使用设备预配服务为 Azure Sphere 设置Azure IoT 中心

Azure IoT 中心设备预配服务 (DPS) 可以让任何在 Azure Sphere 目录中声明的设备在首次联机并使用 X.509 证书进行身份验证时连接到Azure IoT 中心实例。

开始之前

本部分中的步骤假定：

• Azure Sphere 设备通过 USB 连接到电脑。
• 你已创建Azure IoT 中心实例。

使用设备预配服务进行身份验证

按照以下步骤将设备配置为使用设备预配服务 (DPS) 进行身份验证。

重要

如果选择测试使用 DPS 的基于 Azure IoT 的应用程序，请注意，DPS 每 1000 个操作收取 0.123 美元;也就是说，每千个操作12.3美分。 我们预计应用于许多新订阅的免费额度将涵盖任何 DPS 费用，但我们建议你检查订阅协议的详细信息。 有关定价信息，请参阅Azure IoT 中心定价。

步骤 1. 创建新的Azure IoT 中心设备预配服务并将其链接到 Azure IoT 中心 实例

1. 登录到Azure 门户。
2. 创建设备预配服务。
3. 将现有Azure IoT 中心实例链接到 DPS。

步骤 2. 下载目录身份验证 CA 证书

1. 在命令提示符下，使用 Azure 登录名登录：

   az login
   

2. 下载 Azure Sphere 目录的目录 CA 证书。 此命令将证书下载到当前工作目录中名为 CAcertificate.cer 的文件。 确保将文件下载到具有写入权限的目录，否则下载操作将失败。 输出文件必须具有 .cer 扩展名。

   az sphere ca-certificate download --resource-group MyResourceGroup --catalog MyCatalog --output-file CACertificate.cer
   

步骤 3. 上传并证明拥有目录 CA 证书

将目录证书颁发机构 (CA) 证书上传到 DPS，然后自动或手动证明你拥有该证书。

1. 在 Azure 门户中，导航到创建的 DPS。
2. 在“设置”部分选择“证书”。
3. 选择“ 添加” 以添加新证书。
4. 在 “证书名称”中，输入证书的显示名称。
5. 在 证书 .pem 或 .cer 文件中，选择文件夹图标以选择在上一步中下载的证书文件。
6. 使用以下方法之一证明拥有 CA 证书：
   • 自动验证证书
   • 手动验证证书

自动验证证书

若要添加证书并自动验证证书， (证明拥有目录 CA 证书) ：

1. 在“添加证书”框中，检查“将证书状态设置为上传时验证”框。
2. 验证后，证书的状态在“证书”列表视图中更改为“已验证”。 如果状态未自动更新，请选择“ 刷新 ”。

接下来，继续 执行步骤 4：使用验证证书将设备添加到注册组。

手动验证证书

若要添加证书并手动验证证书， (证明拥有目录 CA 证书) ：

1. 从Azure 门户获取唯一的验证码。
2. 从 Azure CLI 下载证明你拥有目录 CA 证书的所有权证明证书。
3. 在Azure 门户上传已签名的验证证书。 该服务使用要验证的 CA 证书的公共部分验证验证证书，从而证明你拥有 CA 证书的私钥。

从Azure 门户获取唯一的验证码

1. 在 “添加证书” 边栏选项卡中选择证书后，将 “将证书状态设置为上传时验证 ”框保持未选中状态。 选择“ 保存”。

2. “ 证书 ”列表视图显示证书。 创建的证书 的状态 为 “未验证”。

   

3. 选择证书的名称以显示其详细信息。 在 “证书 ”边栏选项卡中，选择“ 生成验证码”。 将验证码复制到剪贴板，以便在下一步中使用。 (不要选择“ 验证 ”。)

   

下载证明你拥有目录 CA 证书的所有权证明证书

返回到 Azure CLI 并下载 Azure Sphere 目录的所有权证明证书。 使用验证码将证书生成为 X.509 .cer 文件。

az sphere ca-certificate download-proof --destination ValidationCertification.cer --verification-code <code>

上传已签名的验证证书

Azure Sphere 安全服务使用验证码对验证证书进行签名，以证明你拥有 CA。

1. 在 Azure 门户上的“证书”的“验证证书 .pem 或 .cer 文件”字段中，浏览以选择并上传已签名的验证证书。 证书位于调用下载命令的目录中。

2. 成功上传证书后，选择“ 验证”。

   

3. 验证后，证书的状态在“证书”列表视图中更改为“已验证”。 如果状态未自动更新，请选择“ 刷新 ”。

注意

每个 Azure Sphere 目录仅执行一次步骤 1-3。

步骤 4. 使用验证证书将设备添加到注册组

1. 在“设置”部分中，依次选择“管理注册”、“添加注册组”。

2. 在 “添加注册组 ”窗格中：

   • 输入注册组的名称。
   • 选择 “证书 ”作为 “证明类型 ”，选择“ CA 证书 ”作为 “证书类型”。
   • 从“ 主证书”的下拉列表中，选择在上一步中验证的证书。

3. 选择页面顶部的“ 保存 ”。 成功创建注册组后，应会看到组名称显示在“ 注册组 ”选项卡下。

后续步骤

完成这些步骤后，在Azure IoT 中心实例首次连接到设备时，所有声明到 Azure Sphere 目录中的设备都会自动注册。

现在可以按照特定于通过 DPS 进行连接的说明运行 Azure IoT 示例。

其他信息

若要使用直接身份验证而不是 DPS，请参阅 为 Azure Sphere 设置 IoT 中心。