Vytváření a správa identit zařízení

Vytvořte pro své zařízení identitu zařízení pro připojení ke službě Azure IoT Hub. Tento článek představuje klíčové úlohy správy identity zařízení, včetně registrace zařízení, shromažďování informací o připojení a následného odstranění nebo zakázání zařízení na konci jeho životního cyklu.

Požadavky

• Centrum IoT ve vašem předplatném Azure Pokud centrum ještě nemáte, můžete postupovat podle kroků v tématu Vytvoření centra IoT.

• V závislosti na tom, který nástroj použijete, buď máte přístup k webu Azure Portal , nebo nainstalujte Azure CLI.

• Pokud je vaše centrum IoT spravované pomocí řízení přístupu na základě role (RBAC), potřebujete oprávnění ke čtení, zápisu, odstranění zařízení nebo modulu pro kroky v tomto článku. Tato oprávnění jsou součástí role Přispěvatel registru služby IoT Hub.

Příprava certifikátů

Zařízení používají dva různé typy certifikátů pro připojení ke službě IoT Hub. Při přípravě zařízení se ujistěte, že jste před připojením vytvořili všechny správné certifikáty a přidali je do zařízení.

• Veřejné kořenové certifikáty: Všechna zařízení potřebují kopii veřejných kořenových certifikátů, které služba IoT Hub, IoT Central a Služba Device Provisioning používají k autorizaci připojení.
• Ověřovací certifikáty: Certifikáty X.509 jsou doporučenou metodou ověřování identity zařízení.

Požadované veřejné kořenové certifikáty

Zařízení Azure IoT používají protokol TLS k ověření pravosti centra IoT nebo koncového bodu DPS, ke kterému se připojují. Každé zařízení potřebuje kopii kořenového certifikátu, který používá IoT Hub a DPS. Ve svém úložišti důvěryhodných certifikátů doporučujeme, aby všechna zařízení obsahovala následující kořenové certifikační autority:

• Globální certifikační autorita DigiCert G2
• Kořenová certifikační autorita Microsoft RSA 2017

Další informace o doporučených postupech certifikátů služby IoT Hub najdete v tématu Podpora protokolu TLS.

Certifikáty pro ověřování

Pokud pro svá zařízení používáte ověřování certifikátů X.509, ujistěte se, že jsou certifikáty připravené před registrací zařízení:

• V případě certifikátů podepsaných certifikační autoritou poskytuje kurz Vytvoření a nahrání certifikátů pro testování dobrý úvod k vytváření certifikátů podepsaných certifikační autoritou a jejich nahrání do IoT Hubu. Po dokončení tohoto kurzu jste připraveni zaregistrovat zařízení s ověřováním podepsaným certifikační autoritou X.509.

• Pro certifikáty podepsané svým držitelem potřebujete na zařízení dva certifikáty zařízení (primární a sekundární certifikát) a kryptografické otisky pro nahrání do IoT Hubu. Jedním ze způsobů, jak načíst kryptografický otisk z certifikátu, je následující příkaz OpenSSL:

  openssl x509 -in <certificate filename>.pem -text -fingerprint
  

Registrace zařízení

V této části vytvoříte identitu zařízení v registru identit ve službě IoT Hub. Zařízení se nemůže připojit k centru, pokud nemá identitu zařízení.

V registru identit služby IoT Hub se uchovávají pouze identity zařízení za účelem bezpečného přístupu ke službě IoT Hub. Ukládají se zde ID zařízení a jejich klíče, které slouží jako zabezpečené přihlašovací údaje, a příznak povoleno/zakázáno, s jehož pomocí můžete zakázat přístup k jednotlivým zařízením.

Při registraci zařízení zvolíte jeho metodu ověřování. IoT Hub podporuje tři metody ověřování zařízení:

• Symetrický klíč - Tato možnost je nejjednodušší pro scénáře rychlého startu.

  Když zaregistrujete zařízení, můžete zadat klíče nebo ioT Hub za vás vygeneruje klíče. Zařízení i centrum IoT mají kopii symetrického klíče, který je možné porovnat při připojení zařízení.

• X.509 podepsané svým držitelem

  Pokud má vaše zařízení certifikát X.509 podepsaný svým držitelem, musíte ioT Hubu udělit verzi certifikátu pro ověření. Při registraci zařízení nahrajete kryptografický otisk certifikátu, což je hodnota hash certifikátu X.509 zařízení. Když se zařízení připojí, zobrazí svůj certifikát a centrum IoT ho může ověřit proti hodnotě hash, které zná. Další informace najdete v tématu Ověřování identit pomocí certifikátů X.509.

• Pro produkční scénáře se doporučuje podepsat - certifikační autorita X.509.

  Pokud má vaše zařízení certifikát X.509 podepsaný certifikační autoritou, nahrajete kořenový nebo zprostředkující certifikát certifikační autority (CA) do podpisového řetězce do služby IoT Hub před registrací zařízení. Zařízení má certifikát X.509 s ověřenou certifikační autoritou X.509 ve svém řetězu certifikátů důvěryhodnosti. Když se zařízení připojí, zobrazí úplný řetěz certifikátů a Centrum IoT ho může ověřit, protože zná certifikační autoritu X.509. Více zařízení se může ověřit u stejné ověřené certifikační autority X.509. Další informace najdete v tématu Ověřování identit pomocí certifikátů X.509.

Přidání zařízení

vytvoření identity zařízení ve službě IoT Hub

Azure Portal

1. Na webu Azure Portal přejděte do svého centra IoT.

2. Vyberte Zařízení pro správu>zařízení.

3. Výběrem možnosti Přidat zařízení přidejte zařízení do centra IoT.

   

4. V části Vytvoření zařízení zadejte informace o vaší nové identitě zařízení:

   Parametr	Závislý parametr	Hodnota
   ID zařízení		Zadejte název nového zařízení.
   Typ ověřování		Vyberte symetrický klíč, podepsaný svým držitelem X.509 nebo podepsaný certifikační autoritou X.509.
   	Automatické generování klíčů	V případě ověřování symetrickým klíčem zaškrtněte toto políčko, pokud chcete, aby služba IoT Hub vygenerovala klíče pro vaše zařízení. Nebo zrušte zaškrtnutí tohoto políčka a zadejte primární a sekundární klíče pro vaše zařízení.
   	Primární kryptografický otisk a sekundární kryptografický otisk	Pro ověřování podepsaným svým držitelem (self-signed authentication) X.509 zadejte hodnotu hash kryptografického otisku z primárních a sekundárních certifikátů zařízení.

   Důležité

   ID zařízení může být viditelné v protokolech shromažďovaných pro účely zákaznické podpory a řešení potíží. Proto jako název nepoužívejte citlivé údaje.

5. Zvolte Uložit.

Azure CLI

K registraci zařízení použijte příkaz az iot hub device-identity create.

Následující tabulka popisuje běžné parametry používané s tímto příkazem.

Parametr	Závislý parametr	Hodnota
--device-id, -d		Zadejte název nového zařízení.
--hub-name, -h		Název centra IoT nebo název hostitele
--auth-method, --am		Buď shared_private_key, x509_canebo x509_thumbprint
	--primary-key --pk a --secondary-key,--sk	Pokud chcete poskytnout primární a sekundární klíče pro vaše zařízení, použijte s ověřováním shared_private_key . Pokud chcete, aby IoT Hub vygeneroval klíče, vynecháte.
	--primary-thumbprint --ptp a --secondary-thumbprint,--stp	K poskytnutí kryptografických otisků primárního a sekundárního certifikátu pro vaše zařízení použijte ověřování x509_thumbprint . Pokud chcete, aby služba IoT Hub vygenerovala certifikát podepsaný svým držitelem a použila jeho kryptografický otisk, vynechejte ho.

Důležité

ID zařízení může být viditelné v protokolech shromažďovaných pro účely zákaznické podpory a řešení potíží. Proto jako název nepoužívejte citlivé údaje.

Načtení připojovacího řetězce zařízení

V případě ukázek a testovacích scénářů je nejběžnější metodou připojení použít ověřování symetrického klíče a připojit se k připojovací řetězec zařízení. Připojovací řetězec zařízení obsahuje název centra IoT, název zařízení a ověřovací informace o zařízení.

Informace o dalších metodách při připojování zařízení, zejména pro ověřování X.509, najdete v sadách SDK zařízení služby Azure IoT Hub.

Pomocí následujícího postupu načtěte připojovací řetězec zařízení.

Azure Portal

Azure Portal poskytuje připojovací řetězec zařízení jenom pro zařízení, která používají ověřování symetrickým klíčem.

1. Na webu Azure Portal přejděte do svého centra IoT.

2. Vyberte Zařízení pro správu>zařízení.

3. V podokně Zařízení vyberte své zařízení ze seznamu.

4. Zkopírujte hodnotu primárního připojovací řetězec.

   

   Ve výchozím nastavení jsou klíče a připojovací řetězec maskované, protože se jedná o citlivé informace. Pokud kliknete na ikonu oka, objeví se. Není nutné je odhalit, aby je zkopírovaly tlačítkem pro kopírování.

Azure CLI

Pomocí příkazu az iot hub device-identity connection-string show načtěte připojovací řetězec zařízení. Příklad:

az iot hub device-identity connection-string show --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

Zařízení s ověřováním symetrickým klíčem mají připojovací řetězec zařízení s následujícím vzorem:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>

Zařízení s ověřováním X.509, podepsaným svým držitelem nebo certifikační autoritou, obvykle k ověřování nepoužívají připojovací řetězec zařízení. Když to dělají, jejich připojovací řetězec mají následující vzor:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true

Zakázání nebo odstranění zařízení

Pokud chcete zachovat zařízení v registru identit služby IoT Hub, ale chcete mu zabránit v připojení, můžete změnit jeho stav na zakázaný.

Azure Portal

1. Na webu Azure Portal přejděte do svého centra IoT.

2. Vyberte Zařízení pro správu>zařízení.

3. V podokně Zařízení vyberte své zařízení ze seznamu.

4. Na stránce s podrobnostmi o zařízení můžete registraci zařízení zakázat nebo odstranit.

   • Pokud chcete zabránit připojení zařízení, nastavte parametr Povolit připojení ke službě IoT Hub na Hodnotu Zakázat.

     

   • Pokud chcete zařízení z registru identit služby IoT Hub úplně odebrat, vyberte Odstranit.

     

Azure CLI

Pokud chcete zařízení zakázat, použijte příkaz az iot hub device-identity update a změňte status zařízení. Příklad:

az iot hub device-identity update --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME> --set status=disabled

Pokud chcete odstranit zařízení, použijte příkaz az iot hub device-identity delete . Příklad:

az iot hub device-identity delete --device-id <DEVICE_NAME> --hub-name <IOT_HUB_NAME>

Další nástroje pro správu identit zařízení

Ke správě registru identit služby IoT Hub můžete použít jiné nástroje nebo rozhraní, včetně následujících:

• Příkazy PowerShellu: Informace o správě identit zařízení najdete v sadě příkazů Az.IotHub.

• Visual Studio Code: Rozšíření Azure IoT Hub pro Visual Studio Code zahrnuje funkce registru identit.

• REST API: Informace o správě identit zařízení najdete v rozhraních API služby IoT Hub.