Správa certifikátů IoT Edge

Platí pro: IoT Edge 1.1

Důležité

Datum ukončení podpory ioT Edge 1.1 bylo 13. prosince 2022. Informace o způsobu podpory tohoto produktu, služby, technologie nebo rozhraní API najdete v tématu věnovaném životnímu cyklu produktů Microsoftu. Další informace o aktualizaci na nejnovější verzi IoT Edge najdete v tématu Aktualizace IoT Edge.

Všechna zařízení IoT Edge k vytváření zabezpečených připojení mezi modulem runtime a všemi moduly spuštěnými na zařízení využívají certifikáty. Zařízení IoT Edge, která fungují jako brány, používají stejné certifikáty také pro připojení k podřízeným zařízením. Další informace o funkci různých certifikátů na zařízení IoT Edge najdete v tématu Vysvětlení, jak Azure IoT Edge používá certifikáty.

Poznámka:

Termín kořenová certifikační autorita použitá v tomto článku odkazuje na certifikát nejvyšší autority v řetězu certifikátů vašeho řešení IoT. Kořen certifikátu syndikované certifikační autority ani kořen certifikační autority vaší organizace nemusíte používat. V mnoha případech se jedná o zprostředkující certifikát certifikační autority.

Požadavky

• Principy používání certifikátů ve službě Azure IoT Edge

• Zařízení IoT Edge. Pokud nemáte nastavené zařízení IoT Edge, můžete ho vytvořit ve virtuálním počítači Azure. Postupujte podle kroků v jednom z článků rychlého startu k vytvoření virtuálního zařízení s Linuxem nebo vytvoření virtuálního zařízení s Windows.

• Možnost upravit konfigurační soubor config.toml IoT Edge podle šablony konfigurace

  • config.toml Pokud vaše šablona není založená na šabloně, otevřete ji a pomocí komentářů přidejte oddíly konfigurace za strukturou šablony.

  • Pokud máte novou instalaci IoT Edge, která nebyla nakonfigurována, zkopírujte šablonu, aby se inicializovala konfigurace. Tento příkaz nepoužívejte, pokud máte existující konfiguraci. Soubor přepíše.

    sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml
    

Certifikační autorita zařízení

Všechna zařízení IoT Edge k vytváření zabezpečených připojení mezi modulem runtime a všemi moduly spuštěnými na zařízení využívají certifikáty. Zařízení IoT Edge, která fungují jako brány, používají stejné certifikáty také pro připojení k podřízeným zařízením. Další informace o funkci různých certifikátů na zařízení IoT Edge najdete v tématu Vysvětlení, jak Azure IoT Edge používá certifikáty.

IoT Edge automaticky vygeneruje certifikační autoritu zařízení na zařízení v několika případech, včetně:

• Pokud při instalaci a zřízení Služby IoT Edge neposkytujete vlastní produkční certifikáty, správce zabezpečení IoT Edge automaticky vygeneruje certifikát certifikační autority zařízení. Tento certifikát podepsaný svým držitelem je určený jenom pro scénáře vývoje a testování, nikoli pro produkční prostředí. Platnost tohoto certifikátu vyprší po 90 dnech.
• Správce zabezpečení IoT Edge také vygeneruje certifikát certifikační autority úlohy podepsaný certifikátem certifikační autority zařízení.

U těchto dvou automaticky generovaných certifikátů máte možnost nastavit příznak v konfiguračním souboru, abyste nakonfigurovali počet dnů po dobu životnosti certifikátů.

Poznámka:

Existuje třetí automaticky vygenerovaný certifikát, který vytvoří správce zabezpečení IoT Edge, certifikát serveru centra IoT Edge. Tento certifikát má vždy 30denní životnost, ale před vypršením platnosti se automaticky obnoví. Hodnota životnosti automaticky generované certifikační autority nastavená v konfiguračním souboru nemá vliv na tento certifikát.

Přizpůsobení životnosti certifikátu certifikační autority zařízení pro rychlý start

Po uplynutí zadaného počtu dnů se musí IoT Edge restartovat, aby se znovu vygeneroval certifikát certifikační autority zařízení. Certifikát certifikační autority zařízení se neprodlouží automaticky.

Kontejnery Linuxu

1. Pokud chcete nakonfigurovat vypršení platnosti certifikátu na něco jiného, než je výchozí 90 dní, přidejte hodnotu ve dnech do oddílu certifikáty konfiguračního souboru.

   certificates:
     device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
     device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
     trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
     auto_generated_ca_lifetime_days: <value>
   

   Poznámka:

   V současné době omezení v libiothsm zabraňuje použití certifikátů, jejichž platnost vyprší 1. ledna 2038 nebo po 1. lednu 2038.

2. Odstraňte obsah hsm složky a odeberte všechny dříve vygenerované certifikáty.

   • /var/aziot/hsm/certs
   • /var/aziot/hsm/cert_keys

3. Restartujte službu IoT Edge.

   sudo systemctl restart iotedge
   

4. Potvrďte nastavení životnosti.

   sudo iotedge check --verbose
   

   Zkontrolujte výstup připravenosti na produkční prostředí: kontrola certifikátů , která uvádí počet dní, po který vyprší platnost automaticky vygenerovaných certifikátů certifikační autority zařízení.

Kontejnery Windows

1. Pokud chcete nakonfigurovat vypršení platnosti certifikátu na něco jiného, než je výchozí 90 dní, přidejte hodnotu ve dnech do oddílu certifikáty konfiguračního souboru.

   certificates:
     device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
     device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
     trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
     auto_generated_ca_lifetime_days: <value>
   

   Poznámka:

   V současné době omezení v libiothsm zabraňuje použití certifikátů, jejichž platnost vyprší 1. ledna 2038 nebo po 1. lednu 2038.

2. Odstraňte obsah hsm složky a odeberte všechny dříve vygenerované certifikáty.

   • C:\ProgramData\iotedge\hsm\certs
   • C:\ProgramData\iotedge\hsm\cert_keys

3. Restartujte službu IoT Edge.

   Restart-Service iotedge
   

4. Potvrďte nastavení životnosti.

   iotedge check --verbose
   

   Zkontrolujte výstup připravenosti na produkční prostředí: kontrola certifikátů , která uvádí počet dní, po který vyprší platnost automaticky vygenerovaných certifikátů certifikační autority zařízení.

Instalace certifikační autority zařízení pro produkční prostředí

Jakmile přejdete do produkčního scénáře nebo chcete vytvořit zařízení brány, musíte zadat vlastní certifikáty.

Vytvoření a instalace certifikační autority zařízení pro produkční prostředí

1. K vytvoření následujících souborů použijte vlastní certifikační autoritu:

   • Kořenová certifikační autorita
   • Certifikát certifikační autority zařízení
   • Privátní klíč certifikační autority zařízení

   Kořenová certifikační autorita není nejvyšší certifikační autoritou organizace. Je to nejvyšší certifikační autorita pro scénář IoT Edge, který modul centra IoT Edge, uživatelské moduly a všechna podřízená zařízení používají k navázání vztahu důvěryhodnosti mezi sebou.

   Pokud chcete zobrazit příklad těchto certifikátů, projděte si skripty, které vytvářejí ukázkové certifikáty ve správě certifikátů testovací certifikační autority pro ukázky a kurzy.

   Poznámka:

   V současné době omezení v libiothsm zabraňuje použití certifikátů, jejichž platnost vyprší 1. ledna 2038 nebo po 1. lednu 2038.

2. Zkopírujte tři soubory certifikátu a klíče do zařízení IoT Edge. K přesunutí souborů certifikátů můžete použít službu, jako je Azure Key Vault, nebo funkci, jako je protokol zabezpečeného kopírování. Pokud jste vygenerovali certifikáty na samotném zařízení IoT Edge, můžete tento krok přeskočit a použít cestu k pracovnímu adresáři.

   Tip

   Pokud jste k vytvoření ukázkových certifikátů použili ukázkové skripty, jsou tyto tři soubory certifikátů a klíčů umístěny na následujících cestách:

   • Certifikát certifikační autority zařízení: <WRKDIR>\certs\iot-edge-device-MyEdgeDeviceCA-full-chain.cert.pem
   • Privátní klíč certifikační autority zařízení: <WRKDIR>\private\iot-edge-device-MyEdgeDeviceCA.key.pem
   • Kořenová certifikační autorita: <WRKDIR>\certs\azure-iot-test-only.root.ca.cert.pem

Kontejnery Linuxu

1. Otevřete konfigurační soubor démona zabezpečení IoT Edge: /etc/iotedge/config.yaml

2. Nastavte vlastnosti certifikátu v souboru config.yaml na cestu identifikátoru URI souboru k souborům certifikátu a klíčů na zařízení IoT Edge. # Odeberte znak před vlastnostmi certifikátu a odkomentujte čtyři řádky. Ujistěte se, že certifikáty: řádek neobsahuje žádné předchozí prázdné znaky a že vnořené položky jsou odsazené dvěma mezerami. Příklad:

   certificates:
      device_ca_cert: "file:///<path>/<device CA cert>"
      device_ca_pk: "file:///<path>/<device CA key>"
      trusted_ca_certs: "file:///<path>/<root CA cert>"
   

3. Ujistěte se, že uživatel iotedge má oprávnění ke čtení a zápisu pro adresář obsahující certifikáty.

4. Pokud jste předtím na zařízení použili nějaké jiné certifikáty pro IoT Edge, odstraňte soubory v následujících dvou adresářích před spuštěním nebo restartováním IoT Edge:

   • /var/aziot/hsm/certs
   • /var/aziot/hsm/cert_keys

5. Restartujte IoT Edge.

   sudo iotedge system restart
   

Kontejnery Windows

1. Otevřete konfigurační soubor démona zabezpečení IoT Edge: C:\ProgramData\iotedge\config.yaml

2. Nastavte vlastnosti certifikátu v souboru config.yaml na cestu identifikátoru URI souboru k souborům certifikátu a klíčů na zařízení IoT Edge. # Odeberte znak před vlastnostmi certifikátu a odkomentujte čtyři řádky. Ujistěte se, že certifikáty: řádek neobsahuje žádné předchozí prázdné znaky a že vnořené položky jsou odsazené dvěma mezerami. Příklad:

   certificates:
      device_ca_cert: "file:///C:/<path>/<device CA cert>"
      device_ca_pk: "file:///C:/<path>/<device CA key>"
      trusted_ca_certs: "file:///C:/<path>/<root CA cert>"
   

3. Pokud jste předtím na zařízení použili nějaké jiné certifikáty pro IoT Edge, odstraňte soubory v následujících dvou adresářích před spuštěním nebo restartováním IoT Edge:

   • C:\ProgramData\iotedge\hsm\certs
   • C:\ProgramData\iotedge\hsm\cert_keys

4. Restartujte IoT Edge.

   Restart-Service iotedge
   

Certifikáty serveru modulů

Proces démon Edge vydává server modulů a certifikáty identit pro použití v modulech Edge. Moduly Edge zůstávají zodpovědností obnovit jejich identity a certifikáty serveru podle potřeby.

Prodloužení

Certifikáty serveru můžou být vydány z certifikátu certifikační autority Edge nebo prostřednictvím nakonfigurované certifikační autority DPS. Bez ohledu na metodu vystavování musí modul tyto certifikáty obnovit.

Změny ve verzi 1.2 a novější

• Certifikát certifikační autority zařízení se přejmenoval na certifikát certifikační autority Edge.
• Certifikát certifikační autority úlohy byl zastaralý. Správce zabezpečení IoT Edge teď vygeneruje certifikát serveru centra edgeHub IoT Edge přímo z certifikátu certifikační autority Edge bez certifikátu certifikační autority zprostředkující úlohy mezi nimi.
• Výchozí konfigurační soubor má ve výchozím nastavení nový název a umístění /etc/iotedge/config.yaml /etc/aziot/config.toml . Pomocí iotedge config import příkazu můžete migrovat informace o konfiguraci ze starého umístění a syntaxe do nového.

Další kroky

Instalace certifikátů na zařízení IoT Edge je nezbytný krok před nasazením řešení v produkčním prostředí. Přečtěte si další informace o tom, jak připravit nasazení řešení IoT Edge v produkčním prostředí.