Aracılığıyla paylaş

IoT Central'da cihaz kimlik doğrulaması kavramları

  • Makale

Bu makalede cihazların ioT Central uygulamasında nasıl kimlik doğrulaması oluşturduğunuzda açıklanmaktadır. Genel bağlantı işlemi hakkında daha fazla bilgi edinmek için bkz. cihaz Bağlan.

Cihazlar, paylaşılan erişim imzası (SAS) belirteci veya X.509 sertifikası kullanarak IoT Central uygulamasıyla kimlik doğrulaması yapar. X.509 sertifikaları üretim ortamlarında önerilir.

IoT Central uygulamanızdaki cihaz kimlik doğrulama seçeneklerini yönetmek için kayıt gruplarını kullanırsınız.

Bu makalede aşağıdaki cihaz kimlik doğrulaması seçenekleri açıklanmaktadır:

X.509 kayıt grubu

Üretim ortamında, IoT Central için önerilen cihaz kimlik doğrulama mekanizması X.509 sertifikalarını kullanmaktır. Daha fazla bilgi için bkz . X.509 CA Sertifikalarını kullanarak Cihaz Kimlik Doğrulaması.

X.509 kayıt grubu kök veya ara X.509 sertifikası içerir. Cihazlar kök veya ara sertifikadan türetilmiş geçerli bir yaprak sertifikaya sahipse kimlik doğrulaması yapabilir.

X.509 sertifikasına sahip bir cihazı uygulamanıza bağlamak için:

  1. Sertifikalar (X.509) kanıtlama türünü kullanan bir kayıt grubu oluşturun.
  2. Kayıt grubuna ara veya kök X.509 sertifikası ekleyin ve doğrulayın.
  3. Kayıt grubundaki kök veya ara sertifikadan yaprak sertifika oluşturun. Uygulamanıza bağlanırken kullanabilmesi için yaprak sertifikayı cihaza yükleyin.

Her kayıt grubu benzersiz bir X.509 sertifikası kullanmalıdır. IoT Central, birden çok kayıt grubunda aynı X.509 sertifikasının kullanılmasını desteklemez.

Daha fazla bilgi edinmek için bkz . Cihazları X.509 sertifikalarıyla bağlama.

Yalnızca test amacıyla

Üretim ortamında, sertifika sağlayıcınızdan gelen sertifikaları kullanın. Yalnızca test etmek için kök, ara ve cihaz sertifikaları oluşturmak için aşağıdaki yardımcı programları kullanabilirsiniz:

  • Azure IoT Cihazı Sağlama Cihazı SDK'sı araçları: X.509 sertifikalarını ve anahtarlarını oluşturmak ve doğrulamak için kullanabileceğiniz Node.js araçları koleksiyonu.
  • Örnekler ve öğreticiler için test CA sertifikalarını yönetme: PowerShell ve Bash betiklerinden oluşan bir koleksiyon:
    • Bir sertifika zinciri oluşturun.
    • Sertifikaları IoT Central uygulamanıza yüklemek için .cer dosyaları olarak kaydedin.
    • Doğrulama sertifikasını oluşturmak için IoT Central uygulamasındaki doğrulama kodunu kullanın.
    • Cihaz kimliklerinizi araç parametresi olarak kullanarak cihazlarınız için yaprak sertifikalar oluşturun.

SAS kayıt grubu

SAS kayıt grubu grup düzeyinde SAS anahtarları içerir. Cihazlar, grup düzeyinde sas anahtarından türetilmiş geçerli bir SAS belirtecine sahipse kimlik doğrulaması yapabilir.

Cihaz SAS belirteciyle bir cihazı uygulamanıza bağlamak için:

  1. Paylaşılan Erişim İmzası (SAS) kanıtlama türünü kullanan bir kayıt grubu oluşturun.

  2. Kayıt grubundan grup birincil veya ikincil anahtarını kopyalayın.

  3. Grup anahtarından bir cihaz belirteci oluşturmak için Azure CLI'yi kullanın:

    az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>

  4. Cihaz IoT Central uygulamanıza bağlandığında oluşturulan cihaz belirtecini kullanın.

Not

Kayıt gruplarınızda var olan SAS anahtarlarını kullanmak için Anahtarları otomatik olarak oluştur iki durumlu düğmesini devre dışı bırakın ve SAS anahtarlarınızı el ile girin.

Varsayılan SAS-IoT-Devices kayıt grubunu kullanırsanız, IoT Central sizin için tek tek cihaz anahtarlarını oluşturur. Bu tuşlara erişmek için cihaz ayrıntıları sayfasında Bağlan seçin. Bu sayfada, cihaz kodunuzda kullandığınız Kimlik Kapsamı, Cihaz Kimliği, Birincil anahtar ve İkincil anahtar görüntülenir. Bu sayfada aynı verileri içeren bir QR kodu da görüntülenir.

Bireysel kayıt

Cihazlar genellikle bir kayıt grubu X.509 sertifikasından veya SAS anahtarından türetilen kimlik bilgilerini kullanarak bağlanır. Ancak, cihazlarınızın her birinin kendi kimlik bilgileri varsa, bireysel kayıtları kullanabilirsiniz. Bireysel kayıt, tek bir cihazın bağlanmasına olanak sağlayan bir giriştir. Bireysel kayıtlar kanıtlama mekanizmaları olarak X.509 yaprak sertifikalarını veya SAS belirteçlerini (fiziksel veya sanal güvenilir platform modülünden) kullanabilir. Daha fazla bilgi için bkz . DPS bireysel kaydı.

Not

Bir cihaz için tek bir kayıt oluşturduğunuzda, ioT Central uygulamanızdaki varsayılan kayıt grubu seçeneklerinden önceliklidir.

Tek tek kayıtlar oluşturma

IoT Central, bireysel kayıtlar için aşağıdaki kanıtlama mekanizmalarını destekler:

  • Simetrik anahtar kanıtlama: Simetrik anahtar kanıtlama, DPS örneğiyle bir cihazın kimliğini doğrulamaya yönelik basit bir yaklaşımdır. Simetrik anahtarları kullanan tek bir kayıt oluşturmak için cihazın Cihaz bağlantısı sayfasını açın, kimlik doğrulama türü olarak Bireysel kayıt'ı ve kimlik doğrulama yöntemi olarak Paylaşılan erişim imzası (SAS) seçeneğini belirleyin. Base64 ile kodlanmış birincil ve ikincil anahtarları girin ve değişikliklerinizi kaydedin. Cihazınızı bağlamak için kimlik kapsamını, Cihaz Kimliğini ve birincil veya ikincil anahtarı kullanın.

    İpucu

    Test etmek için OpenSSL kullanarak base64 kodlanmış anahtarları oluşturabilirsiniz:openssl rand -base64 64

  • X.509 sertifikaları: X.509 sertifikalarıyla bireysel kayıt oluşturmak için Cihaz Bağlan ion sayfasını açın, kimlik doğrulama türü olarak Bireysel kayıt'ı ve kimlik doğrulama yöntemi olarak Sertifikalar'ı (X.509) seçin. Tek bir kayıt girişiyle kullanılan cihaz sertifikaları, verenin ve konu CN'sinin cihaz kimliğine ayarlanması gereksinimine sahiptir.

    İpucu

    Test etmek için, otomatik olarak imzalanan bir sertifika oluşturmak üzere Node.js için Azure IoT Cihaz Sağlama Cihaz SDK'sına yönelik Araçlar'ı kullanabilirsiniz:node create_test_cert.js device "mytestdevice"

  • Güvenilir Platform Modülü (TPM) kanıtlaması:TPM , bir donanım güvenlik modülü türüdür. TPM kullanmak, bir cihazı bağlamanın en güvenli yollarından biridir. Bu makalede ayrık, üretici yazılımı veya tümleşik TPM kullandığınız varsayılır. Yazılım öykünmüş TPM'ler prototip oluşturma veya test için çok uygundur, ancak ayrık, üretici yazılımı veya tümleşik TPM'lerle aynı güvenlik düzeyini sağlamaz. Üretimde yazılım TPM'lerini kullanmayın. TPM kullanan tek bir kayıt oluşturmak için Cihaz Bağlan ion sayfasını açın, kimlik doğrulama türü olarak Bireysel kayıt'ı ve kimlik doğrulama yöntemi olarak TPM'yi seçin. TPM onay anahtarını girin ve cihaz bağlantı bilgilerini kaydedin.

Cihazları otomatik olarak kaydetme

Bu senaryo, OEM'lerin ilk olarak bir uygulamaya kaydedilmeden bağlanabilen cihazları toplu olarak üretmesini sağlar. OEM uygun cihaz kimlik bilgileri oluşturur ve fabrikadaki cihazları yapılandırılır.

X.509 sertifikalarını kullanan cihazları otomatik olarak kaydetmek için:

  1. X.509 kayıt grubunuz için eklediğiniz kök veya ara sertifikayı kullanarak cihazlarınız için yaprak sertifikalar oluşturun. Yaprak sertifikalarda cihaz kimliklerini olarak CNAME kullanın. Cihaz kimliği harf, sayı ve - karakter içerebilir.

  2. OEM olarak her cihazı bir cihaz kimliği, oluşturulan bir X.509 yaprak sertifikası ve uygulama kimliği kapsam değeriyle yanıp söner. Cihaz kodu, uyguladığı cihaz modelinin model kimliğini de göndermelidir.

  3. Bir cihazı açtığınızda, ilk olarak IoT Central bağlantı bilgilerini almak için DPS'ye bağlanır.

  4. Cihaz, IoT Central uygulamanıza bağlanmak ve bu uygulamaya kaydolmak için DPS'deki bilgileri kullanır.

  5. IoT Central uygulaması, kayıtlı cihazı bir cihaz şablonuna atamak için cihaz tarafından gönderilen model kimliğini kullanır.

SAS belirteçleri kullanan cihazları otomatik olarak kaydetmek için:

  1. SAS-IoT-Devices kayıt grubundan grup birincil anahtarını kopyalayın:

    Screenshot that shows the group primary key from SAS IoT Devices enrollment group.

  2. az iot central device compute-device-key Komutunu kullanarak cihaz SAS anahtarlarını oluşturun. Önceki adımdaki grup birincil anahtarını kullanın. Cihaz kimliği harf, sayı ve - karakter içerebilir:

    az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>

  3. OEM olarak her cihazı cihaz kimliği, oluşturulan cihaz SAS anahtarı ve uygulama kimliği kapsam değeriyle yanıp söner. Cihaz kodu, uyguladığı cihaz modelinin model kimliğini de göndermelidir.

  4. Bir cihazı açtığınızda, ioT Central kayıt bilgilerini almak için ilk olarak DPS'ye bağlanır.

  5. Cihaz, IoT Central uygulamanıza bağlanmak ve bu uygulamaya kaydolmak için DPS'deki bilgileri kullanır.

  6. IoT Central uygulaması, kayıtlı cihazı bir cihaz şablonuna atamak için cihaz tarafından gönderilen model kimliğini kullanır.

Sonraki adımlar

Önerilen bazı sonraki adımlar şunlardır: