des balises pour regrouper les appareils en fonction des métriques dont vous avez besoin dans votre solution, comme la région, l’environnement, l’emplacement ou le type d’appareil. Ces balises sont utilisées pour créer des déploiements automatiques.

Pour plus d’informations sur les inscriptions dans le service Device Provisioning, consultez Guide pratique pour gérer les inscriptions d’appareils.

Inscription individuelle

Créer une inscription individuelle dans le service Device Provisioning

Les inscriptions individuelles prennent la partie publique du certificat d’identité d’un appareil et la font correspondre avec le certificat sur l’appareil.

Conseil

Bien que les étapes décrites dans cet article concernent le portail Azure, vous pouvez également créer des inscriptions individuelles à l’aide d’Azure CLI. Pour plus d’informations, consultez la section relative à az iot dps enrollment. Dans la commande CLI, utilisez l’indicateur edge-enabled pour spécifier que l’inscription concerne un appareil IoT Edge.

1. Dans le Portail Azure, accédez à votre instance du service IoT Hub Device Provisioning.

2. Sous Paramètres, sélectionnez Gérer les inscriptions.

3. Sélectionnez Ajouter une inscription individuelle et suivez ces étapes pour configurer l’inscription :

   • Mécanisme : sélectionnez X.509.

   • Fichier .pem ou .cer du certificat principal : chargez le fichier public à partir du certificat d’identité d’appareil. Si vous avez utilisé les scripts pour générer un certificat de test, choisissez le fichier suivant :

     <WRKDIR>\certs\iot-edge-device-identity-<name>.cert.pem

   • ID de l’appareil IoT Hub : Fournissez un ID pour votre appareil si vous le souhaitez. Vous pouvez utiliser l’ID d’appareil pour cibler un appareil individuel lors du déploiement de module. Si vous ne fournissez pas d’ID d’appareil, le nom commun (CN) dans le certificat X.509 est utilisé.

   • Appareil IoT Edge : Sélectionnez Vrai pour déclarer que cette inscription est un appareil IoT Edge.

   • Sélectionnez les hubs IoT auxquels cet appareil peut être attribué : choisissez le hub IoT lié auquel vous voulez connecter votre appareil. Vous pouvez choisir plusieurs hubs : l’appareil sera affecté à l’un d’entre eux en fonction de la stratégie d’allocation sélectionnée.

   • État initial du jumeau d’appareil : ajoutez une valeur d’étiquette destinée au jumeau d’appareil si vous le souhaitez. Vous pouvez utiliser des étiquettes pour cibler des groupes d’appareils lors du déploiement automatique. Par exemple :

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. Sélectionnez Enregistrer.

Sous Gérer les inscriptions, vous pouvez voir l’ID d’inscription pour l’inscription que vous venez de créer. Notez-le, car il peut être utilisé quand vous provisionnez votre appareil.

Maintenant qu’une inscription existe pour cet appareil, le runtime IoT Edge peut provisionner automatiquement l’appareil lors de l’installation.

Inscription de groupe

Créer une inscription de groupe dans le service Device Provisioning

Les inscriptions de groupe utilisent un certificat d’autorité de certification intermédiaire ou racine à partir de la chaîne de certificats de confiance utilisée pour générer les certificats d’identité d’appareil individuels.

Vérifier votre certificat racine

Quand vous créez un groupe d’inscriptions, vous avez la possibilité d’utiliser un certificat vérifié. Vous pouvez vérifier un certificat avec le service Device Provisioning en prouvant que vous êtes propriétaire du certificat racine. Pour plus d’informations, consultez Guide pratique pour effectuer la preuve de possession de certificats d’autorité de certification X.509.

1. Dans le Portail Azure, accédez à votre instance du service IoT Hub Device Provisioning.

2. Sélectionnez Certificats dans le menu de gauche.

3. Sélectionnez Ajouter pour ajouter un nouveau certificat.

4. Entrez un nom convivial pour votre certificat, puis accédez au fichier .cer ou .pem représentant la partie publique de votre certificat X.509.

   Si vous utilisez les certificats de démonstration, chargez le certificat <wrkdir>\certs\azure-iot-test-only.root.ca.cert.pem.

5. Sélectionnez Enregistrer.

6. Votre certificat doit maintenant être listé dans la page Certificats. Sélectionnez-le pour ouvrir les détails du certificat.

7. Sélectionnez Générer le code de vérification, puis copiez le code généré.

8. Que vous ayez fourni votre propre certificat d’autorité de certification ou utilisiez les certificats de démonstration, vous pouvez utiliser l’outil de vérification disponible dans le dépôt IoT Edge pour vérifier la preuve de possession. L’outil de vérification utilise votre certificat d’autorité de certification pour signer un nouveau certificat ayant le code de vérification fourni comme nom d’objet.

   New-CACertsVerificationCert "<verification code>"
   

9. Dans le portail Azure, dans la même page des détails du certificat, chargez le certificat de vérification qui vient d’être généré.

10. Sélectionnez Vérifier.

Créer un groupe d’inscriptions

Pour plus d’informations sur les inscriptions dans le service Device Provisioning, consultez Guide pratique pour gérer les inscriptions d’appareils.

Conseil

Bien que les étapes décrites dans cet article concernent le portail Azure, vous pouvez également créer des inscriptions de groupe à l’aide d’Azure CLI. Pour plus d’informations, consultez la section relative à az iot dps enrollment-group. Dans la commande CLI, utilisez l’indicateur edge-enabled pour spécifier que l’inscription concerne des appareils IoT Edge. Pour une inscription de groupe, tous les appareils doivent être de IoT Edge, ou aucun d’entre eux ne peut l’être.

1. Dans le Portail Azure, accédez à votre instance du service IoT Hub Device Provisioning.

2. Sous Paramètres, sélectionnez Gérer les inscriptions.

3. Sélectionnez Ajouter un groupe d’inscriptions et suivez les étapes ci-après pour configurer l’inscription :

   • Nom du groupe : fournissez un nom facile à retenir pour cette inscription de groupe.

   • Type d’attestation : Sélectionnez Certificate.

   • Appareil IoT Edge : sélectionnez VRAI. Pour une inscription de groupe, tous les appareils doivent être de IoT Edge, ou aucun d’entre eux ne peut l’être.

   • Type de certificat : sélectionnez Certificat d’autorité de certification.

   • Certificat principal : choisissez votre certificat dans la liste déroulante.

   • Sélectionnez les hubs IoT auxquels cet appareil peut être attribué : choisissez le hub IoT lié auquel vous voulez connecter votre appareil. Vous pouvez choisir plusieurs hubs : l’appareil sera affecté à l’un d’entre eux en fonction de la stratégie d’allocation sélectionnée.

   • État initial du jumeau d’appareil : ajoutez une valeur d’étiquette destinée au jumeau d’appareil si vous le souhaitez. Vous pouvez utiliser des étiquettes pour cibler des groupes d’appareils lors du déploiement automatique. Par exemple :

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. Sélectionnez Enregistrer.

Sous Gérer les inscriptions, vous pouvez voir l’ID d’inscription pour l’inscription que vous venez de créer. Notez-le, car il peut être utilisé quand vous provisionnez vos appareils.

Maintenant qu’il existe une inscription pour ces appareils, le runtime IoT Edge peut les provisionner automatiquement lors de l’installation.

Installer IoT Edge

Dans cette section, vous préparez votre machine virtuelle ou votre appareil physique Windows pour IoT Edge. Ensuite, vous installez IoT Edge.

Azure IoT Edge s’appuie sur un runtime de conteneur compatible avec OCI. Moby, un moteur basé sur Moby, est inclus dans le script d’installation, ce qui signifie qu’il n’y a aucune étape supplémentaire pour installer le moteur.

Pour installer le runtime IoT Edge :

1. Exécutez PowerShell ISE en tant qu’administrateur.

   Utilisez une session AMD64 de PowerShell, et non PowerShell (x86). Si vous ne savez pas quel type de session vous utilisez, exécutez la commande suivante :

   (Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
   

2. Exécutez la commande Deploy-IoTEdge qui effectue les tâches suivantes :

   • Vérifie que votre ordinateur Windows est sur une version prise en charge
   • Active la fonctionnalité des conteneurs
   • Télécharge le moteur moby et le runtime IoT Edge

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Deploy-IoTEdge
   

3. Redémarrez votre appareil si vous y êtes invité.

Quand vous installez IoT Edge sur un appareil, vous pouvez utiliser des paramètres supplémentaires pour modifier le processus, à savoir :

• Diriger le trafic pour qu’il transite par un serveur proxy,
• Pointer le programme d’installation vers un répertoire local pour une installation hors connexion

Pour plus d’informations sur ces paramètres supplémentaires, consultez Scripts PowerShell pour IoT Edge sur conteneurs Windows.

Provisionnement de l’appareil avec son identité cloud

Une fois le runtime installé sur votre appareil, configurez ce dernier avec les informations qu’il utilise pour se connecter au service DPS et à IoT Hub.

Préparez les informations suivantes :

• La valeur Étendue de l’ID du service Device Provisioning. Vous pouvez récupérer cette valeur à partir de la page de présentation de votre instance du service Device Provisioning dans le portail Azure.
• Le fichier de chaîne de certificats d’identité d’appareil sur l’appareil
• Le fichier de clé d’identité d’appareil sur l’appareil

1. Ouvrez une fenêtre PowerShell en mode administrateur. Veillez à utiliser une session AMD64 de PowerShell lors de l'installation d'IoT Edge, plutôt que PowerShell (x86).

2. La commande Initialize-IoTEdge configure le runtime IoT Edge sur votre ordinateur. La commande opère par défaut un provisionnement manuel avec les conteneurs Windows. Vous devez donc ajouter l’indicateur -DpsX509 pour utiliser le provisionnement automatique avec l’authentification par certificat X.509.

   Remplacez les valeurs d’espace réservé scope_id, identity cert chain path et identity key path par les valeurs appropriées de votre instance du service Device Provisioning et les chemins des fichiers sur votre appareil.

   Ajoutez le paramètre -RegistrationId paste_registration_id_here si vous souhaitez définir l’ID de l’appareil autrement que par le nom commun du certificat d’identité.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Initialize-IoTEdge -DpsX509 -ScopeId paste_scope_id_here -X509IdentityCertificate paste_identity_cert_chain_path_here -X509IdentityPrivateKey paste_identity_key_path_here
   

   Conseil

   Le fichier config stocke vos informations de certificat et de clé sous forme d’URI de fichier. Toutefois, la commande Initialize-IoTEdge gère cette étape de mise en forme pour vous ; vous pouvez donc fournir le chemin absolu des fichiers de certificat et de clé sur votre appareil.

Vérifier la réussite de l’installation

Si le runtime a démarré correctement, vous pouvez accéder à votre IoT Hub et commencer à déployer des modules IoT Edge sur votre appareil.

Inscription individuelle

Vous pouvez vérifier que l’inscription individuelle que vous avez créée dans le service d’approvisionnement des appareils a été utilisée. Accédez à l’instance du service d’approvisionnement des appareils dans le portail Azure. Ouvrez les détails de l’inscription pour l’inscription individuelle que vous avez créée. Notez que l’état de l’inscription est Affecté et que l’ID de l’appareil figure dans la liste.

Inscription de groupe

Vous pouvez vérifier que l’inscription de groupe que vous avez créée dans le service d’approvisionnement des appareils a été utilisée. Accédez à l’instance du service d’approvisionnement des appareils dans le portail Azure. Ouvrez les détails de l’inscription de groupe que vous avez créée. Accédez à l’onglet Enregistrements d’inscription pour afficher tous les appareils enregistrés dans ce groupe.

Utilisez les commandes suivantes sur votre appareil pour vérifier que IoT Edge a été installé et démarré correctement.

Vérifiez l’état du service IoT Edge.

Get-Service iotedge

Consultez les journaux d’activité de service.

. {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog

Répertoriez les modules en cours d’exécution.

iotedge list

Étapes suivantes

Le processus d’inscription auprès du service de provisionnement des appareils vous permet de définir l’ID d’appareil et les balises du jumeau d’appareil en même temps que vous provisionnez le nouvel appareil. Vous pouvez utiliser ces valeurs pour cibler des appareils individuels ou des groupes d’appareils avec la gestion d’appareils automatique. En savoir plus sur Déployer et surveiller des modules IoT Edge à grande échelle à l’aide du portail Azure ou d’Azure CLI.