IoT Edge-eszköz létrehozása és kiépítése Windows rendszeren X.509-tanúsítványok használatával

A következőkre vonatkozik: IoT Edge 1.1

Fontos

Az IoT Edge 1.1 támogatási dátuma 2022. december 13. volt. A termék, szolgáltatás, technológia vagy API támogatásáról a Microsoft-termékek életciklusa című leírásból tájékozódhat. Az IoT Edge legújabb verziójára való frissítésről további információt az IoT Edge frissítése című témakörben talál.

Ez a cikk a Windows IoT Edge-eszközök regisztrálására és kiépítésére vonatkozó részletes utasításokat tartalmazza.

Feljegyzés

A Windows-tárolókkal rendelkező Azure IoT Edge nem támogatott az Azure IoT Edge 1.2-es verziójától kezdve.

Fontolja meg az IoT Edge windowsos eszközökön való futtatásának új módszerét, a Linuxhoz készült Azure IoT Edge-et Windows rendszeren.

Ha Windows rendszeren szeretné használni a Linuxhoz készült Azure IoT Edge-et, kövesse az ezzel egyenértékű útmutató lépéseit.

Minden IoT Hubhoz csatlakozó eszköz rendelkezik egy eszközazonosítóval, amely a felhőből az eszközre vagy az eszközről a felhőbe irányuló kommunikáció nyomon követésére szolgál. Konfigurálhat egy eszközt a kapcsolati adataival, beleértve az IoT Hub gazdagépnevét, az eszköz azonosítóját és az IoT Hubon való hitelesítéshez használt információkat.

A cikk lépései végigvezetnek egy manuális kiépítési folyamaton, ahol egyetlen eszközt csatlakoztat az IoT Hubhoz. A manuális kiépítéshez két lehetősége van az IoT Edge-eszközök hitelesítésére:

• Szimmetrikus kulcsok: Amikor új eszközidentitást hoz létre az IoT Hubban, a szolgáltatás két kulcsot hoz létre. A kulcsok egyikét az eszközön helyezi el, és hitelesítéskor megjeleníti a kulcsot az IoT Hubnak.

  Ez a hitelesítési módszer gyorsabb az első lépésekhez, de nem olyan biztonságos.

• X.509 önaláírt: Létrehozhat két X.509-identitástanúsítványt, és elhelyezheti őket az eszközön. Amikor új eszközidentitást hoz létre az IoT Hubban, mindkét tanúsítvány ujjlenyomatát adja meg. Amikor az eszköz hitelesíti az IoT Hubot, egy tanúsítványt jelenít meg, az IoT Hub pedig ellenőrzi, hogy a tanúsítvány megfelel-e az ujjlenyomatának.

  Ez a hitelesítési módszer biztonságosabb, és éles helyzetekben ajánlott.

Ez a cikk az X.509-tanúsítványok hitelesítési módszerként való használatát ismerteti. Ha szimmetrikus kulcsokat szeretne használni, olvassa el az IoT Edge-eszköz létrehozása és üzembe helyezése Windows rendszeren szimmetrikus kulcsokkal című témakört.

Feljegyzés

Ha sok eszközt szeretne beállítani, és nem szeretné manuálisan kiépíteni az egyes eszközöket, az alábbi cikkek egyikével megtudhatja, hogyan működik az IoT Edge az IoT Hub eszközkiépítési szolgáltatással:

• IoT Edge-eszközök létrehozása és kiépítése nagy méretekben X.509-tanúsítványokkal
• IoT Edge-eszközök létrehozása és kiépítése nagy méretekben TPM használatával
• IoT Edge-eszközök létrehozása és kiépítése nagy méretekben szimmetrikus kulcsokkal

Előfeltételek

Ez a cikk az IoT Edge-eszköz regisztrálását és az IoT Edge telepítését ismerteti. Ezek a feladatok különböző előfeltételekkel és segédprogramokkal rendelkeznek a feladatok végrehajtásához. A folytatás előtt győződjön meg arról, hogy rendelkezik az összes előfeltételével.

Eszközfelügyeleti eszközök

Az eszköz regisztrálásának lépéseihez használhatja az Azure Portalt, a Visual Studio Code-ot vagy az Azure CLI-t . Minden segédprogramnak megvannak a saját előfeltételei:

Portál

Ingyenes vagy standard IoT Hub az Azure-előfizetésben.

Visual Studio Code

• Ingyenes vagy standard IoT Hub az Azure-előfizetésben
• Visual Studio Code
• Azure IoT Hub-bővítmény
• Azure IoT Edge for Visual Studio Code

Azure CLI

• Ingyenes vagy standard IoT Hub az Azure-előfizetésben

• Azure CLI a környezetben

  Legalább az Azure CLI-verziónak 2.0.70-es vagy újabbnak kell lennie. A verziószámot az az --version paranccsal ellenőrizheti. Ez a verzió támogatja az „az” bővítményparancsokat, és ebben a verzióban került bevezetésre a Knack parancskeretrendszer.

Eszközkövetelmények

Windows-eszköz.

A Windows-tárolókkal rendelkező IoT Edge-hez a Windows 1809/17763-es buildje szükséges, amely a Windows legújabb hosszú távú támogatási buildje. Mindenképpen tekintse át a támogatott termékváltozatok listáját a támogatott rendszerek listájában .

Eszközidentitás-tanúsítványok létrehozása

Az X.509-tanúsítványokkal való manuális üzembe helyezéshez az IoT Edge 1.0.10-es vagy újabb verziója szükséges.

Amikor X.509-tanúsítványokkal épít ki egy IoT Edge-eszközt, az úgynevezett eszközidentitás-tanúsítványt fogja használni. Ez a tanúsítvány csak IoT Edge-eszköz kiépítéséhez és az eszköz Azure IoT Hubbal való hitelesítéséhez használható. Ez egy levéltanúsítvány, amely nem ír alá más tanúsítványokat. Az eszköz identitástanúsítványa eltér azoktól a hitelesítésszolgáltatói (CA-) tanúsítványoktól, amelyeket az IoT Edge-eszköz a moduloknak vagy az alsóbb rétegbeli eszközöknek biztosít ellenőrzés céljából.

Az X.509-tanúsítványhitelesítéshez minden eszköz hitelesítési információja az eszköz identitástanúsítványaiból származó ujjlenyomatok formájában lesz megadva. Ezeket az ujjlenyomatokat az IoT Hub az eszközregisztráció időpontjában kapja meg, hogy a szolgáltatás felismerje az eszközt, amikor csatlakozik.

Az IoT Edge-eszközök hitelesítésszolgáltatói tanúsítványainak használatáról további információt az Azure IoT Edge tanúsítványhasználatának ismertetése című témakörben talál.

Az X.509 manuális kiépítéséhez a következő fájlokra van szüksége:

• Az eszköz identitástanúsítványai közül kettő .cer vagy .pem formátumban egyező titkos kulcsú tanúsítványokkal.

  Az IoT Edge-futtatókörnyezet egy tanúsítvány-/kulcsfájlkészletet biztosít. Eszközidentitás-tanúsítványok létrehozásakor állítsa be a tanúsítvány közös nevét (CN) azzal az eszközazonosítóval, amelyet az eszköznek az IoT Hubban szeretne használni.

• Mindkét eszközidentitás-tanúsítvány ujjlenyomata.

  Az ujjlenyomat értéke 40 hexa az SHA-1 kivonatokhoz, az SHA-256 kivonatokhoz pedig 64 hexa karakter. Mindkét ujjlenyomatot az IoT Hub biztosítja az eszközregisztráció idején.

Ha nem rendelkezik elérhető tanúsítványokkal, demótanúsítványokat hozhat létre az IoT Edge eszközfunkcióinak teszteléséhez. A cikkben található utasításokat követve állítsa be a tanúsítványlétrehozás parancsfájljait, hozzon létre egy legfelső szintű hitelesítésszolgáltatói tanúsítványt, majd hozzon létre két IoT Edge-eszközidentitás-tanúsítványt.

Az ujjlenyomat tanúsítványból való lekérésének egyik módja az alábbi Openssl-parancs:

openssl x509 -in <certificate filename>.pem -text -fingerprint

Eszköz regisztrálása

Az Azure Portal, a Visual Studio Code vagy az Azure CLI használatával a beállításoktól függően regisztrálhatja az eszközt.

Portál

Az Azure Portal IoT Hubján az IoT Edge-eszközök létrehozása és kezelése külön történik az olyan IoT-eszközöktől, amelyek nincsenek engedélyezve a peremhálózaton.

1. Jelentkezzen be az Azure Portalra , és lépjen az IoT Hubra.

2. A bal oldali panelen válassza az Eszközök lehetőséget a menüben, majd válassza az Eszköz hozzáadása lehetőséget.

3. Az Eszköz létrehozása lapon adja meg a következő információkat:

   • Hozzon létre egy leíró eszközazonosítót. Jegyezze fel ezt az eszközazonosítót, ahogy később használni fogja.
   • Jelölje be az IoT Edge-eszköz jelölőnégyzetet.
   • Hitelesítési típusként válassza az X.509 Önaláírt elemet.
   • Adja meg az elsődleges és másodlagos identitástanúsítvány ujjlenyomatait. Az ujjlenyomat értéke 40 hexa az SHA-1 kivonatokhoz, az SHA-256 kivonatokhoz pedig 64 hexa karakter.

4. Válassza a Mentés lehetőséget.

Visual Studio Code

A Visual Studio Code Azure IoT-bővítménye jelenleg nem támogatja az X.509-tanúsítványokkal való eszközregisztrációt.

Azure CLI

Az az iot hub device-identity create paranccsal hozzon létre egy új eszközidentitást az IoT Hubban. Példa:

az iot hub device-identity create --device-id device_id_here --hub-name hub_name_here --edge-enabled --auth-method x509_thumbprint --primary-thumbprint primary_SHA_thumbprint_here --secondary-thumbprint secdonary_SHA_thumbprint_here

Ez a parancs több paramétert is tartalmaz:

• --device-id vagy -d: Adjon meg egy leíró nevet, amely egyedi az IoT Hubon. Jegyezze fel ezt az eszközazonosítót, ahogy a következő szakaszban is használni fogja.
• hub-name vagy -n: Adja meg az IoT Hub nevét.
• --edge-enabled vagy --ee: Deklarálja, hogy az eszköz egy IoT Edge-eszköz.
• --auth-method vagy --am: Deklarálja azt az engedélyezési típust, amelyet az eszköz használni fog. Ebben az esetben X.509-tanúsítvány ujjlenyomatokat használunk.
• --primary-thumbprint vagy --ptp: Adjon meg egy X.509-tanúsítvány ujjlenyomatát, amelyet elsődleges kulcsként szeretne használni.
• --secondary-thumbprint vagy --stp: Adjon meg egy X.509-tanúsítvány ujjlenyomatát másodlagos kulcsként való használatra.

Most, hogy regisztrált egy eszközt az IoT Hubban, kérje le az IoT Edge-futtatókörnyezet telepítésének és kiépítésének befejezéséhez használt információkat.

Regisztrált eszközök megtekintése és kiépítési információk lekérése

Az X.509-tanúsítványhitelesítést használó eszközöknek szükségük van az IoT Hub nevére, az eszköz nevére és a tanúsítványfájljaikra az IoT Edge-futtatókörnyezet telepítésének és kiépítésének befejezéséhez.

Portál

Az IoT Hubhoz csatlakozó peremhálózati eszközök az Eszközök lapon találhatók. A listát az Iot Edge-eszköz típusával szűrheti.

Visual Studio Code

Bár az X.509-tanúsítványokkal való eszközregisztráció nem támogatott a Visual Studio Code-on keresztül, szükség esetén továbbra is megtekintheti az IoT Edge-eszközöket.

Az IoT Hubhoz csatlakozó összes eszköz a Visual Studio Code Explorer Azure IoT Hub szakaszában található. Az IoT Edge-eszközök megkülönböztethetők a nem Edge-eszközöktől egy másik ikonnal, valamint az a tény, hogy a $edgeAgent és $edgeHub modulok minden IoT Edge-eszközön üzembe vannak helyezve.

Azure CLI

Az az iot hub eszköz-identitáslista parancsával megtekintheti az IoT Hub összes eszközét. Példa:

az iot hub device-identity list --hub-name hub_name_here

Az IoT Edge-eszközként regisztrált eszközöknél a capabilities.iotEdge tulajdonság értéke igaz lesz.

Az IoT Edge telepítése

Ebben a szakaszban előkészíti a Windows rendszerű virtuális gépet vagy fizikai eszközt az IoT Edge-hez. Ezután telepítse az IoT Edge-et.

Az Azure IoT Edge egy OCI-kompatibilis tároló-futtatókörnyezetre támaszkodik. A Moby, egy Moby-alapú motor szerepel a telepítési szkriptben, ami azt jelenti, hogy nincs további lépés a motor telepítéséhez.

Az IoT Edge-futtatókörnyezet telepítése:

1. Futtassa a PowerShellt rendszergazdaként.

   A PowerShell AMD64-munkamenetét használja, ne a PowerShellt(x86). Ha nem biztos abban, hogy melyik munkamenettípust használja, futtassa a következő parancsot:

   (Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
   

2. Futtassa a Deploy-IoTEdge parancsot, amely a következő feladatokat hajtja végre:

   • Ellenőrzi, hogy a Windows-gép támogatott verzióban van-e
   • A tárolók funkció bekapcsolása
   • Letölti a moby motort és az IoT Edge-futtatókörnyezetet

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Deploy-IoTEdge
   

3. Ha a rendszer kéri, indítsa újra az eszközt.

Amikor az IoT Edge-et egy eszközre telepíti, további paraméterekkel módosíthatja a folyamatot, például:

• Közvetlen forgalom proxykiszolgálón való áthaladáshoz
• A telepítőt egy helyi könyvtárra irányíthatja offline telepítés céljából

További információ ezekről a további paraméterekről: PowerShell-szkriptek az IoT Edge-hez Windows-tárolókkal.

Az eszköz kiépítése a felhőbeli identitással

Most, hogy a tárolómotor és az IoT Edge-futtatókörnyezet telepítve van az eszközön, készen áll a következő lépésre, amely az eszköz felhőbeli identitás- és hitelesítési adataival való beállítását jelenti.

1. Az IoT Edge-eszközön futtassa a PowerShellt rendszergazdaként.

2. Az Inicializálás-IoTEdge paranccsal konfigurálhatja az IoT Edge-futtatókörnyezetet a számítógépen.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Initialize-IoTEdge -ManualX509
   

   • Ha az IoTEdgeSecurityDaemon.ps1 szkriptet offline vagy adott verziótelepítés céljából töltötte le az eszközére, mindenképpen hivatkozzon a szkript helyi példányára.

     . <path>/IoTEdgeSecurityDaemon.ps1
     Initialize-IoTEdge -ManualX509
     

3. Ha a rendszer kéri, adja meg az alábbi információkat:

   • IotHubHostName: Annak az IoT Hubnak a gazdagépneve, amelyhez az eszköz csatlakozni fog. Például: {IoT_hub_name}.azure-devices.net.
   • DeviceId: Az eszköz regisztrálásakor megadott azonosító.
   • X509IdentityCertificate: Az eszközön található identitástanúsítvány abszolút elérési útja. Például: C:\path\identity_certificate.pem.
   • X509IdentityPrivateKey: A megadott identitástanúsítvány titkos kulcsfájljának abszolút elérési útja. Például: C:\path\identity_key.pem.

Ha manuálisan épít ki egy eszközt, további paraméterekkel módosíthatja a folyamatot, például:

• Közvetlen forgalom proxykiszolgálón való áthaladáshoz
• Deklaráljon egy adott edgeAgent tárolórendszerképet, és adjon meg hitelesítő adatokat, ha az egy privát beállításjegyzékben található

További információ ezekről a további paraméterekről: PowerShell-szkriptek az IoT Edge-hez Windows-tárolókkal.

---

Sikeres konfiguráció ellenőrzése

Ellenőrizze, hogy a futtatókörnyezet telepítése és konfigurálása sikeresen megtörtént-e az IoT Edge-eszközön.

Ellenőrizze az IoT Edge-szolgáltatás állapotát.

Get-Service iotedge

Vizsgálja meg a szolgáltatásnaplókat.

. {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog

Futó modulok listázása.

iotedge list

Offline vagy adott verzió telepítése (nem kötelező)

Az ebben a szakaszban szereplő lépések olyan forgatókönyvekre vonatkoznak, amelyekre a szokásos telepítési lépések nem vonatkoznak. Ez a következők lehetnek:

• Az IoT Edge telepítése offline állapotban
• Kiadásra jelölt verzió telepítése
• A legújabbtól eltérő verzió telepítése

A telepítés során három fájl töltődik le:

• PowerShell-szkript, amely tartalmazza a telepítési utasításokat
• Microsoft Azure IoT Edge fülke, amely tartalmazza az IoT Edge biztonsági démont (iotedged), a Moby tárolómotort és a Moby CLI-t
• Visual C++ terjeszthető csomag (VC futtatókörnyezet) telepítője

Ha az eszköz offline állapotban lesz a telepítés során, vagy ha az IoT Edge egy adott verzióját szeretné telepíteni, ezeket a fájlokat előre letöltheti az eszközre. Amikor ideje telepíteni, a telepítési szkriptet a letöltött fájlokat tartalmazó könyvtárra kell mutatnia. A telepítő először ellenőrzi a címtárat, majd csak a nem található összetevőket tölti le. Ha az összes fájl offline állapotban érhető el, internetkapcsolat nélkül telepítheti.

1. A legújabb IoT Edge-telepítési fájlokért és a korábbi verziókért tekintse meg az Azure IoT Edge kiadásait.

2. Keresse meg a telepíteni kívánt verziót, és töltse le a következő fájlokat a kibocsátási megjegyzések Assets szakaszából az IoT-eszközre:

   • IoTEdgeSecurityDaemon.ps1
   • Microsoft-Azure-IoTEdge-amd64.cab az 1.1 kiadási csatornáról.

   Fontos, hogy a PowerShell-szkriptet az ön által használt .cab fájllal megegyező kiadásból használja, mert a funkciók módosulnak az egyes kiadások funkcióinak támogatásához.

3. Ha a letöltött .cab fájlon van egy architektúra-utótag, nevezze át a fájlt egyszerűen Microsoft-Azure-IoTEdge.cab.

4. Ha szükséges, töltse le a Visual C++ terjeszthető telepítőt. A PowerShell-szkript például ezt a verziót használja: vc_redist.x64.exe. Mentse a telepítőt ugyanabban a mappában az IoT-eszközön, mint az IoT Edge-fájlok.

5. Offline összetevőkkel való telepítéshez használja a PowerShell-szkript helyi példányát .

6. Futtassa a Deploy-IoTEdge parancsot a -OfflineInstallationPath paraméterrel. Adja meg a fájlkönyvtár abszolút elérési útját. Például:

   . path_to_powershell_module_here\IoTEdgeSecurityDaemon.ps1
   Deploy-IoTEdge -OfflineInstallationPath path_to_file_directory_here
   

   Az üzembe helyezési parancs a megadott helyi fájlkönyvtárban található összetevőket fogja használni. Ha a .cab fájl vagy a Visual C++ telepítő hiányzik, megpróbálja letölteni őket.

Az IoT Edge eltávolítása

Ha el szeretné távolítani az IoT Edge-telepítést a Windows-eszközéről, használja az Uninstall-IoTEdge parancsot egy felügyeleti PowerShell-ablakban. Ez a parancs eltávolítja az IoT Edge-futtatókörnyezetet, valamint a meglévő konfigurációt és a Moby-motor adatait.

. {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; `
Uninstall-IoTEdge

Az eltávolítási lehetőségekkel kapcsolatos további információkért használja a parancsot Get-Help Uninstall-IoTEdge -full.

Következő lépések

Folytassa az IoT Edge-modulok üzembe helyezését, hogy megtudja, hogyan helyezhet üzembe modulokat az eszközén.