Skapa och etablera IoT Edge-enheter i stor skala i Linux med X.509-certifikat

Gäller för: IoT Edge 1.4

Viktigt!

IoT Edge 1.4 är den version som stöds. Om du har en tidigare version läser du Uppdatera IoT Edge.

Den här artikeln innehåller instruktioner från slutpunkt till slutpunkt för automatisk avetablering av en eller flera Linux IoT Edge-enheter med X.509-certifikat. Du kan automatiskt etablera Azure IoT Edge-enheter med Azure IoT Hub-enhetsetableringstjänsten (DPS). Om du inte känner till processen för automatisk avetablering läser du etableringsöversikten innan du fortsätter.

Uppgifterna är följande:

1. Generera certifikat och nycklar.
2. Skapa antingen en enskild registrering för en enskild enhet eller en gruppregistrering för en uppsättning enheter.
3. Installera IoT Edge-körningen och registrera enheten med IoT Hub.

Att använda X.509-certifikat som en attesteringsmekanism är ett utmärkt sätt att skala produktionen och förenkla enhetsetablering. Vanligtvis ordnas X.509-certifikat i en betrodd certifikatkedja. Från och med ett självsignerat eller betrott rotcertifikat signerar varje certifikat i kedjan nästa lägre certifikat. Det här mönstret skapar en delegerad förtroendekedja från rotcertifikatet nedåt via varje mellanliggande certifikat till det sista underordnade enhetscertifikatet som är installerat på en enhet.

Dricks

Om enheten har en maskinvarusäkerhetsmodul (HSM), till exempel TPM 2.0, rekommenderar vi att du lagrar X.509-nycklarna på ett säkert sätt i HSM. Läs mer om hur du implementerar zero-touch-etableringen i stor skala som beskrivs i den här skissenmed exemplet iotedge-tpm2cloud .

Förutsättningar

Molnresurser

• En aktiv IoT-hubb
• En instans av IoT Hub-enhetsetableringstjänsten i Azure, länkad till din IoT-hubb
  • Om du inte har någon instans av enhetsetableringstjänsten kan du följa anvisningarna i snabbstarten Skapa en ny IoT Hub-enhetsetableringstjänst och Länka IoT-hubben och enhetsetableringstjänsten i snabbstarten för enhetsetableringstjänsten i IoT Hub.
  • När du har kört enhetsetableringstjänsten kopierar du värdet för ID-omfånget från översiktssidan. Du använder det här värdet när du konfigurerar IoT Edge-körningen.

Enhetskrav

En fysisk eller virtuell Linux-enhet som ska vara IoT Edge-enheten.

Generera enhetsidentitetscertifikat

Enhetsidentitetscertifikatet är ett underordnat enhetscertifikat som ansluter via en certifikatkedja med förtroende till det översta certifikatutfärdarcertifikatet för X.509 (CA). Enhetsidentitetscertifikatet måste ha sitt gemensamma namn (CN) inställt på det enhets-ID som du vill att enheten ska ha i din IoT-hubb.

Enhetsidentitetscertifikat används endast för att etablera IoT Edge-enheten och autentisera enheten med Azure IoT Hub. De signerar inte certifikat, till skillnad från de CA-certifikat som IoT Edge-enheten presenterar för moduler eller underordnade enheter för verifiering. Mer information finns i Information om användning av Azure IoT Edge-certifikat.

När du har skapat enhetsidentitetscertifikatet bör du ha två filer: en .cer- eller .pem-fil som innehåller den offentliga delen av certifikatet och en .cer- eller .pem-fil med certifikatets privata nyckel. Om du planerar att använda gruppregistrering i DPS behöver du även den offentliga delen av ett mellanliggande certifikat eller rotcertifikatutfärdarcertifikat i samma förtroendekedja.

Du behöver följande filer för att konfigurera automatisk etablering med X.509:

• Enhetsidentitetscertifikatet och dess privata nyckelcertifikat. Enhetsidentitetscertifikatet laddas upp till DPS om du skapar en enskild registrering. Den privata nyckeln skickas till IoT Edge-körningen.
• Ett fullständigt kedjecertifikat som ska ha minst enhetsidentiteten och mellanliggande certifikat i det. Det fullständiga kedjecertifikatet skickas till IoT Edge-körningen.
• Ett mellanliggande certifikat eller rotcertifikatutfärdarcertifikat från certifikatkedjan för förtroende. Det här certifikatet laddas upp till DPS om du skapar en gruppregistrering.

Använda testcertifikat (valfritt)

Om du inte har någon certifikatutfärdare tillgänglig för att skapa nya identitetscertifikat och vill prova det här scenariot innehåller Azure IoT Edge git-lagringsplatsen skript som du kan använda för att generera testcertifikat. Dessa certifikat är endast utformade för utvecklingstestning och får inte användas i produktion.

Om du vill skapa testcertifikat följer du stegen i Skapa democertifikat för att testa IoT Edge-enhetsfunktioner. Slutför de två avsnitt som krävs för att konfigurera certifikatgenereringsskripten och skapa ett rotcertifikatutfärdarcertifikat. Följ sedan stegen för att skapa ett enhetsidentitetscertifikat. När du är klar bör du ha följande certifikatkedja och nyckelpar:

• <WRKDIR>/certs/iot-edge-device-identity-<name>-full-chain.cert.pem
• <WRKDIR>/private/iot-edge-device-identity-<name>.key.pem

Du behöver båda dessa certifikat på IoT Edge-enheten. Om du ska använda individuell registrering i DPS laddar du upp .cert.pem-filen. Om du ska använda gruppregistrering i DPS behöver du också ett mellanliggande certifikat eller rotcertifikatutfärdarcertifikat i samma certifikatkedja för att ladda upp. Om du använder democertifikat använder du certifikatet <WRKDIR>/certs/azure-iot-test-only.root.ca.cert.pem för gruppregistrering.

Skapa en DPS-registrering

Använd dina genererade certifikat och nycklar för att skapa en registrering i DPS för en eller flera IoT Edge-enheter.

Om du vill etablera en enda IoT Edge-enhet skapar du en enskild registrering. Om du behöver flera etablerade enheter följer du stegen för att skapa en DPS-gruppregistrering.

När du skapar en registrering i DPS har du möjlighet att deklarera ett initialt enhetstvillingtillstånd. I enhetstvillingen kan du ange taggar för att gruppera enheter efter mått som du behöver i din lösning, till exempel region, miljö, plats eller enhetstyp. Dessa taggar används för att skapa automatiska distributioner.

Mer information om registreringar i enhetsetableringstjänsten finns i Hantera enhetsregistreringar.

Individuell registrering

Skapa en individuell DPS-registrering

Enskilda registreringar tar den offentliga delen av en enhets identitetscertifikat och matchar det med certifikatet på enheten.

Dricks

Stegen i den här artikeln gäller för Azure-portalen, men du kan också skapa enskilda registreringar med hjälp av Azure CLI. Mer information finns i az iot dps-registrering. Som en del av CLI-kommandot använder du flaggan edge-aktiverad för att ange att registreringen är för en IoT Edge-enhet.

1. I Azure-portalen går du till din instans av IoT Hub-enhetsetableringstjänsten.

2. Under Inställningar väljer du Hantera registreringar.

3. Välj Lägg till enskild registrering och slutför sedan följande steg för att konfigurera registreringen:

   • Mekanism: Välj X.509.

   • Primär certifikat .pem eller .cer fil: Ladda upp den offentliga filen från enhetsidentitetscertifikatet. Om du använde skripten för att generera ett testcertifikat väljer du följande fil:

     <WRKDIR>\certs\iot-edge-device-identity-<name>.cert.pem

   • IoT Hub-enhets-ID: Ange ett ID för din enhet om du vill. Du kan använda enhets-ID:n för att rikta in dig på en enskild enhet för moduldistribution. Om du inte anger något enhets-ID används det gemensamma namnet (CN) i X.509-certifikatet.

   • IoT Edge-enhet: Välj Sant för att deklarera att registreringen gäller för en IoT Edge-enhet.

   • Välj de IoT-hubbar som den här enheten kan tilldelas till: Välj den länkade IoT-hubb som du vill ansluta enheten till. Du kan välja flera hubbar och enheten tilldelas till en av dem enligt den valda allokeringsprincipen.

   • Inledande enhetstvillingtillstånd: Lägg till ett taggvärde som ska läggas till i enhetstvillingen om du vill. Du kan använda taggar för att rikta in sig på grupper av enheter för automatisk distribution. Till exempel:

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. Välj Spara.

Under Hantera registreringar kan du se registrerings-ID :t för den registrering som du nyss skapade. Anteckna det eftersom det kan användas när du etablerar enheten.

Nu när det finns en registrering för den här enheten kan IoT Edge-körningen automatiskt etablera enheten under installationen.

Gruppregistrering

Skapa en DPS-gruppregistrering

Gruppregistreringar använder ett mellanliggande certifikat eller rotcertifikatutfärdarcertifikat från certifikatkedjan med förtroende som används för att generera enskilda enhetsidentitetscertifikat.

Verifiera rotcertifikatet

När du skapar en registreringsgrupp kan du använda ett verifierat certifikat. Du kan verifiera ett certifikat med DPS genom att bevisa att du har ägarskap för rotcertifikatet. Mer information finns i Så här gör du innehavsbevis för X.509 CA-certifikat.

1. I Azure-portalen går du till din instans av IoT Hub-enhetsetableringstjänsten.

2. Välj Certifikat på den vänstra menyn.

3. Välj Lägg till för att lägga till ett nytt certifikat.

4. Ange ett eget namn för certifikatet och bläddra sedan till filen .cer eller .pem som representerar den offentliga delen av X.509-certifikatet.

   Om du använder democertifikaten laddar du upp certifikatet <wrkdir>\certs\azure-iot-test-only.root.ca.cert.pem .

5. Välj Spara.

6. Certifikatet bör nu visas på sidan Certifikat . Välj den för att öppna certifikatinformationen.

7. Välj Generera verifieringskod och kopiera sedan den genererade koden.

8. Oavsett om du har tagit med ditt eget CA-certifikat eller använder democertifikaten kan du använda verifieringsverktyget som finns på IoT Edge-lagringsplatsen för att verifiera bevis på innehav. Verifieringsverktyget använder certifikatutfärdarcertifikatet för att signera ett nytt certifikat som har den angivna verifieringskoden som ämnesnamn.

   New-CACertsVerificationCert "<verification code>"
   

9. På samma informationssida för certifikat i Azure-portalen laddar du upp det nyligen genererade verifieringscertifikatet.

10. Välj Verify (Verifiera).

Skapa registreringsgrupp

Mer information om registreringar i enhetsetableringstjänsten finns i Hantera enhetsregistreringar.

Dricks

Stegen i den här artikeln gäller för Azure-portalen, men du kan också skapa gruppregistreringar med hjälp av Azure CLI. Mer information finns i az iot dps enrollment-group. Som en del av CLI-kommandot använder du flaggan edge-aktiverad för att ange att registreringen gäller för IoT Edge-enheter. För en gruppregistrering måste alla enheter vara IoT Edge-enheter eller så kan ingen av dem vara det.

1. I Azure-portalen går du till din instans av IoT Hub-enhetsetableringstjänsten.

2. Under Inställningar väljer du Hantera registreringar.

3. Välj Lägg till registreringsgrupp och slutför sedan följande steg för att konfigurera registreringen:

   • Gruppnamn: Ange ett minnesvärt namn för den här gruppregistreringen.

   • Attesteringstyp: Välj Certifikat.

   • IoT Edge-enhet: Välj Sant. För en gruppregistrering måste alla enheter vara IoT Edge-enheter eller så kan ingen av dem vara det.

   • Certifikattyp: Välj CA-certifikat.

   • Primärt certifikat: Välj ditt certifikat i listrutan.

   • Välj de IoT-hubbar som den här enheten kan tilldelas till: Välj den länkade IoT-hubb som du vill ansluta enheten till. Du kan välja flera hubbar och enheten tilldelas till en av dem enligt den valda allokeringsprincipen.

   • Inledande enhetstvillingtillstånd: Lägg till ett taggvärde som ska läggas till i enhetstvillingen om du vill. Du kan använda taggar för att rikta in sig på grupper av enheter för automatisk distribution. Till exempel:

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. Välj Spara.

Under Hantera registreringar kan du se registrerings-ID :t för den registrering som du nyss skapade. Anteckna det eftersom det kan användas när du etablerar dina enheter.

Nu när det finns en registrering för dessa enheter kan IoT Edge-körningen automatiskt etablera enheterna under installationen.

Installera IoT Edge

I det här avsnittet förbereder du din virtuella Linux-dator eller fysiska enhet för IoT Edge. Sedan installerar du IoT Edge.

Kör följande kommandon för att lägga till paketlagringsplatsen och lägg sedan till Signeringsnyckeln för Microsoft-paketet i listan över betrodda nycklar.

Viktigt!

Den 30 juni 2022 drogs Raspberry Pi OS Stretch tillbaka från supportlistan för operativsystemet på nivå 1. För att undvika potentiella säkerhetsrisker uppdaterar du värdoperativsystemet till Bullseye.

Ubuntu

Installationen kan utföras med några få kommandon. Öppna en terminal och kör följande kommandon:

• 22.04:

  wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

• 20.04:

  wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

Debian

Du kan installera med APT med några få kommandon. Öppna en terminal och kör följande kommandon:

• 11 - Bullseye (arm32v7):

  curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
  sudo apt install ./packages-microsoft-prod.deb
  

Dricks

Om du gav "rotkontot" ett lösenord under os-installationen behöver du inte sudo och kan köra kommandot ovan genom att börja med "apt".

Red Hat Enterprise Linux

Installationen kan utföras med några få kommandon. Öppna en terminal och kör följande kommandon:

• 9.x (amd64):

    wget https://packages.microsoft.com/config/rhel/9.0/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

• 8.x (amd64):

    wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

Ubuntu Core snappar

Du installerar IoT Edge-körning från snaplagringsplatsen i ett senare steg. Fortsätt till nästa avsnitt.

Mer information om operativsystemversioner finns i Plattformar som stöds av Azure IoT Edge.

Kommentar

Azure IoT Edge-programvarupaket omfattas av licensvillkoren som finns i varje paket (usr/share/doc/{package-name} eller LICENSE katalogen). Läs licensvillkoren innan du använder ett paket. Din installation och användning av ett paket utgör ditt godkännande av dessa villkor. Om du inte godkänner licensvillkoren ska du inte använda det paketet.

Installera en containermotor

Azure IoT Edge förlitar sig på en OCI-kompatibel containerkörning. För produktionsscenarier rekommenderar vi att du använder Moby-motorn. Moby-motorn är den enda containermotorn som officiellt stöds med IoT Edge. Docker CE/EE-containeravbildningar är kompatibla med Moby-körningen.

Ubuntu

Installera Moby-motorn.

sudo apt-get update; \
  sudo apt-get install moby-engine

Debian

Installera Moby-motorn.

sudo apt-get update; \
  sudo apt-get install moby-engine

Red Hat Enterprise Linux

Installera Moby-motorn och CLI.

sudo yum install moby-engine moby-cli

Dricks

Om du får fel när du installerar Moby-containermotorn kontrollerar du Linux-kerneln för Moby-kompatibilitet. Vissa inbäddade enhetstillverkare skickar enhetsavbildningar som innehåller anpassade Linux-kärnor utan de funktioner som krävs för containermotorns kompatibilitet. Kör följande kommando, som använder check-config-skriptet som tillhandahålls av Moby, för att kontrollera kernelkonfigurationen:

curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

Kontrollera att alla objekt under Generally Necessary och Network Drivers är aktiverade i skriptets utdata. Om du saknar funktioner aktiverar du dem genom att återskapa kerneln från källan och välja de associerade modulerna som ska ingå i lämplig kernelkonfiguration. På samma sätt, om du använder en kernelkonfigurationsgenerator som defconfig eller menuconfig, letar du upp och aktiverar respektive funktioner och återskapar kerneln i enlighet med detta. När du har distribuerat den nyligen ändrade kerneln kör du check-config-skriptet igen för att kontrollera att alla nödvändiga funktioner har aktiverats.

Ubuntu Core snappar

IoT Edge har beroenden för Docker och IoT Identity Service. Installera beroendena med hjälp av följande kommandon:

sudo snap install docker
sudo snap install azure-iot-identity

Som standard anger containermotorn inte storleksbegränsningar för containerloggar. Med tiden kan detta leda till att enheten fylls med loggar och att diskutrymmet börjar ta slut. Du kan dock konfigurera loggen så att den visas lokalt, även om den är valfri. Mer information om loggningskonfiguration finns i Checklista för produktionsdistribution.

Följande steg visar hur du konfigurerar containern så att den använder local loggningsdrivrutinen som loggningsmekanism.

Ubuntu/Debian/RHEL

1. Skapa eller redigera den befintliga Docker-daemonens konfigurationsfil

   sudo nano /etc/docker/daemon.json
   

2. Ange loggningsdrivrutinen som standard till local loggningsdrivrutinen enligt exemplet.

      {
         "log-driver": "local"
      }
   

3. Starta om containermotorn för att ändringarna ska börja gälla.

   sudo systemctl restart docker
   

Ubuntu Core snappar

För närvarande stöds inte inställningen för lokal loggningsdrivrutin för Docker-snapen.

Installera IoT Edge-körningen

IoT Edge-tjänsten tillhandahåller och upprätthåller säkerhetsstandarder på IoT Edge-enheten. Tjänsten startar vid varje start och startar enheten genom att starta resten av IoT Edge-körningen.

Kommentar

Från och med version 1.2 hanterar IoT-identitetstjänsten identitetsetablering och hantering för IoT Edge och för andra enhetskomponenter som behöver kommunicera med IoT Hub.

Stegen i det här avsnittet representerar den typiska processen för att installera den senaste IoT Edge-versionen på en enhet som har internetanslutning. Om du behöver installera en viss version, t.ex. en förhandsversion, eller om du behöver installera offline följer du installationsstegen offline eller specifik version senare i den här artikeln.

Dricks

Om du redan har en IoT Edge-enhet som kör en äldre version och vill uppgradera till den senaste versionen använder du stegen i Uppdatera IoT Edge-säkerhetsdaemonen och körningen. Senare versioner skiljer sig tillräckligt från tidigare versioner av IoT Edge för att specifika steg krävs för att uppgradera.

Ubuntu

Installera den senaste versionen av IoT Edge och IoT-identitetstjänstpaketet (om du inte redan är uppdaterad):

• 22.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge
  

• 20.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge defender-iot-micro-agent-edge
  

Det valfria defender-iot-micro-agent-edge paketet innehåller Microsoft Defender för IoT-säkerhetsmikroagenten som ger slutpunktssynlighet i hantering av säkerhetsstatus, sårbarheter, hotidentifiering, hantering av flottan med mera för att hjälpa dig att skydda dina IoT Edge-enheter. Vi rekommenderar att du installerar mikroagenten med Edge-agenten för att aktivera säkerhetsövervakning och härdning av dina Edge-enheter. Mer information om Microsoft Defender för IoT finns i Vad är Microsoft Defender för IoT för enhetsbyggare?

Debian

Installera den senaste versionen av IoT Edge och IoT-identitetstjänstpaketet (om du inte redan är uppdaterad):

sudo apt-get update; \
  sudo apt-get install aziot-edge defender-iot-micro-agent-edge

Det valfria defender-iot-micro-agent-edge-paketet innehåller Microsoft Defender for IoT-säkerhetsmikroagenten som ger slutpunktssynlighet i hantering av säkerhetsstatus, sårbarheter, hotidentifiering, hantering av flottan med mera för att skydda dina IoT Edge-enheter. Vi rekommenderar att du installerar mikroagenten med Edge-agenten för att aktivera säkerhetsövervakning och härdning av dina Edge-enheter. Mer information om Microsoft Defender för IoT finns i Vad är Microsoft Defender för IoT för enhetsbyggare?

Red Hat Enterprise Linux

Installera den senaste versionen av IoT Edge och IoT-identitetstjänstpaketet (om du inte redan är uppdaterad):

sudo yum install aziot-edge

Ubuntu Core snappar

Installera IoT Edge från snaplagringsplatsen:

sudo snap install azure-iot-edge

Anslut snaps

Som standard är snappar beroendefria, obetrodda och strikt begränsade. Därför måste fästen anslutas till andra fästen och systemresurser efter installationen. Använd följande kommandon för att ansluta IoT Identity Service och IoT Edge till varandra och till systemresurser. För att komma igång måste fästen vara manuellt anslutna. För produktionsdistributioner kan de konfigureras för att automatiskt ansluta för att minska etableringsarbetsbelastningen.

#------------------------
#  IoT Identity Service
#------------------------

# Connect the Identity Service snap to the logging system
# and grant permission to query system info

sudo snap connect azure-iot-identity:log-observe
sudo snap connect azure-iot-identity:mount-observe
sudo snap connect azure-iot-identity:system-observe
sudo snap connect azure-iot-identity:hostname-control

# If using a TPM, enable TPM access

sudo snap connect azure-iot-identity:tpm

#------------
#  IoT Edge
#------------

# Connect to your /home directory to enable writing support bundles

sudo snap connect azure-iot-edge:home

# Connect to logging and grant permission to query system info

sudo snap connect azure-iot-edge:log-observe
sudo snap connect azure-iot-edge:mount-observe
sudo snap connect azure-iot-edge:system-observe
sudo snap connect azure-iot-edge:hostname-control
# Allow IoT Edge to connect to the /var/run/iotedge folder and use sockets

sudo snap connect azure-iot-edge:run-iotedge

# Connect IoT Edge to Docker

sudo snap connect azure-iot-edge:docker docker:docker-daemon

Etablera enheten med dess molnidentitet

När körningen har installerats på enheten konfigurerar du enheten med den information den använder för att ansluta till enhetsetableringstjänsten och IoT Hub.

Ha följande information klar:

• DPS-ID-omfångsvärdet. Du kan hämta det här värdet från översiktssidan för din DPS-instans i Azure-portalen.
• Kedjefilen för enhetsidentitetscertifikat på enheten.
• Enhetens identitetsnyckelfil på enheten.

Skapa en konfigurationsfil för enheten baserat på en mallfil som tillhandahålls som en del av IoT Edge-installationen.

Ubuntu/Debian/RHEL

sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

Öppna konfigurationsfilen på IoT Edge-enheten.

sudo nano /etc/aziot/config.toml

Ubuntu Core snappar

Om du använder en snapinstallation av IoT Edge finns mallfilen på /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template. Skapa en kopia av mallfilen i din hemkatalog och ge den namnet config.toml. Till exempel:

cp /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template ~/config.toml

Öppna konfigurationsfilen i hemkatalogen på IoT Edge-enheten.

nano ~/config.toml

1. Leta reda på avsnittet Etablering i filen. Avkommentera raderna för DPS-etablering med X.509-certifikat och se till att andra etableringsrader kommenteras ut.

   # DPS provisioning with X.509 certificate
   [provisioning]
   source = "dps"
   global_endpoint = "https://global.azure-devices-provisioning.net"
   id_scope = "SCOPE_ID_HERE"
   
   # Uncomment to send a custom payload during DPS registration
   # payload = { uri = "PATH_TO_JSON_FILE" }
   
   [provisioning.attestation]
   method = "x509"
   registration_id = "REGISTRATION_ID_HERE"
   
   identity_cert = "DEVICE_IDENTITY_CERTIFICATE_HERE"
   
   identity_pk = "DEVICE_IDENTITY_PRIVATE_KEY_HERE"
   
   # auto_reprovisioning_mode = Dynamic
   

2. Uppdatera värdet id_scope för med det omfångs-ID som du kopierade från din instans av DPS.

3. Ange en registration_id för enheten, vilket är det ID som enheten har i IoT Hub. Registrerings-ID:t måste matcha det gemensamma namnet (CN) för identitetscertifikatet.

4. Uppdatera värdena identity_cert för och identity_pk med certifikatet och nyckelinformationen.

   Identitetscertifikatvärdet kan anges som en fil-URI eller kan utfärdas dynamiskt med HJÄLP av EST eller en lokal certifikatutfärdare. Avkommentar endast en rad, baserat på det format du väljer att använda.

   Värdet för den privata identitetsnyckeln kan anges som en fil-URI eller en PKCS#11-URI. Avkommentar endast en rad, baserat på det format du väljer att använda.

   Om du använder PKCS#11-URI:er hittar du avsnittet PKCS#11 i konfigurationsfilen och anger information om din PKCS#11-konfiguration.

   Mer information om certifikat finns i Hantera IoT Edge-certifikat.

   Mer information om konfigurationsinställningar för etablering finns i Konfigurera IoT Edge-enhetsinställningar.

5. Du kan också hitta avsnittet för automatisk ometableringsläge i filen. Använd parametern auto_reprovisioning_mode för att konfigurera enhetens återetableringsbeteende. Dynamisk – Återskapa när enheten upptäcker att den kan ha flyttats från en IoT Hub till en annan. Det här är standardinställningen. AlwaysOnStartup – Ometablering när enheten startas om eller en krasch gör att daemonerna startas om. OnErrorOnly – Utlös aldrig enhetens ometablering automatiskt. Varje läge har en implicit återställning av enhetsetablering om enheten inte kan ansluta till IoT Hub under identitetsetablering på grund av anslutningsfel. Mer information finns i Begrepp för ometablering av IoT Hub-enheter.

6. Du kan också avkommentera parametern payload för att ange sökvägen till en lokal JSON-fil. Innehållet i filen skickas till DPS som ytterligare data när enheten registreras. Detta är användbart för anpassad allokering. Om du till exempel vill allokera dina enheter baserat på ett IoT Plug and Play-modell-ID utan mänsklig inblandning.

7. Spara och stäng filen.

Tillämpa de konfigurationsändringar som du har gjort i IoT Edge.

Ubuntu/Debian/RHEL

sudo iotedge config apply

Ubuntu Core snappar

sudo snap set azure-iot-edge raw-config="$(cat ~/config.toml)"

Kontrollera att installationen har slutförts

Om körningen har startats kan du gå till din IoT Hub och börja distribuera IoT Edge-moduler till enheten.

Individuell registrering

Du kan kontrollera att den enskilda registreringen som du skapade i enhetsetableringstjänsten användes. Gå till instansen av enhetsetableringstjänsten i Azure-portalen. Öppna registreringsinformationen för den enskilda registrering som du skapade. Observera att statusen för registreringen har tilldelats och att enhets-ID:t visas.

Gruppregistrering

Du kan kontrollera att gruppregistreringen som du skapade i enhetsetableringstjänsten användes. Gå till instansen av enhetsetableringstjänsten i Azure-portalen. Öppna registreringsinformationen för den gruppregistrering som du skapade. Gå till fliken Registreringsposter för att visa alla enheter som är registrerade i gruppen.

Använd följande kommandon på enheten för att kontrollera att IoT Edge har installerats och startats.

Kontrollera status för IoT Edge-tjänsten.

sudo iotedge system status

Granska tjänstloggar.

sudo iotedge system logs

Visa en lista över moduler som körs.

sudo iotedge list

Nästa steg

Med registreringsprocessen för enhetsetableringstjänsten kan du ange taggar för enhets-ID och enhetstvilling samtidigt som du etablerar den nya enheten. Du kan använda dessa värden för att rikta in dig på enskilda enheter eller grupper av enheter med hjälp av automatisk enhetshantering. Lär dig hur du distribuerar och övervakar IoT Edge-moduler i stor skala med hjälp av Azure-portalen eller med Hjälp av Azure CLI.