共用方式為

使用 X.509 憑證在 Linux 上大規模地建立和佈建 IoT Edge 裝置

適用於:勾選圖示 IoT Edge 1.1

這很重要

IoT Edge 1.1 終止支援日期為 2022 年 12 月 13 日。 如需此產品、服務、技術或 API 的支援資訊,請參閱 Microsoft 產品生命週期。 如需更新至最新版 IoT Edge 的詳細資訊,請參閱 更新 IoT Edge

本文提供使用 X.509 憑證自動佈建一或多個 Linux IoT Edge 裝置的端對端指示。 您可以使用 Azure IoT 中樞裝置佈建服務 (DPS) 自動佈建 Azure IoT Edge 裝置。 如果您不熟悉自動佈建程序,請先檢閱佈建概觀,再繼續作業。

工作如下所示:

  1. 產生憑證和金鑰。
  2. 建立單一裝置的個別註冊或建立一組裝置的群組註冊
  3. 安裝 IoT Edge 執行階段,並使用 IoT 中樞來註冊裝置。

使用 X.509 憑證作為證明機制,是調整生產環境規模並簡化裝置佈建的絕佳方式。 X.509 憑證通常會配置在憑證信任鏈結中。 從自我簽署或受信任的根憑證開始,鏈結中的每個憑證都會簽署下一個較低的憑證。 此模式會建立委派的信任鏈,從根憑證經過每個中繼憑證,到達安裝在裝置上的最終目標裝置憑證。

小提示

如果您的裝置具有硬體安全模組 (HSM),例如 TPM 2.0,則建議您安全地將 X.509 金鑰儲存在 HSM 中。 深入了解如何使用此藍圖iotedge-tpm2cloud 範例,實作大規模零觸碰佈建。

先決條件

雲端資源

  • 正在運作的物聯網中樞
  • Azure 中的 IoT 中樞裝置佈建服務的實例,已連結到您的 IoT 中樞

裝置需求

要用作「IoT Edge 裝置」的實體或虛擬 Linux 裝置。

產生裝置身分識別憑證

裝置身分識別憑證是下游裝置憑證,可透過信任的憑證鏈結連線到最高 X.509 憑證授權單位 (CA) 憑證。 裝置身分識別憑證的通用名稱 (CN) 必須設定為您想要裝置在 IoT 中樞內擁有的裝置識別碼。

裝置身分識別憑證只能用於佈建 IoT Edge 裝置以及向 Azure IoT 中樞驗證裝置。 它們不是簽署憑證,而且與 IoT Edge 裝置向模組或下游裝置呈現以進行驗證的 CA 憑證不同。 如需詳細資訊,請參閱 Azure IoT Edge 憑證使用方式詳細資料

建立裝置身分識別憑證之後,您應該會有兩個檔案:包含憑證公開部分的 .cer 或 .pem 檔案,以及具有憑證私密金鑰的 .cer 或 .pem 檔案。 如果您打算在 DPS 中使用群組註冊,則還需要相同憑證信任鏈結內中繼憑證或根 CA 憑證的公開部分。

您需要下列檔案,才能設定使用 X.509 進行自動佈建:

  • 裝置身分識別憑證及其私密金鑰憑證。 如果您建立個別註冊,裝置身分識別憑證會上傳至 DPS。 私密金鑰會傳遞至 IoT Edge 執行階段。
  • 完整鏈結憑證,其中至少應具有裝置身分識別和中繼憑證。 完整鏈結憑證會傳遞至 IoT Edge 執行階段。
  • 來自憑證信任鏈結的中繼憑證或根 CA 憑證。 如果您建立群組註冊,則此憑證會上傳至 DPS。

備註

目前,由於 libiothsm 中的限制,無法使用在 2038 年 1 月 1 日或之後到期的憑證。

使用測試憑證 (選擇性)

如果您沒有可用來建立新身分識別憑證的憑證授權單位,卻又想要試用此案例,Azure IoT Edge git 存放庫中有包含可用來產生測試憑證的指令碼。 這些憑證僅設計來供您進行開發測試之用,不得用於生產環境。

若要建立測試憑證,請遵循建立示範憑證來測試 IoT Edge 裝置功能中的步驟。 完成兩個必要區段來設定憑證產生指令碼,以及建立根 CA 憑證。 然後,遵循步驟來建立裝置身分識別憑證。 完成後,您應該會有下列憑證鏈結和金鑰組:

  • <WRKDIR>/certs/iot-edge-device-identity-<name>-full-chain.cert.pem
  • <WRKDIR>/private/iot-edge-device-identity-<name>.key.pem

您的 IoT Edge 裝置上需要同時有這兩個憑證。 如果您要在 DPS 中使用個別註冊,則會上傳 .cert.pem 檔案。 如果您要在 DPS 中使用群組註冊,則還需要相同憑證信任鏈結內的中繼憑證或根 CA 憑證以供上傳。 如果您使用示範憑證,請在群組註冊中使用 <WRKDIR>/certs/azure-iot-test-only.root.ca.cert.pem 憑證。

建立 DPS 登記

使用您所產生的憑證和金鑰,以在 DPS 中為一或多個 IoT Edge 裝置建立註冊。

如果您想要佈建單一 IoT Edge 裝置,請建立個別註冊。 如果您需要佈建多個裝置,則請遵循建立 DPS「群組註冊」的步驟。

在 DPS 中建立註冊時,您就有機會宣告初始裝置雙向狀態。 在裝置對應項中,您可以根據解決方案中需要的任何計量 (例如區域、環境、位置或裝置類型) 來設定標記,進而將裝置分組。 這些標記會用來建立自動部署

如需裝置佈建服務中的註冊詳細資訊,請參閱如何管理裝置註冊

建立 DPS 個人註冊

個別註冊會採用裝置身分識別憑證的公開部分,並將這個部分與裝置上的憑證進行比對。

小提示

本文中的步驟適用於 Azure 入口網站,但您也可以使用 Azure CLI 建立個別註冊。 如需詳細資訊,請參閱 az iot dps 註冊。 CLI 命令中會使用「啟用 Edge」旗標來指定 IoT Edge 裝置的註冊。

  1. Azure 入口網站中,導航至您的 IoT 中心裝置佈建服務實例。

  2. 在 [設定] 下方,選取 [管理註冊]

  3. 選取 [新增個別註冊],然後完成下列步驟以設定註冊:

    • 機制:選取 [X.509]

    • 主要憑證 .pem 或 .cer 檔案:上傳裝置身分識別憑證中的公開檔案。 如果您使用指令碼來產生測試憑證,請選擇下列檔案:

      <WRKDIR>\certs\iot-edge-device-identity-<name>.cert.pem

    • IoT 中樞裝置識別碼:視需要提供裝置的識別碼。 您可以使用裝置識別碼,將個別裝置設為模組部署的目標。 如果您未提供裝置識別碼,則系統會使用 X.509 憑證中的通用名稱 (CN)。

    • IoT Edge 裝置:選取 [True] 以宣告註冊適用於 IoT Edge 裝置。

    • 選取可作為此裝置指派目標的 IoT 中樞:選擇您要將裝置連線到的已連結 IoT 中樞。 您可以選擇多個中樞,然後系統會根據所選取的配置原則,將裝置指派給其中一個中樞。

    • 初始裝置雙胞胎狀態:可選擇將標記值新增至裝置雙胞胎。 您可以使用標記,以將裝置群組設定為自動部署的目標。 例如:

      {
    "tags": {
       "environment": "test"
    },
    "properties": {
       "desired": {}
    }
}

  4. 選取 [儲存]。

管理註冊 下,您可以看到剛建立的註冊的 註冊識別碼。 記下此識別碼,以在佈建裝置時使用。

現在此裝置已有註冊,因此 IoT Edge 執行階段可以在安裝期間自動佈建此裝置。

安裝 IoT Edge

在本節中,您會準備適用於 IoT Edge 的 Linux VM 或實體裝置。 然後,您會安裝 IoT Edge。

執行下列命令以新增套件存放庫,然後將 Microsoft 套件簽署金鑰新增至信任金鑰的清單。

這很重要

在 2022 年 6 月 30 日,Raspberry Pi OS Stretch 從第 1 層作業系統支援清單中被淘汰。 若要避免潛在的安全性弱點,請將主機作業系統更新為 Bullseye。

您可以使用幾個命令來完成安裝。 開啟終端機,然後執行下列命令:

  • 20.04

    wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

  • 18.04

    wget https://packages.microsoft.com/config/ubuntu/18.04/multiarch/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

備註

使用 Azure IoT Edge 軟體套件時,必須遵守每個封裝中的授權條款 (usr/share/doc/{package-name}LICENSE 目錄)。 在使用套件之前,請先閱讀授權條款。 安裝及使用套件即表示接受這些授權條款。 如果您不同意授權條款,請勿使用該套件。

安裝容器引擎

Azure IoT Edge 依賴 OCI 相容的容器運行時間。 針對實際執行案例,建議使用 Moby 引擎。 Moby 引擎是IoT Edge正式支援的容器引擎。 Docker CE/EE 容器映像與 Moby 執行階段相容。

安裝 Moby 引擎。

sudo apt-get update; \
  sudo apt-get install moby-engine

成功安裝Moby引擎之後,請將它設定為使用 local 記錄驅動程式 作為記錄機制。 若要深入了解記錄設定,請參閱生產部署檢查清單

  • /etc/docker/daemon.json建立或開啟 Docker 精靈的組態檔。

  • 將默認記錄驅動程式設定為 local 記錄驅動程式,如下列範例所示。

       {
      "log-driver": "local"
   }

  • 重新啟動容器引擎,讓變更生效。

    sudo systemctl restart docker

    小提示

    如果您在安裝 Moby 容器引擎時發生錯誤,請確認您的 Linux 核心與 Moby 相容。 某些嵌入式裝置製造商會提供包含自訂 Linux 核心的裝置影像,而不需要容器引擎相容性所需的功能。 執行下列命令,此命令會使用 Moby 所提供的 檢查設定指令碼 來檢查您的核心設定:

    curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

    在指令碼的輸出中,檢查所有在Generally NecessaryNetwork Drivers 下的項目是否已啟用。 如果您缺少功能,請從原始碼重建核心,然後選取相關聯的模組以納入適當的核心 .config 來加以啟用。同樣地,如果您使用 defconfigmenuconfig 等核心設定產生器,請尋找並啟用個別的功能,並據此重建您的核心。 一旦您部署新修改過的核心之後,請再次執行檢查設定指令碼,以確認所有必要的功能都已成功啟用。

安裝 IoT Edge 執行階段

IoT Edge 安全性精靈會在IoT Edge裝置上提供和維護安全性標準。 守護程式會在每次開機時啟動,並透過啟動其他 IoT Edge 執行環境的部分來引導裝置。

本節中的步驟代表在具有因特網連線的裝置上安裝最新版本的一般程式。 如果您需要安裝特定版本,例如發行前版本,或需要在離線時安裝,請遵循本文稍後的離線或特定版本安裝步驟。

安裝 IoT Edge 1.1.* 版以及 libiothsm-std 套件:

sudo apt-get update; \
  sudo apt-get install iotedge

備註

IoT Edge 1.1 版是 IoT Edge 的長期支援分支。 如果您執行舊版,建議您安裝或更新至最新的修補程式,因為不再支援舊版。

使用雲端身分識別來配置裝置

在裝置上安裝執行階段之後,請使用用於連線至裝置佈建服務和 IoT 中樞的資訊來配置裝置。

請備妥下列資訊:

  • DPS 「識別碼範圍」值。 您可以在 Azure 入口網站中,從 DPS 執行個體的概觀頁面擷取此值。
  • 裝置上的裝置身分識別憑證鏈結檔案。
  • 裝置上的裝置身分識別金鑰檔案。

  1. 開啟 IoT Edge 裝置上的組態檔。

    sudo nano /etc/iotedge/config.yaml

  2. 尋找該檔案的佈建組態區段。 取消註解 DPS X.509 憑證布建的行,並確保其他布建行已被註解掉。

    provisioning: 一行應該沒有前面的空格符,而巢狀項目應該縮排兩個空格。

    # DPS X.509 provisioning configuration
provisioning:
  source: "dps"
  global_endpoint: "https://global.azure-devices-provisioning.net"
  scope_id: "SCOPE_ID_HERE"
  attestation:
    method: "x509"
#   registration_id: "OPTIONAL_REGISTRATION_ID_LEAVE_COMMENTED_OUT_TO_REGISTER_WITH_CN_OF_IDENTITY_CERT"
    identity_cert: "REQUIRED_URI_TO_DEVICE_IDENTITY_CERTIFICATE_HERE"
    identity_pk: "REQUIRED_URI_TO_DEVICE_IDENTITY_PRIVATE_KEY_HERE"

# always_reprovision_on_startup: true
# dynamic_reprovisioning: false

  3. 使用 DPS 和裝置資訊更新 scope_ididentity_certidentity_pk 的值。

    當您將 X.509 憑證和金鑰資訊新增至 config.yaml 檔案時,路徑應該以檔案 URI 的形式提供。 例如:

    file:///<path>/identity_certificate_chain.pem file:///<path>/identity_key.pem

  4. 或者,為裝置提供registration_id,這需要與身份憑證的一般名稱(CN)相符。 如果您將該行註解掉,則會自動套用 CN。

  5. 或者,使用 always_reprovision_on_startupdynamic_reprovisioning 行來設定裝置的重新部署行為。 如果裝置設定為在啟動時重新佈建,它一律會先嘗試使用 DPS 進行布建,然後在失敗時回復到布建備份。 如果裝置設定為動態重新布建本身,如果偵測到重新布建事件,IoT Edge (和所有模組)將會重新啟動並重新佈建,就像裝置從一個 IoT 中樞移至另一個 IoT 中樞一樣。 具體而言,IoT Edge 會檢查 SDK 中是否有 bad_credentialdevice_disabled 錯誤,以偵測重新佈建事件。 若要手動觸發此事件,請停用IoT中樞內的裝置。 如需詳細資訊,請參閱 IoT 中樞裝置重新佈建概念

  6. 儲存並關閉 config.yaml 檔案。

  7. 重新啟動 IoT Edge 執行階段,以便套用您在裝置上所做的所有組態變更。

    sudo systemctl restart iotedge

確認安裝成功

如果執行階段順利啟動,您可以移至 IoT 中樞,並開始將 IoT Edge 模組部署到您的裝置。

您可以驗證您在裝置佈建服務中所建立的單獨註冊是否已被使用。 請前往 Azure 入口中的您的裝置佈建服務實例。 開啟你創建的單筆註冊的註冊詳細資料。 請注意,註冊狀態是 [已指派],並且會列出裝置識別碼。

請在您的裝置上使用下列命令,確認 IoT Edge 已成功安裝並啟動。

檢查 IoT Edge 服務的狀態。

systemctl status iotedge

檢查服務記錄。

journalctl -u iotedge --no-pager --no-full

列出執行中的模組。

iotedge list

後續步驟

在佈建新裝置時,裝置佈建服務的註冊流程可讓您同步設定裝置 ID 和裝置雙胞標記。 您可以使用這些值來鎖定要使用自動裝置管理的個別裝置或裝置群組。 了解如何使用 Azure 入口網站大規模部署和監視 IoT Edge 模組,或使用 Azure CLI 執行相同作業。

  • Last updated on