IoT Edge sertifikalarını yönetme

Şunlar için geçerlidir: IoT Edge 1.1

Önemli

IoT Edge 1.1 destek sonu tarihi 13 Aralık 2022'ydi. Bu ürünün, hizmetin, teknolojinin veya API’nin nasıl desteklendiği hakkında bilgi edinmek için Microsoft Ürün Yaşam Döngüsü’ne göz atın. IoT Edge'in en son sürümüne güncelleştirme hakkında daha fazla bilgi için bkz . IoT Edge'i güncelleştirme.

Tüm IoT Edge cihazları çalışma zamanı ile cihazda çalışan modüller arasında güvenli bağlantılar oluşturmak için sertifikaları kullanır. Ağ geçidi olarak işlevli IoT Edge cihazları da aşağı akış cihazlarına bağlanmak için aynı sertifikaları kullanır. IoT Edge cihazındaki farklı sertifikaların işlevi hakkında daha fazla bilgi için bkz . Azure IoT Edge'in sertifikaları nasıl kullandığını anlama.

Not

Bu makalede kullanılan kök CA terimi, IoT çözümünüz için sertifika zincirinde en üstteki yetkilinin sertifikasını ifade eder. Bir dağıtım sertifika yetkilisinin sertifika kökünü veya kuruluşunuzun sertifika yetkilisinin kökünü kullanmanız gerekmez. Çoğu durumda, aslında bir ara CA sertifikasıdır.

Önkoşullar

• Azure IoT Edge'in sertifikaları nasıl kullandığını anlama.

• IoT Edge cihazı. Ayarlanmış bir IoT Edge cihazınız yoksa Azure sanal makinesinde bir cihaz oluşturabilirsiniz. Sanal Linux cihazı oluşturma veya Sanal Windows cihazı oluşturma için hızlı başlangıç makalelerinden birinde yer alan adımları izleyin.

• Yapılandırma şablonunun ardından IoT Edge yapılandırma dosyasını config.toml düzenleyebilme.

  • Şablonunuz config.toml şablonu temel almıyorsa, şablonu açın ve açıklamalı kılavuzu kullanarak şablonun yapısını izleyen yapılandırma bölümleri ekleyin.

  • Yapılandırılmamış yeni bir IoT Edge yüklemeniz varsa, yapılandırmayı başlatmak için şablonu kopyalayın. Mevcut bir yapılandırmanız varsa bu komutu kullanmayın. Dosyanın üzerine yazar.

    sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml
    

Cihaz CA

Tüm IoT Edge cihazları çalışma zamanı ile cihazda çalışan modüller arasında güvenli bağlantılar oluşturmak için sertifikaları kullanır. Ağ geçidi olarak işlevli IoT Edge cihazları da aşağı akış cihazlarına bağlanmak için aynı sertifikaları kullanır. IoT Edge cihazındaki farklı sertifikaların işlevi hakkında daha fazla bilgi için bkz . Azure IoT Edge'in sertifikaları nasıl kullandığını anlama.

IoT Edge, aşağıdakiler dahil olmak üzere çeşitli durumlarda cihazda otomatik olarak cihaz CA'sı oluşturur:

• IoT Edge'i yükleyip sağlarken kendi üretim sertifikalarınızı sağlamazsanız, IoT Edge güvenlik yöneticisi otomatik olarak bir cihaz CA sertifikası oluşturur. Otomatik olarak imzalanan bu sertifika, üretime değil yalnızca geliştirme ve test senaryolarına yöneliktir. Bu sertifikanın süresi 90 gün sonra dolar.
• IoT Edge güvenlik yöneticisi, cihaz CA sertifikası tarafından imzalanan bir iş yükü CA sertifikası da oluşturur.

Otomatik olarak oluşturulan bu iki sertifika için, sertifikaların ömrü için gün sayısını yapılandırmak üzere yapılandırma dosyasında bir bayrak ayarlama seçeneğiniz vardır.

Not

IoT Edge güvenlik yöneticisinin oluşturduğu üçüncü bir otomatik oluşturulan sertifika ( IoT Edge hub sunucu sertifikası) vardır. Bu sertifikanın her zaman 30 günlük ömrü vardır, ancak süresi dolmadan önce otomatik olarak yenilenir. Yapılandırma dosyasında ayarlanan otomatik oluşturulan CA yaşam süresi değeri bu sertifikayı etkilemez.

Hızlı başlangıç cihazı CA sertifika ömrünü özelleştirme

Belirtilen gün sayısından sonra süresi dolduktan sonra cihaz CA sertifikasını yeniden oluşturmak için IoT Edge'in yeniden başlatılması gerekir. Cihaz CA sertifikası otomatik olarak yenilenmez.

Linux kapsayıcıları

1. Sertifika süre sonunu varsayılan 90 gün dışında bir değerle yapılandırmak için yapılandırma dosyasının sertifikalar bölümüne gün olarak değerini ekleyin.

   certificates:
     device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
     device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
     trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
     auto_generated_ca_lifetime_days: <value>
   

   Not

   Şu anda libiothsm'deki bir sınırlama, 1 Ocak 2038 veya sonrasında süresi dolan sertifikaların kullanımını engelliyor.

2. Daha önce oluşturulan sertifikaları kaldırmak için klasörün içeriğini hsm silin.

   • /var/aziot/hsm/certs
   • /var/aziot/hsm/cert_keys

3. IoT Edge hizmetini yeniden başlatın.

   sudo systemctl restart iotedge
   

4. Yaşam süresi ayarını onaylayın.

   sudo iotedge check --verbose
   

   Otomatik olarak oluşturulan cihaz CA sertifikalarının süresi dolana kadar olan gün sayısını listeleyen üretim hazırlığı: sertifikalar denetiminin çıkışını denetleyin.

Windows kapsayıcıları

1. Sertifika süre sonunu varsayılan 90 gün dışında bir değerle yapılandırmak için yapılandırma dosyasının sertifikalar bölümüne gün olarak değerini ekleyin.

   certificates:
     device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
     device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
     trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
     auto_generated_ca_lifetime_days: <value>
   

   Not

   Şu anda libiothsm'deki bir sınırlama, 1 Ocak 2038 veya sonrasında süresi dolan sertifikaların kullanımını engelliyor.

2. Daha önce oluşturulan sertifikaları kaldırmak için klasörün içeriğini hsm silin.

   • C:\ProgramData\iotedge\hsm\certs
   • C:\ProgramData\iotedge\hsm\cert_keys

3. IoT Edge hizmetini yeniden başlatın.

   Restart-Service iotedge
   

4. Yaşam süresi ayarını onaylayın.

   iotedge check --verbose
   

   Otomatik olarak oluşturulan cihaz CA sertifikalarının süresi dolana kadar olan gün sayısını listeleyen üretim hazırlığı: sertifikalar denetiminin çıkışını denetleyin.

Üretim için cihaz CA'sını yükleme

Bir üretim senaryosuna geçtiğinizde veya ağ geçidi cihazı oluşturmak istediğinizde, kendi sertifikalarınızı sağlamanız gerekir.

Üretim için cihaz CA'sı oluşturma ve yükleme

1. Aşağıdaki dosyaları oluşturmak için kendi sertifika yetkilinizi kullanın:

   • Kök CA
   • Cihaz CA sertifikası
   • Cihaz CA özel anahtarı

   Kök CA , bir kuruluş için en üstteki sertifika yetkilisi değildir. IoT Edge hub modülü, kullanıcı modülleri ve aşağı akış cihazlarının birbirleriyle güven oluşturmak için kullandığı IoT Edge senaryosu için en üstteki sertifika yetkilisidir.

   Bu sertifikaların bir örneğini görmek için Örnekler ve öğreticiler için test CA sertifikalarını yönetme bölümünde demo sertifikaları oluşturan betikleri gözden geçirin.

   Not

   Şu anda libiothsm'deki bir sınırlama, 1 Ocak 2038 veya sonrasında süresi dolan sertifikaların kullanımını engelliyor.

2. Üç sertifikayı ve anahtar dosyasını IoT Edge cihazınıza kopyalayın. Sertifika dosyalarını taşımak için Azure Key Vault gibi bir hizmeti veya Güvenli kopyalama protokolü gibi bir işlevi kullanabilirsiniz. Sertifikaları IoT Edge cihazının kendisinde oluşturduysanız, bu adımı atlayabilir ve çalışma dizininin yolunu kullanabilirsiniz.

   İpucu

   Tanıtım sertifikaları oluşturmak için örnek betikleri kullandıysanız, üç sertifika ve anahtar dosyası aşağıdaki yollarda bulunur:

   • Cihaz CA sertifikası: <WRKDIR>\certs\iot-edge-device-MyEdgeDeviceCA-full-chain.cert.pem
   • Cihaz CA özel anahtarı: <WRKDIR>\private\iot-edge-device-MyEdgeDeviceCA.key.pem
   • Kök CA: <WRKDIR>\certs\azure-iot-test-only.root.ca.cert.pem

Linux kapsayıcıları

1. IoT Edge güvenlik daemon yapılandırma dosyasını açın: /etc/iotedge/config.yaml

2. config.yaml dosyasındaki sertifika özelliklerini, IoT Edge cihazındaki sertifika ve anahtar dosyaları için dosya URI yolu olarak ayarlayın. Dört satırın # açıklamasını kaldırmak için sertifika özelliklerinden önceki karakteri kaldırın. Sertifikalar: satırının önünde boşluk olmadığından ve iç içe öğelerin iki boşlukla girintili olduğundan emin olun. Örneğin:

   certificates:
      device_ca_cert: "file:///<path>/<device CA cert>"
      device_ca_pk: "file:///<path>/<device CA key>"
      trusted_ca_certs: "file:///<path>/<root CA cert>"
   

3. Kullanıcı iotedge'sinin sertifikaları barındıran dizin için okuma/yazma izinlerine sahip olduğundan emin olun.

4. Daha önce cihazda IoT Edge için başka sertifikalar kullandıysanız IoT Edge'i başlatmadan veya yeniden başlatmadan önce aşağıdaki iki dizindeki dosyaları silin:

   • /var/aziot/hsm/certs
   • /var/aziot/hsm/cert_keys

5. IoT Edge'i yeniden başlatın.

   sudo iotedge system restart
   

Windows kapsayıcıları

1. IoT Edge güvenlik daemon yapılandırma dosyasını açın: C:\ProgramData\iotedge\config.yaml

2. config.yaml dosyasındaki sertifika özelliklerini, IoT Edge cihazındaki sertifika ve anahtar dosyaları için dosya URI yolu olarak ayarlayın. Dört satırın # açıklamasını kaldırmak için sertifika özelliklerinden önceki karakteri kaldırın. Sertifikalar: satırının önünde boşluk olmadığından ve iç içe öğelerin iki boşlukla girintili olduğundan emin olun. Örneğin:

   certificates:
      device_ca_cert: "file:///C:/<path>/<device CA cert>"
      device_ca_pk: "file:///C:/<path>/<device CA key>"
      trusted_ca_certs: "file:///C:/<path>/<root CA cert>"
   

3. Daha önce cihazda IoT Edge için başka sertifikalar kullandıysanız IoT Edge'i başlatmadan veya yeniden başlatmadan önce aşağıdaki iki dizindeki dosyaları silin:

   • C:\ProgramData\iotedge\hsm\certs
   • C:\ProgramData\iotedge\hsm\cert_keys

4. IoT Edge'i yeniden başlatın.

   Restart-Service iotedge
   

Modül sunucusu sertifikaları

Edge Daemon, Edge modülleri tarafından kullanılmak üzere modül sunucusu ve kimlik sertifikaları sağlar. Gerektiğinde kimliklerini ve sunucu sertifikalarını yenilemek Edge modüllerinin sorumluluğundadır.

Yenileme

Sunucu sertifikaları Edge CA sertifikasından veya DPS tarafından yapılandırılmış bir CA aracılığıyla verilebilir. Verme yöntemi ne olursa olsun, bu sertifikaların modül tarafından yenilenmesi gerekir.

1.2 ve sonraki sürümlerdeki değişiklikler

• Cihaz CA sertifikası Edge CA sertifikası olarak yeniden adlandırıldı.
• İş yükü CA sertifikası kullanım dışı bırakıldı. IoT Edge güvenlik yöneticisi, ara iş yükü CA sertifikası olmadan IoT Edge hub edgeHub sunucu sertifikasını doğrudan Edge CA sertifikasından oluşturur.
• Varsayılan yapılandırma dosyasının adı ve konumu varsayılan olarak ile /etc/iotedge/config.yaml /etc/aziot/config.toml arasındadır. Komutu, iotedge config import yapılandırma bilgilerinin eski konumdan ve söz diziminden yenisine geçirilmesine yardımcı olmak için kullanılabilir.

Sonraki adımlar

IoT Edge cihazına sertifika yüklemek, çözümünüzü üretim ortamında dağıtmadan önce gerekli bir adımdır. IoT Edge çözümünüzü üretim ortamında dağıtmaya hazırlanma hakkında daha fazla bilgi edinin.