将 Azure IoT 与 Azure Sphere 配合使用
Azure Sphere 设备可以使用托管服务(如 Azure IoT 中心 和 Azure IoT Central)与 Azure IoT 通信。
开始之前
无论使用哪种服务,都必须具有 Azure 订阅。 如果组织没有订阅,你可以设置一个免费试用帐户。
重要
虽然可以免费创建 Azure 订阅,但注册过程要求提供信用卡号。
Azure IoT 中的 Azure Sphere 可见性
Azure IoT 接受来自 Azure Sphere 设备的数据的机制是将 Azure IoT 服务配置为信任 Azure Sphere 设备,将设备预配到 Azure IoT 服务,然后使用可信凭据连接到 Azure IoT 服务。 可将 Azure IoT 服务配置为接受 Azure Sphere 设备身份验证和证明(DAA)证书作为可信凭据。 使用此证书内置到设备的操作系统中,以便使用 Azure IoT C SDK 连接到 Azure IoT,但需要将 Azure IoT 服务配置为接受 Azure Sphere 目录证书,该证书是 DAA 证书链中的父证书。 或者,可以使用自定义设备证书链连接到 Azure IoT 服务。 使用 Azure Sphere DAA 证书的好处是,DAA 证书每天续订,并且存在有效的证书表示设备可信且已证明其真实且安全配置。 使用自定义设备证书进行连接时,这些授权保证不可用,需要独立管理。 对于具有用于 Azure IoT 的安全、法规或符合性保证所需的证书管理系统的组织,需要自定义证书,并且仅在需要时才应与 Azure Sphere 一起使用。
将 Azure IoT 与 Azure Sphere 证书配合使用
对 Azure Sphere 目录进行身份验证
拥有 Azure 订阅后,必须在 Azure Sphere 与 Azure IoT Central 应用程序或Azure IoT 中心实例之间建立信任。 只有从 Azure Sphere 安全服务下载证书颁发机构(CA)证书并使用 Azure IoT 中心 或 Azure IoT Central 生成的代码验证它,才能执行验证步骤。 验证过程对 Azure Sphere 目录进行身份验证。
Azure IoT 中心和 Azure IoT Central 的身份验证过程略有不同:
后续步骤
获得 Azure 订阅和经过验证的 CA 后,即可从 GitHub 运行 Azure IoT 示例应用程序,该应用程序连接到 Azure IoT Central 或Azure IoT 中心。
将 Azure IoT 与自定义证书配合使用
自定义证书使用情况的上下文
可以将自定义证书配置为使用 Azure IoT DPS、中心和 Central。 若要将自定义证书与 Azure Sphere 配合使用,需要按设备生成该证书,并将其提供给 Azure Sphere 设备。 Azure Sphere 提供了用于从各种源接收数据、存储数据和加密数据以用于获取这些证书的持久存储的选项。 在设备上出现后,Azure Sphere 应用程序可以将 Azure IoT C SDK 与 API 配合使用,将 Azure Sphere 身份验证替代到 Azure IoT 服务。
将 Azure Sphere 应用程序配置为使用自定义证书
使用 DPS 将 Azure Sphere 设备预配到其他 Azure IoT 服务时,Azure Sphere 应用程序需要使用从 Prov_Device_LL_Create 开始的 Azure IoT C SDK 创建 DPS 会话。 默认情况下,Azure Sphere 将利用其内部 DAA 证书进行 DPS 会话,因此需要额外的调用才能将自定义证书链传递到 Azure IoT C SDK,并使用 AzureIoT_OverrideAzureSphereAuthDPS替代 Azure Sphere 安全服务提供的内置证书。
若要连接到Azure IoT 中心,Azure IoT C SDK 中的不同调用用于开始会话,IoTHubDeviceClient_LL_CreateFromDeviceAuth。 与 DPS 类似,需要额外的调用才能将自定义证书链传递给 Azure IoT C SDK 来替代内置证书, AzureIoT_OverrideAzureSphereAuthIoTHub。 请注意,即使同时使用 DPS 和IoT 中心,也需要这两个替代,因为 Azure IoT C SDK 单独为 DPS 和 IoT 中心 组织,并且两个替代都需要使用相同的证书链调用。
关于 Azure IoT DPS
Azure IoT 中心设备预配服务(DPS)允许设备通过零接触预配注册到其他 Azure IoT 服务,例如IoT 中心和 Central。 这意味着,设备不需要为特定的 IoT 终结点硬编码,设备管理员不需要在物理邻近范围内,设备才能配置为连接到 Azure IoT 服务。 对于 Azure Sphere 设备,设备预配通常在产品制造或部署期间进行,其中设备声明为 Azure Sphere 安全服务目录以进行主动管理。 出于 Azure IoT 的目的,预配仅指授权访问 Azure IoT 资源,而不是授权访问设备的部署状态。 DPS 可配置为信任 Azure Sphere 目录下的所有设备,方法是注册目录中间证书,然后 DPS 可以每天授权设备,因为他们的 DAA 证书作为 Azure Sphere 信任续订的一部分进行续订,从而提供一种强大的保证,即已知已授权设备处于安全、良好、 和真正的状态。 通过 Azure Sphere 利用 DPS,可以更轻松地使用其他 Azure IoT 服务大规模部署设备。
详细了解 Azure IoT DPS
关于 Azure IoT 中心
Azure IoT 中心是一种托管服务,充当中心消息中心,用于 IoT 应用程序与所管理设备之间的双向通信。
Azure IoT 中心支持多种消息传送模式,例如设备到云遥测、从设备上传文件,以及从云控制设备的请求-回复方法。 此外,Azure IoT 中心监视通过跟踪设备创建、设备故障和设备连接等事件来帮助维护解决方案的运行状况。
详细了解 Azure IoT 中心
关于 Azure IoT Central
Azure IoT Central 是一种托管服务,用于简化 IoT 解决方案的创建过程。 Azure IoT Central 简化了 IoT 解决方案的初始设置,并减少了典型 IoT 项目的管理负担、运营成本和开销。