Zarządzanie certyfikatami IoT Edge

Dotyczy ikony: IoT Edge 1.1

Ważne

IoT Edge 1.1 data zakończenia wsparcia technicznego wynosiła 13 grudnia 2022 r. Zapoznaj się z cyklem życia produktów firmy Microsoft, aby uzyskać informacje na temat sposobu obsługi tego produktu lub interfejsu API albo tej usługi lub technologii. Aby uzyskać więcej informacji na temat aktualizowania do najnowszej wersji IoT Edge, zobacz Update IoT Edge.

Wszystkie urządzenia IoT Edge używają certyfikatów do tworzenia bezpiecznych połączeń między środowiskiem uruchomieniowym a dowolnymi modułami uruchomionymi na urządzeniu. IoT Edge urządzenia działające jako bramy używają tych samych certyfikatów do łączenia się z urządzeniami podrzędnymi. Aby uzyskać więcej informacji na temat funkcji różnych certyfikatów na urządzeniu IoT Edge, zobacz Omówienie sposobu korzystania z certyfikatów w usłudze Azure IoT Edge.

Uwaga

Termin główny urząd certyfikacji używany w tym artykule odnosi się do certyfikatu najwyższego urzędu w łańcuchu certyfikatów dla rozwiązania IoT. Nie musisz używać katalogu głównego certyfikatu syndyka urzędu certyfikacji ani katalogu głównego urzędu certyfikacji organizacji. W wielu przypadkach jest to certyfikat pośredniego urzędu certyfikacji.

Wymagania wstępne

• Dowiedz się, jak usługa Azure IoT Edge używa certyfikatów.

• Urządzenie IoT Edge. Jeśli nie masz skonfigurowanego urządzenia IoT Edge, możesz go utworzyć na maszynie wirtualnej platformy Azure. Wykonaj kroki opisane w jednym z artykułów szybkiego startu, aby utworzyć wirtualne urządzenie z systemem Linux lub utworzyć wirtualne urządzenie z systemem Windows.

• Możliwość edytowania pliku config.toml konfiguracji IoT Edge zgodnie z szablonem konfiguracji.

  • Jeśli nie opierasz config.toml się na szablonie, otwórz szablon i skorzystaj z komentarzy wskazówek, aby dodać sekcje konfiguracji zgodnie ze strukturą szablonu.

  • Jeśli masz nową instalację IoT Edge, która nie została skonfigurowana, skopiuj szablon, aby zainicjować konfigurację. Nie używaj tego polecenia, jeśli masz istniejącą konfigurację. Zastępuje plik.

    sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml
    

Urząd certyfikacji urządzenia

Wszystkie urządzenia IoT Edge używają certyfikatów do tworzenia bezpiecznych połączeń między środowiskiem uruchomieniowym a dowolnymi modułami uruchomionymi na urządzeniu. IoT Edge urządzenia działające jako bramy używają tych samych certyfikatów do łączenia się z urządzeniami podrzędnymi. Aby uzyskać więcej informacji na temat funkcji różnych certyfikatów na urządzeniu IoT Edge, zobacz Omówienie sposobu korzystania z certyfikatów w usłudze Azure IoT Edge.

IoT Edge automatycznie generuje urząd certyfikacji urządzenia na urządzeniu w kilku przypadkach, w tym:

• Jeśli nie podasz własnych certyfikatów produkcyjnych podczas instalowania i aprowizacji IoT Edge, menedżer zabezpieczeń IoT Edge automatycznie generuje certyfikat urzędu certyfikacji urządzenia. Ten certyfikat z podpisem własnym jest przeznaczony tylko dla scenariuszy programowania i testowania, a nie w środowisku produkcyjnym. Ten certyfikat wygasa po upływie 90 dni.
• Menedżer zabezpieczeń IoT Edge generuje również certyfikat urzędu certyfikacji obciążenia podpisany przez certyfikat urzędu certyfikacji urządzenia.

W przypadku tych dwóch automatycznie wygenerowanych certyfikatów można ustawić flagę w pliku konfiguracji, aby skonfigurować liczbę dni istnienia certyfikatów.

Uwaga

Istnieje trzeci automatycznie wygenerowany certyfikat tworzony przez menedżera zabezpieczeń IoT Edge, certyfikat serwera centrum IoT Edge. Ten certyfikat zawsze ma 30-dniowy okres istnienia, ale jest automatycznie odnawiany przed wygaśnięciem. Automatycznie wygenerowana wartość okresu istnienia urzędu certyfikacji ustawiona w pliku konfiguracji nie ma wpływu na ten certyfikat.

Dostosowywanie okresu istnienia certyfikatu urzędu certyfikacji urządzenia z przewodnikiem Szybki start

Po wygaśnięciu po określonej liczbie dni należy ponownie uruchomić IoT Edge w celu ponownego wygenerowania certyfikatu urzędu certyfikacji urządzenia. Certyfikat urzędu certyfikacji urządzenia nie jest odnawiany automatycznie.

Kontenery systemu Linux

1. Aby skonfigurować wygaśnięcie certyfikatu na wartość inną niż domyślna 90 dni, dodaj wartość w dniach do sekcji certyfikatów w pliku konfiguracji.

   certificates:
     device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
     device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
     trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
     auto_generated_ca_lifetime_days: <value>
   

   Uwaga

   Obecnie ograniczenie w programie libiothsm uniemożliwia korzystanie z certyfikatów, które wygasają 1 stycznia 2038 r. lub później.

2. Usuń zawartość folderu, hsm aby usunąć wszystkie wcześniej wygenerowane certyfikaty.

   • /var/aziot/hsm/certs
   • /var/aziot/hsm/cert_keys

3. Uruchom ponownie usługę IoT Edge.

   sudo systemctl restart iotedge
   

4. Potwierdź ustawienie okresu istnienia.

   sudo iotedge check --verbose
   

   Sprawdź dane wyjściowe gotowości produkcyjnej: sprawdzanie certyfikatów , które wyświetla liczbę dni do wygaśnięcia automatycznie wygenerowanych certyfikatów urzędu certyfikacji urządzenia.

Kontenery systemu Windows

1. Aby skonfigurować wygaśnięcie certyfikatu na wartość inną niż domyślna 90 dni, dodaj wartość w dniach do sekcji certyfikatów w pliku konfiguracji.

   certificates:
     device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
     device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
     trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
     auto_generated_ca_lifetime_days: <value>
   

   Uwaga

   Obecnie ograniczenie w programie libiothsm uniemożliwia korzystanie z certyfikatów, które wygasają 1 stycznia 2038 r. lub później.

2. Usuń zawartość folderu, hsm aby usunąć wszystkie wcześniej wygenerowane certyfikaty.

   • C:\ProgramData\iotedge\hsm\certs
   • C:\ProgramData\iotedge\hsm\cert_keys

3. Uruchom ponownie usługę IoT Edge.

   Restart-Service iotedge
   

4. Potwierdź ustawienie okresu istnienia.

   iotedge check --verbose
   

   Sprawdź dane wyjściowe gotowości produkcyjnej: sprawdzanie certyfikatów , które wyświetla liczbę dni do wygaśnięcia automatycznie wygenerowanych certyfikatów urzędu certyfikacji urządzenia.

Instalowanie urzędu certyfikacji urządzenia dla środowiska produkcyjnego

Po przejściu do scenariusza produkcyjnego lub utworzeniu urządzenia bramy należy podać własne certyfikaty.

Tworzenie i instalowanie urzędu certyfikacji urządzenia dla środowiska produkcyjnego

1. Użyj własnego urzędu certyfikacji, aby utworzyć następujące pliki:

   • Główny urząd certyfikacji
   • Certyfikat urzędu certyfikacji urządzenia
   • Klucz prywatny urzędu certyfikacji urządzenia

   Główny urząd certyfikacji nie jest najbardziej najwyższym urzędem certyfikacji dla organizacji. Jest to najwyższy urząd certyfikacji dla scenariusza IoT Edge, którego moduł centrum IoT Edge, moduły użytkownika i wszystkie urządzenia podrzędne używają do ustanawiania zaufania między sobą.

   Aby zapoznać się z przykładem tych certyfikatów, zapoznaj się ze skryptami, które tworzą certyfikaty demonstracyjne w temacie Zarządzanie certyfikatami testowego urzędu certyfikacji na potrzeby przykładów i samouczków.

   Uwaga

   Obecnie ograniczenie w programie libiothsm uniemożliwia korzystanie z certyfikatów, które wygasają 1 stycznia 2038 r. lub później.

2. Skopiuj trzy pliki certyfikatu i klucza na urządzenie IoT Edge. Aby przenieść pliki certyfikatów, możesz użyć usługi, takiej jak Azure Key Vault lub funkcji, takiej jak protokół Secure copy. Jeśli certyfikaty wygenerowano na urządzeniu IoT Edge, możesz pominąć ten krok i użyć ścieżki do katalogu roboczego.

   Porada

   Jeśli do tworzenia certyfikatów demonstracyjnych użyto przykładowych skryptów, trzy pliki certyfikatów i kluczy znajdują się w następujących ścieżkach:

   • Certyfikat urzędu certyfikacji urządzenia: <WRKDIR>\certs\iot-edge-device-MyEdgeDeviceCA-full-chain.cert.pem
   • Klucz prywatny urzędu certyfikacji urządzenia: <WRKDIR>\private\iot-edge-device-MyEdgeDeviceCA.key.pem
   • Główny urząd certyfikacji: <WRKDIR>\certs\azure-iot-test-only.root.ca.cert.pem

Kontenery systemu Linux

1. Otwórz plik konfiguracji demona zabezpieczeń IoT Edge:/etc/iotedge/config.yaml

2. Ustaw właściwości certyfikatu w pliku config.yaml na ścieżkę identyfikatora URI pliku do plików certyfikatu i kluczy na urządzeniu IoT Edge. # Usuń znak przed właściwościami certyfikatu, aby usunąć komentarz z czterech wierszy. Upewnij się, że certyfikaty: wiersz nie ma wcześniejszego odstępu i że zagnieżdżone elementy są wcięte przez dwie spacje. Przykład:

   certificates:
      device_ca_cert: "file:///<path>/<device CA cert>"
      device_ca_pk: "file:///<path>/<device CA key>"
      trusted_ca_certs: "file:///<path>/<root CA cert>"
   

3. Upewnij się, że użytkownik iotedge ma uprawnienia do odczytu/zapisu dla katalogu zawierającego certyfikaty.

4. Jeśli wcześniej użyto innych certyfikatów dla IoT Edge na urządzeniu, usuń pliki w następujących dwóch katalogach przed uruchomieniem lub ponownym uruchomieniem IoT Edge:

   • /var/aziot/hsm/certs
   • /var/aziot/hsm/cert_keys

5. Uruchom ponownie IoT Edge.

   sudo iotedge system restart
   

Kontenery systemu Windows

1. Otwórz plik konfiguracji demona zabezpieczeń IoT Edge:C:\ProgramData\iotedge\config.yaml

2. Ustaw właściwości certyfikatu w pliku config.yaml na ścieżkę identyfikatora URI pliku do plików certyfikatu i kluczy na urządzeniu IoT Edge. # Usuń znak przed właściwościami certyfikatu, aby usunąć komentarz z czterech wierszy. Upewnij się, że certyfikaty: wiersz nie ma wcześniejszego odstępu i że zagnieżdżone elementy są wcięte przez dwie spacje. Przykład:

   certificates:
      device_ca_cert: "file:///C:/<path>/<device CA cert>"
      device_ca_pk: "file:///C:/<path>/<device CA key>"
      trusted_ca_certs: "file:///C:/<path>/<root CA cert>"
   

3. Jeśli wcześniej użyto innych certyfikatów dla IoT Edge na urządzeniu, usuń pliki w następujących dwóch katalogach przed uruchomieniem lub ponownym uruchomieniem IoT Edge:

   • C:\ProgramData\iotedge\hsm\certs
   • C:\ProgramData\iotedge\hsm\cert_keys

4. Uruchom ponownie IoT Edge.

   Restart-Service iotedge
   

Certyfikaty serwera modułów

Demon usługi Edge wystawia certyfikaty serwera modułu i tożsamości do użycia przez moduły usługi Edge. W razie potrzeby moduły usługi Edge pozostają odpowiedzialne za odnawianie certyfikatów tożsamości i serwera.

Odnowienie

Certyfikaty serwera mogą być wystawiane poza certyfikatem urzędu certyfikacji usługi Edge lub za pośrednictwem urzędu certyfikacji skonfigurowanego przez usługę DPS. Niezależnie od metody wystawiania te certyfikaty muszą zostać odnowione przez moduł.

Zmiany w wersji 1.2 lub nowszej

• Nazwa certyfikatu urzędu certyfikacji urządzenia została zmieniona na certyfikat urzędu certyfikacji usługi Edge.
• Certyfikat urzędu certyfikacji obciążenia został uznany za przestarzały. Teraz menedżer zabezpieczeń IoT Edge generuje certyfikat serwera centrum edgeHub IoT Edge bezpośrednio z certyfikatu urzędu certyfikacji brzegowego bez certyfikatu pośredniego urzędu certyfikacji obciążenia między nimi.
• Domyślny plik konfiguracji ma domyślnie nową nazwę i lokalizację./etc/iotedge/config.yaml/etc/aziot/config.toml Polecenie iotedge config import może służyć do migrowania informacji o konfiguracji ze starej lokalizacji i składni do nowej.

Następne kroki

Instalowanie certyfikatów na urządzeniu IoT Edge jest krokiem niezbędnym przed wdrożeniem rozwiązania w środowisku produkcyjnym. Dowiedz się więcej o sposobie przygotowania do wdrożenia rozwiązania IoT Edge w środowisku produkcyjnym.