Поделиться через

Отключение или отмена устройства из службы подготовки устройств Центр Интернета вещей Azure

  • Статья

Правильное управление учетными данными устройства крайне важно для таких крупных систем, как решения Интернета вещей. Для таких систем мы рекомендуем иметь четкий план отмены доступа к устройствам, когда их учетные данные, например маркера SAS или сертификат X.509, скомпрометированы.

Регистрация в Службе подготовки устройств позволяет подготовить устройство. Подготовленное устройство было зарегистрировано в центре Интернета вещей. Оно может принимать состояние двойника устройства и начать передачу данных телеметрии.

В этой статье описывается, как отозвать устройство из экземпляра службы подготовки, предотвращая подготовку или повторную подготовку устройства в будущем. Отключение отдельной группы регистрации или регистрации не удаляет существующую регистрацию устройств из Центр Интернета вещей. Сведения о том, как отменить подготовку устройства, которое уже подготовлено в Центре Интернета вещей, см. в статье "Управление отменой подготовки".

Запрет устройства с помощью отдельной регистрации

Чтобы запретить подготовку устройства с помощью службы подготовки устройств, можно изменить состояние подготовки отдельного регистрации, чтобы предотвратить подготовку и повторное создание устройства. Эту возможность можно использовать, если устройство работает вне его обычных параметров или предполагается скомпрометироваться или как способ проверки механизма повтора подготовки устройств.

Если устройство, которое вы хотите запретить, было подготовлено через группу регистрации, ознакомьтесь с инструкциями по запрету определенных устройств из группы регистрации X.509.

Примечание.

Не забывайте учесть политики повтора, применяемые к устройствам, для которых вы отменяете доступ. Например, если для устройства применяется политика бесконечных повторов, оно будет постоянно выполнять попытки зарегистрироваться в службе подготовки. Эта ситуация использует ресурсы службы, такие как квоты операций службы, и, возможно, влияет на производительность.

  1. Войдите на портал Azure и перейдите к своему экземпляру службы подготовки устройств.

  2. Выберите " Управление регистрацией" и перейдите на вкладку "Отдельные регистрации ".

  3. Выберите запись регистрации устройства, которое вы хотите отключить.

  4. На странице сведений о регистрации un проверка поле "Включить эту регистрацию" в разделе "Состояние подготовки" и нажмите кнопку "Сохранить".

    Снимок экрана: отключение отдельной регистрации на портале.

Если устройство Интернета вещей находится в конце жизненного цикла устройства и больше не должно быть разрешено подготовить к решению Интернета вещей, регистрация устройства должна быть удалена из службы подготовки устройств:

  1. В службе подготовки выберите " Управление регистрацией" и перейдите на вкладку "Отдельные регистрации ".

  2. Установите флажок рядом с записью регистрации устройства, которое вы хотите отключить.

  3. Выберите Удалить в верхней части окна, а затем подтвердите удаление регистрации, выбрав ответ Да.

    Снимок экрана: удаление отдельной регистрации на портале.

Как запретить сертификат X.509 промежуточного или корневого центра сертификации с использованием группы регистраций

Сертификаты X.509 обычно организованы в цепочки доверия. В случае компрометации сертификата на любом этапе цепочки доверие будет нарушено. Сертификат нужно отключить для предотвращения подготовки устройств Службой подготовки устройств ниже по цепочке, которая содержит этот сертификат. Дополнительные сведения о сертификатах X.509 и их применении в службе подготовки вы найдете в статье о сертификатах X.509.

Группа регистраций представляет собой групповую запись для устройств с общим механизмом аттестации сертификатов X.509, подписанных одним и тем же промежуточным или корневым ЦС. Запись группы регистраций настроена с сертификатом X.509, связанным с промежуточным или корневым ЦС. Запись также настраивается и может иметь любые параметры конфигурации, например состояния двойника и подключения к Центру Интернета вещей, которые применяются для всех устройств, в цепочке сертификатов которых есть указанный в записи сертификат. Чтобы отключить такой сертификат, вы можете отключить или удалить соответствующую группу регистраций.

Чтобы отключить сертификат временно, можно отключить его группу регистрации:

  1. Войдите на портал Azure и перейдите к своему экземпляру службы подготовки устройств.

  2. В службе подготовки выберите Управление регистрациями, а затем — вкладку Группы регистрации.

  3. Выберите группу регистраций, использующую сертификат, который вы хотите отключить.

  4. На странице сведений о регистрации un проверка поле "Включить эту регистрацию" в разделе "Состояние подготовки" и нажмите кнопку "Сохранить".

    Отключение записи группы регистраций на портале

Чтобы навсегда отключить сертификат, можно удалить его группу регистраций:

  1. В службе подготовки выберите Управление регистрациями, а затем — вкладку Группы регистрации.

  2. Установите флажок рядом с группой регистраций сертификата, который вы хотите отключить.

  3. Выберите Удалить в верхней части окна, а затем подтвердите удаление группы регистраций, выбрав ответ Да.

    Удаление записи группы регистраций на портале

После завершения процедуры запись исчезнет из списка групп регистраций.

Примечание.

Удаление группы регистраций для сертификата не помешает устройствам с этим сертификатом подключаться к службе, если существует другая, активная группа регистраций для корневого или промежуточного сертификата, расположенного выше в цепочке сертификатов устройств.

Примечание.

Удаление группы регистрации не удаляет записи регистрации для устройств в группе. DPS использует записи регистрации для определения максимального количества регистраций для экземпляра DPS. Потерянные записи регистрации по-прежнему учитываются в этой квоте. Текущее максимальное количество регистраций, поддерживаемых для экземпляра DPS, см. в разделе "Квоты и ограничения".

Перед удалением самой группы регистрации может потребоваться удалить записи регистрации для группы регистрации. Записи регистрации для группы регистрации можно просматривать вручную на вкладке "Состояние регистрации" для группы в портал Azure. Записи регистрации можно получить и управлять ими программным способом с помощью REST API состояния регистрации устройства или эквивалентных API в пакетах SDK службы DPS или с помощью команд az iot dps регистрации группы регистрации Azure CLI.

Запретить определенные устройства из группы регистрации X.509

Если у вас есть устройство, подготовленное через группу регистрации, которую требуется отменить, это можно сделать, создав отключенную индивидуальную регистрацию только для этого устройства. Когда устройство подключается и проходит проверку подлинности с помощью службы подготовки устройств, служба сначала ищет отдельную регистрацию с соответствующим идентификатором регистрации. Только если для устройства не найдена отдельная регистрация, служба выполняет поиск групп регистрации.

Чтобы отключить индивидуальное устройство в группе регистраций, сделайте следующее:

  1. Войдите на портал Azure и перейдите к своему экземпляру службы подготовки устройств.

  2. В службе подготовки выберите " Управление регистрацией" и перейдите на вкладку "Отдельные регистрации ".

  3. Выберите " Добавить отдельную регистрацию".

  4. Выполните соответствующий шаг в зависимости от того, есть ли у вас сертификат устройства (конечной сущности).

    • Если у вас есть сертификат устройства, укажите следующие значения на странице добавления регистрации :

      Поле Description
      Механизм аттестации Выбор сертификатов клиента X.509
      Файл первичного сертификата Отправьте сертификат устройства. В качестве сертификата используйте подписанный сертификат конечного субъекта, установленный на устройстве. Устройство использует подписанный сертификат конечного субъекта для проверки подлинности.

    • Если у вас нет сертификата устройства, укажите следующие значения на странице добавления регистрации :

      Поле Description
      Механизм аттестации Выбор симметричного ключа
      Автоматическое создание симметричного ключа : убедитесь, что выбран этот проверка box. Ключи не имеют значения для этого сценария.
      Идентификатор регистрации. Если устройство уже подготовлено, используйте его Центр Интернета вещей идентификатор устройства. Это можно найти в записях регистрации группы регистрации или в Центре Интернета вещей, в который было подготовлено устройство. Если устройство еще не подготовлено, введите сертификат устройства CN. (В этом последнем случае вам не нужен сертификат устройства, но вам потребуется знать CN.)

  5. Прокрутите страницу "Добавление регистрации"проверка, а затем нажмите кнопку "Включить эту регистрацию" проверка box.

  6. Выберите Проверить и создать, а затем выберите Создать.

При успешном создании регистрации вы увидите отключенную регистрацию устройств, указанную на вкладке "Отдельные регистрации ".

Следующие шаги

Отзыв регистрации также является частью полного процесса отзыва. Отзыв устройства включает как отзыв регистрации из службы подготовки, так и отмену регистрации в Центре Интернета вещей. Сведения о полном процессе см. в статье "Как отменить подготовку устройств, которые были подготовлены ранее