Eszközhitelesítési fogalmak az IoT Centralban
Ez a cikk azt ismerteti, hogyan hitelesítik az eszközök az IoT Central-alkalmazásokat. Az általános kapcsolati folyamatról az eszköz Csatlakozás című témakörben olvashat bővebben.
Az eszközök közös hozzáférésű jogosultságkód (SAS) jogkivonat vagy X.509-tanúsítvány használatával hitelesíthetők az IoT Central-alkalmazással. Az X.509-tanúsítványok éles környezetben ajánlottak.
Regisztrációs csoportokkal kezelheti az eszközhitelesítési beállításokat az IoT Central-alkalmazásban.
Ez a cikk a következő eszközhitelesítési lehetőségeket ismerteti:
X.509 regisztrációs csoport
Éles környezetben az IoT Central ajánlott eszközhitelesítési mechanizmusa az X.509-tanúsítványok használata. További információ: Eszközhitelesítés X.509 hitelesítésszolgáltatói tanúsítványokkal.
Az X.509-regisztrációs csoportok gyökér- vagy köztes X.509-tanúsítványt tartalmaznak. Az eszközök hitelesíthetik magukat, ha érvényes levéltanúsítvánnyal rendelkeznek, amely a főtanúsítványból vagy a köztes tanúsítványból származik.
X.509-tanúsítvánnyal rendelkező eszköz csatlakoztatása az alkalmazáshoz:
- Hozzon létre egy tanúsítványtípust (X.509) használó regisztrációs csoportot.
- Adjon hozzá és ellenőrizzen egy köztes vagy legfelső szintű X.509-tanúsítványt a regisztrációs csoportban.
- Levéltanúsítvány létrehozása a regisztrációs csoport gyökér- vagy köztes tanúsítványából. Telepítse a levéltanúsítványt az eszközre, hogy az az alkalmazáshoz való csatlakozáskor használható legyen.
Minden regisztrációs csoportnak egyedi X.509-tanúsítványt kell használnia. Az IoT Central nem támogatja ugyanazt az X.509-tanúsítványt több regisztrációs csoportban.
További információ: Eszközök csatlakoztatása X.509-tanúsítványokkal.
Csak tesztelési célokra
Éles környezetben használjon tanúsítványszolgáltatótól származó tanúsítványokat. Csak teszteléshez a következő segédprogramokkal hozhat létre gyökér-, köztes- és eszköztanúsítványokat:
- Az Azure IoT Device Provisioning Device SDK eszközei: az X.509-tanúsítványok és -kulcsok létrehozásához és ellenőrzéséhez használható Node.js eszközök gyűjteménye.
- A minták és oktatóanyagok hitelesítésszolgáltatói tanúsítványainak kezelése: PowerShell- és Bash-szkriptek gyűjteménye a következő célokra:
- Hozzon létre egy tanúsítványláncot.
- Mentse a tanúsítványokat .cer fájlokként az IoT Central-alkalmazásba való feltöltéshez.
- Az ellenőrző tanúsítvány létrehozásához használja az IoT Central-alkalmazás ellenőrző kódját.
- Levéltanúsítványokat hozhat létre az eszközökhöz az eszköz azonosítóinak használatával az eszköz paramétereként.
SAS-regisztrációs csoport
Az SAS-regisztrációs csoport csoportszintű SAS-kulcsokat tartalmaz. Az eszközök akkor hitelesíthetők, ha egy csoportszintű SAS-kulcsból származó érvényes SAS-jogkivonattal rendelkeznek.
Eszköz csatlakoztatása eszköz SAS-jogkivonattal az alkalmazáshoz:
Hozzon létre egy regisztrációs csoportot , amely a közös hozzáférésű jogosultságkód (SAS) igazolási típusát használja.
Másolja ki a csoport elsődleges vagy másodlagos kulcsát a regisztrációs csoportból.
Az Azure CLI használatával hozzon létre egy eszközjogkivonatot a csoportkulcsból:
az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
Használja a létrehozott eszközjogkivonatot, amikor az eszköz csatlakozik az IoT Central-alkalmazáshoz.
Feljegyzés
Ha meglévő SAS-kulcsokat szeretne használni a regisztrációs csoportokban, tiltsa le az Automatikus kulcsok létrehozása váltógombot , és adja meg manuálisan a SAS-kulcsokat.
Ha az alapértelmezett SAS-IoT-Devices regisztrációs csoportot használja, az IoT Central létrehozza az egyes eszközkulcsokat. A kulcsok eléréséhez válassza Csatlakozás az eszköz részletei lapon. Ezen a lapon megjelenik az eszközkódban használt azonosító hatóköre, eszközazonosítója, elsődleges kulcsa és másodlagos kulcsa . Ezen a lapon egy QR-kód is megjelenik, amely ugyanazokat az adatokat tartalmazza.
Egyéni regisztráció
Az eszközök általában X.509-tanúsítványból vagy SAS-kulcsból származó hitelesítő adatokkal csatlakoznak. Ha azonban mindegyik eszköz saját hitelesítő adatokkal rendelkezik, egyéni regisztrációkat is használhat. Az egyéni regisztráció egyetlen eszköz bejegyzése, amely lehetővé teszi a csatlakozást. Az egyéni regisztrációk X.509 levéltanúsítványokat vagy SAS-jogkivonatokat (fizikai vagy virtuális platformmodulból) használhatnak igazolási mechanizmusként. További információ: DPS egyéni regisztráció.
Feljegyzés
Amikor egyéni regisztrációt hoz létre egy eszközhöz, az elsőbbséget élvez az IoT Central-alkalmazás alapértelmezett regisztrációs csoportbeállításainál.
Egyéni regisztrációk létrehozása
Az IoT Central az alábbi igazolási mechanizmusokat támogatja az egyéni regisztrációkhoz:
Szimmetrikus kulcsigazolás: A szimmetrikus kulcsigazolás egyszerű módszer az eszköz DPS-példánysal való hitelesítésére. Szimmetrikus kulcsokat használó egyéni regisztráció létrehozásához nyissa meg az eszköz eszközkapcsolati oldalát, hitelesítési típusként válassza az Egyéni regisztrációt , hitelesítési módszerként pedig a közös hozzáférésű jogosultságkód (SAS) lehetőséget. Adja meg a base64 kódolású elsődleges és másodlagos kulcsokat, és mentse a módosításokat. Az eszköz csatlakoztatásához használja az azonosító hatókörét, az eszközazonosítót és az elsődleges vagy a másodlagos kulcsot.
Tipp.
Teszteléshez használhatja az OpenSSL-t base64 kódolású kulcsok létrehozásához:
openssl rand -base64 64
X.509-tanúsítványok: Ha egyéni regisztrációt szeretne létrehozni X.509-tanúsítványokkal, nyissa meg az Eszköz Csatlakozás ion oldalt, válassza ki az Egyéni regisztrációt hitelesítési típusként, és hitelesítési módszerként a tanúsítványokat (X.509). Az egyéni regisztrációs bejegyzéshez használt eszköztanúsítványoknak rendelkezniük kell azzal a követelménysel, hogy a kiállító és a tulajdonos CN értéke az eszközazonosító legyen.
Tipp.
A teszteléshez használhatja az Azure IoT Device Provisioning Device SDK-t az Node.js önaláírt tanúsítvány létrehozásához:
node create_test_cert.js device "mytestdevice"
Megbízható platformmodul (TPM) igazolása: A TPM a hardveres biztonsági modul egy típusa. A TPM használata az eszközök csatlakoztatásának egyik legbiztonságosabb módja. Ez a cikk feltételezi, hogy különálló, belső vezérlőprogramot vagy integrált TPM-et használ. A szoftveres emulált TPM-k kiválóan alkalmasak prototípus-készítéshez vagy teszteléshez, de nem biztosítanak ugyanolyan szintű biztonságot, mint a különálló, belső vezérlőprogramok vagy integrált TPM-k. Ne használjon szoftveres TPM-eket éles környezetben. TPM-t használó egyéni regisztráció létrehozásához nyissa meg az Eszköz Csatlakozás ion lapot, válassza az Egyéni regisztrációt hitelesítési típusként, hitelesítési módszerként pedig a TPM-et. Adja meg a TPM jóváhagyási kulcsát, és mentse az eszköz kapcsolati adatait.
Eszközök automatikus regisztrálása
Ez a forgatókönyv lehetővé teszi az oem-eknek, hogy tömegesen gyártsanak olyan eszközöket, amelyek anélkül tudnak csatlakozni, hogy regisztrálták őket egy alkalmazásban. Az OEM létrehozza a megfelelő eszköz hitelesítő adatait, és konfigurálja az eszközöket a gyárban.
Az X.509-tanúsítványokat használó eszközök automatikus regisztrálása:
Hozza létre az eszközök levéltanúsítványait az X.509 regisztrációs csoporthoz hozzáadott főtanúsítvány vagy köztes tanúsítvány használatával. Használja az eszközazonosítókat a
CNAME
levéltanúsítványok között. Az eszközazonosító tartalmazhat betűket, számokat és karaktereket-
.OEM-ként minden eszközt felvillanthat egy eszközazonosítóval, egy generált X.509 levéltanúsítvánnyal és az alkalmazásazonosító hatókörének értékével. Az eszközkódnak el kell küldenie az általa implementálandó eszközmodell modellazonosítóját is.
Amikor bekapcsol egy eszközt, az először csatlakozik a DPS-hez az IoT Central kapcsolati adatainak lekéréséhez.
Az eszköz a DPS információit használja az IoT Central-alkalmazáshoz való csatlakozáshoz és regisztrációhoz.
Az IoT Central-alkalmazás az eszköz által küldött modellazonosítóval rendeli hozzá a regisztrált eszközt egy eszközsablonhoz.
SAS-jogkivonatokat használó eszközök automatikus regisztrálása:
Másolja ki a csoport elsődleges kulcsát az SAS-IoT-Devices regisztrációs csoportból:
Használja a
az iot central device compute-device-key
parancsot az eszköz SAS-kulcsainak létrehozásához. Használja az előző lépésből származó elsődleges csoportkulcsot. Az eszközazonosító betűket, számokat és karaktert-
tartalmazhat:az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
OEM-ként minden eszközt felvillanthat az eszközazonosítóval, a létrehozott eszköz SAS-kulccsal és az alkalmazásazonosító hatókörének értékével. Az eszközkódnak el kell küldenie az általa implementálandó eszközmodell modellazonosítóját is.
Amikor bekapcsol egy eszközt, az először csatlakozik a DPS-hez az IoT Central regisztrációs adatainak lekéréséhez.
Az eszköz a DPS információit használja az IoT Central-alkalmazáshoz való csatlakozáshoz és regisztrációhoz.
Az IoT Central-alkalmazás az eszköz által küldött modellazonosítóval rendeli hozzá a regisztrált eszközt egy eszközsablonhoz.
Következő lépések
Néhány javasolt következő lépés:
- Tekintse át az eszközök fejlesztésének ajánlott eljárásait .
- Tekintse át az SAS-jogkivonatok használatát bemutató mintakódot az oktatóanyagban : Ügyfélalkalmazás létrehozása és csatlakoztatása az Azure IoT Central-alkalmazáshoz
- Ismerje meg, hogyan csatlakoztathat eszközöket X.509-tanúsítványokkal Node.js eszköz SDK for IoT Central Application használatával
- Megtudhatja, hogyan monitorozhat eszközkapcsolatokat az Azure CLI használatával
- További információ az Azure IoT Edge-eszközökről és az Azure IoT Centralról