Mengelola sertifikat IoT Edge

Berlaku untuk ikon: IoT Edge 1.1

Penting

IoT Edge 1.1 tanggal akhir dukungan adalah 13 Desember 2022. Periksa Siklus Hidup Produk Microsoft untuk mendapatkan informasi tentang bagaimana produk, layanan, teknologi, atau API ini didukung. Untuk informasi selengkapnya tentang memperbarui ke versi terbaru IoT Edge, lihat Memperbarui IoT Edge.

Semua perangkat IoT Edge menggunakan sertifikat untuk membuat koneksi aman antara runtime dan modul apa pun yang berjalan di perangkat. Perangkat IoT Edge juga berfungsi sebagai gateway menggunakan sertifikat yang sama ini untuk tersambung ke perangkat downstream-nya. Untuk informasi selengkapnya tentang fungsi berbagai sertifikat pada perangkat IoT Edge, lihat Memahami cara Azure IoT Edge menggunakan sertifikat.

Catatan

Istilah OS akar yang digunakan di seluruh artikel ini mengacu pada sertifikat otoritas paling atas dalam rantai sertifikat untuk solusi IoT Anda. Anda tidak perlu menggunakan akar sertifikat dari otoritas sertifikat sindikasi, atau akar otoritas sertifikat organisasi Anda. Dalam banyak kasus, ini sebenarnya adalah sertifikat OS perantara.

Prasyarat

• Pahami bagaimana Azure IoT Edge menggunakan sertifikat.

• Perangkat IoT Edge. Jika Anda tidak menyiapkan perangkat IoT Edge, Anda dapat menyiapkannya di komputer virtual Azure. Ikuti langkah-langkah di salah satu artikel mulai cepat untuk Membuat perangkat Linux virtual atau Membuat perangkat Windows virtual.

• Kemampuan untuk mengedit file config.toml konfigurasi IoT Edge mengikuti templat konfigurasi.

  • Jika Anda config.toml tidak didasarkan pada templat, buka templat dan gunakan panduan yang dikomentari untuk menambahkan bagian konfigurasi mengikuti struktur templat.

  • Jika Anda memiliki penginstalan IoT Edge baru yang belum dikonfigurasi, salin templat untuk menginisialisasi konfigurasi. Jangan gunakan perintah ini jika Anda memiliki konfigurasi yang sudah ada. Ini menimpa file.

    sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml
    

OS Perangkat

Semua perangkat IoT Edge menggunakan sertifikat untuk membuat koneksi aman antara runtime dan modul apa pun yang berjalan di perangkat. Perangkat IoT Edge juga berfungsi sebagai gateway menggunakan sertifikat yang sama ini untuk tersambung ke perangkat downstream-nya. Untuk informasi selengkapnya tentang fungsi berbagai sertifikat pada perangkat IoT Edge, lihat Memahami cara Azure IoT Edge menggunakan sertifikat.

IoT Edge secara otomatis menghasilkan OS perangkat pada perangkat dalam beberapa kasus, termasuk:

• Jika Anda tidak memberikan sertifikat produksi Anda sendiri saat menginstal dan menyediakan IoT Edge, pengelola keamanan IoT Edge akan otomatis membuat sertifikat CA perangkat. Sertifikat yang ditandatangani sendiri ini hanya dimaksudkan untuk skenario pengembangan dan pengujian, bukan produksi. Sertifikat ini kedaluwarsa setelah 90 hari.
• Manajer keamanan IoT Edge juga menghasilkan sertifikat OS beban kerja yang ditandatangani oleh sertifikat OS perangkat.

Untuk dua sertifikat yang dibuat secara otomatis ini, Anda memiliki opsi untuk menyetel tanda di file konfigurasi untuk mengonfigurasi jumlah hari untuk masa pakai sertifikat.

Catatan

Ada sertifikat ketiga yang otomatis dibuat oleh pengelola keamanan IoT Edge, yaitu sertifikat server hub IoT Edge. Sertifikat ini selalu memiliki masa pakai 30 hari, tetapi secara otomatis diperpanjang sebelum kedaluwarsa. Nilai seumur hidup CA yang dihasilkan secara otomatis yang ditetapkan dalam file konfigurasi tidak memengaruhi sertifikat ini.

Menyesuaikan masa pakai sertifikat OS perangkat mulai cepat

Setelah kedaluwarsa dalam jumlah hari yang ditentukan, IoT Edge harus dihidupkan ulang untuk meregenerasi sertifikat CA perangkat. Sertifikat OS perangkat tidak diperbarui secara otomatis.

Kontainer Linux

1. Untuk mengonfigurasi masa pakai sertifikat ke durasi selain jangka waktu default 90 hari, tambahkan nilai dalam hari ke bagian sertifikat pada file konfigurasi.

   certificates:
     device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
     device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
     trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
     auto_generated_ca_lifetime_days: <value>
   

   Catatan

   Saat ini, pembatasan libiothsm mencegah penggunaan sertifikat yang kedaluwarsa pada atau setelah 1 Januari 2038.

2. Hapus konten folder hsm untuk menghapus sertifikat yang dibuat sebelumnya.

   • /var/aziot/hsm/certs
   • /var/aziot/hsm/cert_keys

3. Menghidupkan ulang layanan IoT Edge.

   sudo systemctl restart iotedge
   

4. Konfirmasi pengaturan masa pakai.

   sudo iotedge check --verbose
   

   Periksa output kesiapan produksi: pemeriksaan sertifikat, yang mencantumkan jumlah hari sampai sertifikat CA perangkat yang otomatis dibuat kedaluwarsa.

Kontainer Windows

1. Untuk mengonfigurasi masa pakai sertifikat ke durasi selain jangka waktu default 90 hari, tambahkan nilai dalam hari ke bagian sertifikat pada file konfigurasi.

   certificates:
     device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
     device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
     trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
     auto_generated_ca_lifetime_days: <value>
   

   Catatan

   Saat ini, pembatasan libiothsm mencegah penggunaan sertifikat yang kedaluwarsa pada atau setelah 1 Januari 2038.

2. Hapus konten folder hsm untuk menghapus sertifikat yang dibuat sebelumnya.

   • C:\ProgramData\iotedge\hsm\certs
   • C:\ProgramData\iotedge\hsm\cert_keys

3. Menghidupkan ulang layanan IoT Edge.

   Restart-Service iotedge
   

4. Konfirmasi pengaturan masa pakai.

   iotedge check --verbose
   

   Periksa output kesiapan produksi: pemeriksaan sertifikat, yang mencantumkan jumlah hari sampai sertifikat CA perangkat yang otomatis dibuat kedaluwarsa.

Menginstal OS perangkat untuk produksi

Setelah Anda pindah ke skenario produksi, atau Anda ingin membuat perangkat gateway, Anda perlu menyediakan sertifikat Anda sendiri.

Membuat dan menginstal OS perangkat untuk produksi

1. Gunakan otoritas sertifikat Anda sendiri untuk membuat file berikut:

   • CA akar
   • Sertifikat OS perangkat
   • Kunci privat OS perangkat

   OS akar bukan otoritas sertifikat teratas untuk organisasi. Ini adalah otoritas sertifikat teratas untuk skenario IoT Edge, yang digunakan oleh modul hub IoT Edge, modul pengguna, dan perangkat downstream untuk membangun kepercayaan antara satu sama lain.

   Untuk melihat contoh sertifikat ini, tinjau skrip yang membuat sertifikat demo di Mengelola sertifikat CA pengujian untuk sampel dan tutorial.

   Catatan

   Saat ini, pembatasan libiothsm mencegah penggunaan sertifikat yang kedaluwarsa pada atau setelah 1 Januari 2038.

2. Salin tiga sertifikat dan file kunci ke perangkat IoT Edge Anda. Anda dapat menggunakan layanan seperti Azure Key Vault atau fungsi seperti Protokol salin aman untuk memindahkan file sertifikat. Jika Anda membuat sertifikat pada perangkat IoT Edge itu sendiri, Anda dapat melewati langkah ini dan menggunakan jalur ke direktori yang berfungsi.

   Tip

   Jika Anda menggunakan skrip contoh untuk membuat sertifikat demo, tiga file sertifikat dan kunci berada di jalur berikut:

   • Sertifikat CA perangkat: <WRKDIR>\certs\iot-edge-device-MyEdgeDeviceCA-full-chain.cert.pem
   • Kunci privat CA perangkat: <WRKDIR>\private\iot-edge-device-MyEdgeDeviceCA.key.pem
   • CA akar: <WRKDIR>\certs\azure-iot-test-only.root.ca.cert.pem

Kontainer Linux

1. Buka file konfigurasi daemon keamanan IoT Edge: /etc/iotedge/config.yaml

2. Atur properti sertifikat di config.yaml ke jalur URI file lalu ke sertifikat dan file kunci pada perangkat IoT Edge. Hapus karakter # sebelum properti sertifikat untuk membatalkan komentar empat baris. Pastikan baris sertifikat: tidak memiliki spasi kosong sebelumnya dan item bertumpuk diindentasi oleh dua spasi. Contohnya:

   certificates:
      device_ca_cert: "file:///<path>/<device CA cert>"
      device_ca_pk: "file:///<path>/<device CA key>"
      trusted_ca_certs: "file:///<path>/<root CA cert>"
   

3. Pastikan bahwa iotedge pengguna memiliki izin baca/tulis untuk direktori yang memegang sertifikat.

4. Jika Anda telah menggunakan sertifikat lain untuk IoT Edge pada perangkat sebelumnya, hapus file di dua direktori berikut sebelum memulai atau menghidupkan ulang IoT Edge:

   • /var/aziot/hsm/certs
   • /var/aziot/hsm/cert_keys

5. Hidupkan ulang IoT Edge.

   sudo iotedge system restart
   

Kontainer Windows

1. Buka file konfigurasi daemon keamanan IoT Edge: C:\ProgramData\iotedge\config.yaml

2. Atur properti sertifikat di config.yaml ke jalur URI file lalu ke sertifikat dan file kunci pada perangkat IoT Edge. Hapus karakter # sebelum properti sertifikat untuk membatalkan komentar empat baris. Pastikan baris sertifikat: tidak memiliki spasi kosong sebelumnya dan item bertumpuk diindentasi oleh dua spasi. Contohnya:

   certificates:
      device_ca_cert: "file:///C:/<path>/<device CA cert>"
      device_ca_pk: "file:///C:/<path>/<device CA key>"
      trusted_ca_certs: "file:///C:/<path>/<root CA cert>"
   

3. Jika Anda telah menggunakan sertifikat lain untuk IoT Edge pada perangkat sebelumnya, hapus file di dua direktori berikut sebelum memulai atau menghidupkan ulang IoT Edge:

   • C:\ProgramData\iotedge\hsm\certs
   • C:\ProgramData\iotedge\hsm\cert_keys

4. Hidupkan ulang IoT Edge.

   Restart-Service iotedge
   

Sertifikat server modul

Edge Daemon mengeluarkan server modul dan sertifikat identitas untuk digunakan oleh modul Edge. Tetap menjadi tanggung jawab modul Edge untuk memperbarui identitas dan sertifikat server mereka sesuai kebutuhan.

Perpanjangan

Sertifikat server dapat dikeluarkan dari sertifikat Edge CA atau melalui CA yang dikonfigurasi DPS. Terlepas dari metode penerbitan, sertifikat ini harus diperbarui oleh modul.

Perubahan di 1.2 dan yang lebih baru

• Sertifikat OS Perangkat diganti namanya menjadi sertifikat Edge CA.
• Sertifikat OS beban kerja tidak digunakan lagi. Sekarang manajer keamanan IoT Edge menghasilkan sertifikat server hub edgeHub IoT Edge langsung dari sertifikat Ca Edge, tanpa sertifikat OS beban kerja menengah di antara mereka.
• File konfigurasi default memiliki nama dan lokasi baru, dari /etc/iotedge/config.yaml ke /etc/aziot/config.toml secara default. Perintah iotedge config import dapat digunakan untuk membantu memigrasikan informasi konfigurasi dari lokasi dan sintaksis lama ke lokasi dan sintaksis baru.

Langkah berikutnya

Menginstal sertifikat pada perangkat IoT Edge adalah langkah yang diperlukan sebelum menyebarkan solusi Anda dalam produksi. Pelajari selengkapnya tentang cara Menyiapkan penyebaran solusi IoT Edge dalam produksi.