Sdílet prostřednictvím


Vytváření a správa identit zařízení

Vytvořte pro své zařízení identitu zařízení pro připojení ke službě Azure IoT Hub. Tento článek představuje klíčové úlohy správy identity zařízení, včetně registrace zařízení, shromažďování informací o připojení a následného odstranění nebo zakázání zařízení na konci jeho životního cyklu.

Požadavky

  • Centrum IoT ve vašem předplatném Azure Pokud centrum ještě nemáte, můžete postupovat podle kroků v tématu Vytvoření centra IoT.

  • V závislosti na tom, který nástroj použijete, buď máte přístup k webu Azure Portal , nebo nainstalujte Azure CLI.

  • Pokud je vaše centrum IoT spravované pomocí řízení přístupu na základě role (RBAC), potřebujete oprávnění ke čtení, zápisu, odstranění zařízení nebo modulu pro kroky v tomto článku. Tato oprávnění jsou součástí role Přispěvatel registru služby IoT Hub.

Příprava certifikátů

Zařízení používají dva různé typy certifikátů pro připojení ke službě IoT Hub. Při přípravě zařízení se ujistěte, že jste před připojením vytvořili všechny správné certifikáty a přidali je do zařízení.

  • Veřejné kořenové certifikáty: Všechna zařízení potřebují kopii veřejných kořenových certifikátů, které služba IoT Hub, IoT Central a Služba Device Provisioning používají k autorizaci připojení.
  • Ověřovací certifikáty: Certifikáty X.509 jsou doporučenou metodou ověřování identity zařízení.

Požadované veřejné kořenové certifikáty

Zařízení Azure IoT používají protokol TLS k ověření pravosti centra IoT nebo koncového bodu DPS, ke kterému se připojují. Každé zařízení potřebuje kopii kořenového certifikátu, který používá IoT Hub a DPS. Ve svém úložišti důvěryhodných certifikátů doporučujeme, aby všechna zařízení obsahovala následující kořenové certifikační autority:

  • Globální certifikační autorita DigiCert G2
  • Kořenová certifikační autorita Microsoft RSA 2017

Další informace o doporučených postupech certifikátů služby IoT Hub najdete v tématu Podpora protokolu TLS.

Certifikáty pro ověřování

Pokud pro svá zařízení používáte ověřování certifikátů X.509, ujistěte se, že jsou certifikáty připravené před registrací zařízení:

  • V případě certifikátů podepsaných certifikační autoritou poskytuje kurz Vytvoření a nahrání certifikátů pro testování dobrý úvod k vytváření certifikátů podepsaných certifikační autoritou a jejich nahrání do IoT Hubu. Po dokončení tohoto kurzu jste připraveni zaregistrovat zařízení s ověřováním podepsaným certifikační autoritou X.509.

  • Pro certifikáty podepsané svým držitelem potřebujete na zařízení dva certifikáty zařízení (primární a sekundární certifikát) a kryptografické otisky pro nahrání do IoT Hubu. Jedním ze způsobů, jak načíst kryptografický otisk z certifikátu, je následující příkaz OpenSSL:

    openssl x509 -in <certificate filename>.pem -text -fingerprint
    

Registrace zařízení

V této části vytvoříte identitu zařízení v registru identit ve službě IoT Hub. Zařízení se nemůže připojit k centru, pokud nemá identitu zařízení.

V registru identit služby IoT Hub se uchovávají pouze identity zařízení za účelem bezpečného přístupu ke službě IoT Hub. Ukládají se zde ID zařízení a jejich klíče, které slouží jako zabezpečené přihlašovací údaje, a příznak povoleno/zakázáno, s jehož pomocí můžete zakázat přístup k jednotlivým zařízením.

Při registraci zařízení zvolíte jeho metodu ověřování. IoT Hub podporuje tři metody ověřování zařízení:

  • Symetrický klíč - Tato možnost je nejjednodušší pro scénáře rychlého startu.

    Když zaregistrujete zařízení, můžete zadat klíče nebo ioT Hub za vás vygeneruje klíče. Zařízení i centrum IoT mají kopii symetrického klíče, který je možné porovnat při připojení zařízení.

  • X.509 podepsané svým držitelem

    Pokud má vaše zařízení certifikát X.509 podepsaný svým držitelem, musíte ioT Hubu udělit verzi certifikátu pro ověření. Při registraci zařízení nahrajete kryptografický otisk certifikátu, což je hodnota hash certifikátu X.509 zařízení. Když se zařízení připojí, zobrazí svůj certifikát a centrum IoT ho může ověřit proti hodnotě hash, které zná. Další informace najdete v tématu Ověřování identit pomocí certifikátů X.509.

  • Pro produkční scénáře se doporučuje podepsat - certifikační autorita X.509.

    Pokud má vaše zařízení certifikát X.509 podepsaný certifikační autoritou, nahrajete kořenový nebo zprostředkující certifikát certifikační autority (CA) do podpisového řetězce do služby IoT Hub před registrací zařízení. Zařízení má certifikát X.509 s ověřenou certifikační autoritou X.509 ve svém řetězu certifikátů důvěryhodnosti. Když se zařízení připojí, zobrazí úplný řetěz certifikátů a Centrum IoT ho může ověřit, protože zná certifikační autoritu X.509. Více zařízení se může ověřit u stejné ověřené certifikační autority X.509. Další informace najdete v tématu Ověřování identit pomocí certifikátů X.509.

Přidání zařízení

vytvoření identity zařízení ve službě IoT Hub

  1. Na webu Azure Portal přejděte do svého centra IoT.

  2. Vyberte Zařízení pro správu>zařízení.

  3. Výběrem možnosti Přidat zařízení přidejte zařízení do centra IoT.

    Snímek obrazovky znázorňující přidání nového zařízení na webu Azure Portal

  4. V části Vytvoření zařízení zadejte informace o vaší nové identitě zařízení:

    Parametr Závislý parametr Hodnota
    ID zařízení Zadejte název nového zařízení.
    Typ ověřování Vyberte symetrický klíč, podepsaný svým držitelem X.509 nebo podepsaný certifikační autoritou X.509.
    Automatické generování klíčů V případě ověřování symetrickým klíčem zaškrtněte toto políčko, pokud chcete, aby služba IoT Hub vygenerovala klíče pro vaše zařízení. Nebo zrušte zaškrtnutí tohoto políčka a zadejte primární a sekundární klíče pro vaše zařízení.
    Primární kryptografický otisk a sekundární kryptografický otisk Pro ověřování podepsaným svým držitelem (self-signed authentication) X.509 zadejte hodnotu hash kryptografického otisku z primárních a sekundárních certifikátů zařízení.

    Důležité

    ID zařízení může být viditelné v protokolech shromažďovaných pro účely zákaznické podpory a řešení potíží. Proto jako název nepoužívejte citlivé údaje.

  5. Zvolte Uložit.

Načtení připojovacího řetězce zařízení

V případě ukázek a testovacích scénářů je nejběžnější metodou připojení použít ověřování symetrického klíče a připojit se k připojovací řetězec zařízení. Připojovací řetězec zařízení obsahuje název centra IoT, název zařízení a ověřovací informace o zařízení.

Informace o dalších metodách při připojování zařízení, zejména pro ověřování X.509, najdete v sadách SDK zařízení služby Azure IoT Hub.

Pomocí následujícího postupu načtěte připojovací řetězec zařízení.

Azure Portal poskytuje připojovací řetězec zařízení jenom pro zařízení, která používají ověřování symetrickým klíčem.

  1. Na webu Azure Portal přejděte do svého centra IoT.

  2. Vyberte Zařízení pro správu>zařízení.

  3. V podokně Zařízení vyberte své zařízení ze seznamu.

  4. Zkopírujte hodnotu primárního připojovací řetězec.

    Snímek obrazovky znázorňující zkopírování hodnoty primárního připojovací řetězec z webu Azure Portal

    Ve výchozím nastavení jsou klíče a připojovací řetězec maskované, protože se jedná o citlivé informace. Pokud kliknete na ikonu oka, objeví se. Není nutné je odhalit, aby je zkopírovaly tlačítkem pro kopírování.

Zařízení s ověřováním symetrickým klíčem mají připojovací řetězec zařízení s následujícím vzorem:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>

Zařízení s ověřováním X.509, podepsaným svým držitelem nebo certifikační autoritou, obvykle k ověřování nepoužívají připojovací řetězec zařízení. Když to dělají, jejich připojovací řetězec mají následující vzor:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true

Zakázání nebo odstranění zařízení

Pokud chcete zachovat zařízení v registru identit služby IoT Hub, ale chcete mu zabránit v připojení, můžete změnit jeho stav na zakázaný.

  1. Na webu Azure Portal přejděte do svého centra IoT.

  2. Vyberte Zařízení pro správu>zařízení.

  3. V podokně Zařízení vyberte své zařízení ze seznamu.

  4. Na stránce s podrobnostmi o zařízení můžete registraci zařízení zakázat nebo odstranit.

    • Pokud chcete zabránit připojení zařízení, nastavte parametr Povolit připojení ke službě IoT Hub na Hodnotu Zakázat.

      Snímek obrazovky znázorňující zakázání zařízení na webu Azure Portal

    • Pokud chcete zařízení z registru identit služby IoT Hub úplně odebrat, vyberte Odstranit.

      Snímek obrazovky znázorňující odstranění zařízení na webu Azure Portal

Další nástroje pro správu identit zařízení

Ke správě registru identit služby IoT Hub můžete použít jiné nástroje nebo rozhraní, včetně následujících: