Erstellen und Bereitstellen von IoT Edge-Geräten unter Windows mithilfe von X.509-Zertifikaten.

Gilt für: IoT Edge 1.1

Wichtig

IoT Edge 1.1 Ende des Supports war der 13. Dezember 2022. Informationen darüber, wie dieses Produkt, dieser Dienst, diese Technologie oder diese API unterstützt wird, finden Sie im Microsoft Produktlebenszyklus. Weitere Informationen zum Aktualisieren auf die neueste Version von IoT Edge finden Sie unter Update IoT Edge.

Dieser Artikel enthält End-to-End-Anweisungen für die automatische Bereitstellung eines oder mehrerer Windows IoT Edge-Geräte mit X.509-Zertifikaten. Sie können Azure loT Edge-Geräte mit dem Azure loT Hub-Device Provisioning Service (DPS) automatisch bereitstellen. Wenn Sie mit dem Prozess der automatischen Bereitstellung nicht vertraut sind, lesen Sie die Übersicht zur Bereitstellung, bevor Sie den Vorgang fortsetzen.

Hinweis

Azure IoT Edge mit Windows-Containern wird ab Version 1.2 von Azure IoT Edge nicht unterstützt.

Erwägen Sie die verwendung der neuen Methode zum Ausführen von IoT Edge auf Windows-Geräten, Azure IoT Edge für Linux unter Windows.

Wenn Sie Azure IoT Edge für Linux unter Windows verwenden möchten, können Sie die Schritte in der entsprechenden Anleitungausführen.

Die Aufgaben sind wie folgt:

1. Generieren Sie Zertifikate und Schlüssel.
2. Erstellen Sie entweder eine individuelle Registrierung für ein einzelnes Gerät oder eine Gruppenregistrierung für eine Gruppe von Geräten.
3. Installieren Sie die IoT Edge-Runtime, und registrieren Sie das Gerät bei IoT Hub.

Die Verwendung von X.509-Zertifikaten als Nachweismechanismus ist eine exzellente Möglichkeit, die Produktion zu skalieren und die Gerätebereitstellung zu vereinfachen. X.509-Zertifikate werden normalerweise in einer Zertifikatvertrauenskette angeordnet. Beginnend mit einem selbst signierten oder vertrauenswürdigen Stammzertifikat signiert jedes Zertifikat in der Kette das nächstniedrigere Zertifikat. Mit diesem Muster wird eine delegierte Vertrauenskette vom Stammzertifikat über jedes Zwischenzertifikat bis zum endgültigen Zertifikat für nachgeschaltete Geräte erstellt, das auf einem Gerät installiert ist.

Voraussetzungen

Cloudressourcen

• Ein aktiver IoT-Hub
• Eine Instanz des IoT Hub Device Provisioning Service (Gerätebereitstellungsdienst) in Azure, die mit Ihrem IoT-Hub verknüpft ist
  • Wenn Sie über keine Instanz des Device Provisioning Service verfügen, können Sie die Anweisungen in den Abschnitten Erstellen eines neuen IoT Hub Device Provisioning Service und Verknüpfen des IoT-Hubs und Ihres Gerätebereitstellungsdiensts der Schnellstartanleitung zum IoT Hub Device Provisioning Service befolgen.
  • Nachdem Sie den Device Provisioning-Dienst gestartet haben, kopieren Sie den Wert ID-Bereich von der Seite „Übersicht“. Sie können diesen Wert verwenden, wenn Sie IoT Edge-Runtime konfigurieren.

Geräteanforderungen

Ein physisches oder virtuelles Windows-Gerät, das das IoT Edge-Gerät sein soll.

Generieren von Geräteidentitätszertifikaten

Das Geräteidentitätszertifikat ist ein Zertifikat für nachgeschaltete Geräte, das über eine Zertifikatvertrauenskette mit dem obersten X.509-Zertifikat der Zertifizierungsstelle (Certificate Authority, CA) verbunden ist. Für das Geräteidentitätszertifikat muss der allgemeine Name (Common Name, CN) auf die Geräte-ID festgelegt sein, die das Gerät in Ihrem IoT-Hub haben soll.

Geräteidentitätszertifikate werden nur für die Bereitstellung des IoT Edge Geräts und die Authentifizierung des Geräts bei Azure IoT Hub verwendet. Im Gegensatz zu den CA-Zertifikaten, die das IoT Edge-Gerät Modulen oder nachgeschalteten Geräten zur Überprüfung vorlegt, dienen sie nicht als Signaturzertifikate. Weitere Informationen finden Sie unter Details zur Verwendung von Azure IoT Edge-Zertifikaten.

Nachdem Sie das Geräteidentitätszertifikat erstellt haben, sollten Sie zwei Dateien haben: eine CER- oder PEM-Datei, die den öffentlichen Teil des Zertifikats enthält, und eine CER- oder PEM-Datei mit dem privaten Schlüssel des Zertifikats. Wenn Sie die Gruppenregistrierung in DPS verwenden möchten, benötigen Sie außerdem den öffentlichen Teil eines Zwischenzertifikats oder Stammzertifikats in derselben Vertrauenskette von Zertifikaten.

Zum Einrichten der automatischen Bereitstellung mit X.509 benötigen Sie die folgenden Dateien:

• Das Geräteidentitätszertifikat und das zugehörige private Schlüsselzertifikat. Das Geräteidentitätszertifikat wird auf DPS hochgeladen, wenn Sie eine individuelle Registrierung erstellen. Der private Schlüssel wird an die IoT Edge-Runtime übermittelt.
• Ein vollständiges Kettenzertifikat, das mindestens die Geräteidentität und die Zwischenzertifikate enthalten sollte. Das vollständige Kettenzertifikat wird an die IoT Edge-Runtime übermittelt.
• Ein Zwischenzertifikat oder ein Zertifikat der Stammzertifizierungsstelle aus der Zertifikatvertrauenskette. Dieses Zertifikat wird auf DPS hochgeladen, wenn Sie eine Gruppenregistrierung erstellen.

Hinweis

Zurzeit verhindert eine Einschränkung in libiothsm die Verwendung von Zertifikaten, die am oder nach dem 1. Januar 2038 ablaufen.

Verwenden von Testzertifikaten (optional)

Wenn Sie über keine Zertifizierungsstelle zum Erstellen neuer Identitätszertifikate verfügen und dieses Szenario testen möchten, enthält das Git-Repository für Azure IoT Edge Skripts, mit denen Sie Testzertifikate generieren können. Diese Zertifikate sind nur für Entwicklungstests konzipiert und dürfen in der Produktionsumgebung nicht verwendet werden.

Führen Sie zum Erstellen von Testzertifikaten die Schritte in Erstellen von Demozertifikaten zum Testen der Features von IoT Edge-Geräten aus. Führen Sie die beiden erforderlichen Abschnitte aus, um die Skripts zur Zertifikatgenerierung einzurichten und ein Root-CA-Zertifikat zu erstellen. Führen Sie danach die Schritte zum Erstellen eines Geräteidentitätszertifikats aus. Wenn Sie sie abgeschlossen haben, sollten Sie über die folgende Zertifikatskette und das folgende Schlüsselpaar verfügen:

• <WRKDIR>\certs\iot-edge-device-identity-<name>-full-chain.cert.pem
• <WRKDIR>\private\iot-edge-device-identity-<name>.key.pem

Sie benötigen diese beiden Zertifikate auf dem IoT Edge-Gerät. Wenn Sie die individuelle Registrierung in DPS verwenden möchten, laden Sie die .cert.pem-Datei hoch. Wenn Sie die Gruppenregistrierung in DPS verwenden möchten, benötigen Sie in derselben Zertifikatvertrauenskette zum Hochladen außerdem ein Zwischenzertifikat oder ein Stammzertifikat der Zertifizierungsstelle. Wenn Sie Demozertifikate verwenden, nutzen Sie das <WRKDIR>\certs\azure-iot-test-only.root.ca.cert.pem-Zertifikat für die Gruppenregistrierung.

DPS-Anmeldung erstellen

Verwenden Sie Ihre generierten Zertifikate und Schlüssel, um in DPS eine Registrierung für ein oder mehrere IoT Edge-Geräte zu erstellen.

Wenn Sie ein einzelnes IoT Edge-Gerät bereitstellen möchten, erstellen Sie eine individuelle Registrierung. Wenn Sie mehrere Geräte bereitstellen müssen, führen Sie die Schritte zum Erstellen einer DPS-Gruppenregistrierung aus.

Wenn Sie eine Einschreibung im DPS vornehmen, haben Sie die Möglichkeit, einen anfänglichen Geräte-Zwilling-Status festzulegen. Im Gerätezwilling können Sie Tags zum Gruppieren von Geräten nach jeder beliebigen Metrik, die Sie in Ihrer Lösung benötigen, wie Region, Umgebung, Standort oder Gerätetyp, festlegen. Diese Tags werden zum Erstellen von automatischen Bereitstellungen verwendet.

Weitere Informationen zu Registrierungen im Device Provisioning Service finden Sie unter Verwalten von Geräteregistrierungen.

Individuelle Registrierung

Einen individuellen DPS-Antrag erstellen

Individuelle Registrierungen verwenden den öffentlichen Teil des Identitätszertifikats eines Geräts und gleichen es mit dem Zertifikat auf dem Gerät ab.

Tipp

Die Schritte in diesem Artikel gelten für das Azure-Portal. Sie können individuelle Registrierungen aber auch mithilfe der Azure CLI erstellen. Weitere Informationen finden Sie unter az iot dps-Registrierung. Verwenden Sie als Teil des CLI-Befehls das Flag edge-enabled (Edge-fähig), um anzugeben, dass die Registrierung für ein IoT Edge-Gerät gilt.

1. Navigieren Sie im Azure-Portal zu Ihrer Instanz des IoT Hub Device Provisioning Service.

2. Klicken Sie in Einstellungen auf Registrierungen verwalten.

3. Klicken Sie auf Individuelle Registrierung hinzufügen, und führen Sie dann die folgenden Schritte aus, um die Registrierung zu konfigurieren:

   • Mechanismus: Wählen Sie X.509 aus.

   • Primäre Zertifikatsdatei .pem oder .cer: Laden Sie die öffentliche Datei aus dem Geräteidentitätszertifikat hoch. Wenn Sie die Skripts zum Generieren eines Testzertifikats verwendet haben, wählen Sie die folgende Datei aus:

     <WRKDIR>\certs\iot-edge-device-identity-<name>.cert.pem

   • IoT Hub Device ID: Geben Sie bei Bedarf eine ID für Ihr Gerät an. Sie können mithilfe von Geräte-IDs ein einzelnes Gerät als Ziel für die Modulbereitstellung festlegen. Wenn Sie keine Geräte-ID angeben, wird der allgemeine Name (Common Name, CN) im X.509-Zertifikat verwendet.

   • IoT Edge-Gerät: Wählen Sie True aus, um zu deklarieren, dass die Registrierung für ein IoT Edge-Gerät gilt.

   • Wählen Sie die IoT-Hubs aus, denen dieses Gerät zugewiesen werden kann: Wählen Sie den verknüpften IoT-Hub aus, mit dem Sie Ihr Gerät verbinden möchten. Sie können mehrere Hubs auswählen, und das Gerät wird dann je nach gewählter Zuteilungsrichtlinie einem dieser Hubs zugewiesen.

   • Initial Device Twin State: Fügen Sie einen Tagwert hinzu, der dem Gerätezwilling hinzugefügt werden soll, falls gewünscht. Mithilfe von Tags können Sie Gruppen von Geräten als Ziel für die automatische Bereitstellung festlegen. Beispiel:

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. Wählen Sie Speichern aus.

Unter Registrierungen verwalten wird die Registrierungs-ID für die Registrierung angezeigt, die Sie gerade erstellt haben. Merken Sie sich das, da es bei der Bereitstellung Ihres Geräts verwendet werden kann.

Nachdem nun eine Registrierung für dieses Gerät vorhanden ist, kann die IoT Edge-Runtime das Gerät während der Installation automatisch bereitstellen.

Gruppenregistrierung

Erstellen einer DPS-Gruppenregistrierung

Bei Gruppenregistrierungen wird ein Zwischenzertifikat oder ein Stammzertifikat der Zertifizierungsstelle aus der Zertifikatvertrauenskette verwendet, die genutzt wird, um die individuellen Geräteidentitätszertifikate zu generieren.

Überprüfen Ihres Stammzertifikats

Wenn Sie eine Registrierungsgruppe erstellen, haben Sie die Möglichkeit, ein überprüftes Zertifikat zu verwenden. Sie können ein Zertifikat mit DPS überprüfen, indem Sie den Besitz des Stammzertifikats nachweisen. Weitere Informationen finden Sie unter So führen Sie einen Besitznachweis für X.509-Zertifizierungsstellenzertifikate durch.

1. Navigieren Sie im Azure-Portal zu Ihrer Instanz des IoT Hub Device Provisioning Service.

2. Wählen Sie im Menü auf der linken Seite Zertifikate aus.

3. Wählen Sie Hinzufügen aus, um ein neues Zertifikat hinzuzufügen.

4. Geben Sie einen freundlichen Namen für Ihr Zertifikat ein und navigieren Sie zur .cer- oder .pem-Datei, die den öffentlichen Teil Ihres X.509-Zertifikats darstellt.

   Wenn Sie die Demozertifikate verwenden, laden Sie das Zertifikat <wrkdir>\certs\azure-iot-test-only.root.ca.cert.pem hoch.

5. Wählen Sie Speichern aus.

6. Ihr Zertifikat sollte nun auf der Seite Zertifikate aufgeführt werden. Wählen Sie es aus, um die Zertifikatdetails zu öffnen.

7. Wählen Sie Prüfcode generieren aus, und kopieren Sie den generierten Code.

8. Unabhängig davon, ob Sie Ihr eigenes Zertifizierungsstellenzertifikat verwendet haben oder die Demozertifikate verwenden, können Sie das Überprüfungstool aus dem IoT Edge-Repository verwenden, um den Nachweis des Besitzes zu überprüfen. Das Überprüfungstool verwendet Ihr CA-Zertifikat, um ein neues Zertifikat zu signieren, das den bereitgestellten Verifizierungscode als Betreffname hat.

   New-CACertsVerificationCert "<verification code>"
   

9. Laden Sie im Azure-Portal auf derselben Seite „Zertifikatdetails“ das neu generierte Verifizierungszertifikat hoch.

10. Wählen Sie Überprüfen aus.

Erstellen einer Registrierungsgruppe

Weitere Informationen zu Registrierungen im Device Provisioning Service finden Sie unter Verwalten von Geräteregistrierungen.

Tipp

Die Schritte in diesem Artikel gelten für das Azure-Portal. Sie können Gruppenregistrierungen aber auch mithilfe der Azure CLI erstellen. Weitere Informationen finden Sie unter az iot dps-Registrierungsgruppe. Verwenden Sie als Teil des CLI-Befehls das Flag edge-enabled (Edge-fähig), um anzugeben, dass die Registrierung für IoT Edge-Geräte gilt. Bei einer Gruppenregistrierung müssen entweder alle Geräte IoT Edge-Geräte sein oder keines von ihnen darf es sein.

1. Navigieren Sie im Azure-Portal zu Ihrer Instanz des IoT Hub Device Provisioning Service.

2. Klicken Sie in Einstellungen auf Registrierungen verwalten.

3. Klicken Sie auf Registrierungsgruppe hinzufügen, und führen Sie dann die folgenden Schritte zum Konfigurieren der Registrierung aus:

   • Gruppenname: Geben Sie einen einprägsamen Namen für diese Gruppenregistrierung an.

   • Nachweistyp: Wählen Sie Zertifikat aus.

   • IoT Edge-Gerät: Wählen Sie True aus. Bei einer Gruppenregistrierung müssen entweder alle Geräte IoT Edge-Geräte sein oder keines davon.

   • Zertifikattyp: Wählen Sie CA-Zertifikat aus.

   • Primäres Zertifikat: Wählen Sie Ihr Zertifikat aus der Dropdownliste aus.

   • Wählen Sie die IoT-Hubs aus, denen dieses Gerät zugewiesen werden kann: Wählen Sie den verknüpften IoT-Hub aus, mit dem Sie Ihr Gerät verbinden möchten. Sie können mehrere Hubs auswählen, und das Gerät wird dann je nach gewählter Zuteilungsrichtlinie einem dieser Hubs zugewiesen.

   • Initial Device Twin State: Fügen Sie einen Tagwert hinzu, den Sie zum Gerätezwilling hinzufügen möchten. Mithilfe von Tags können Sie Gruppen von Geräten als Ziel für die automatische Bereitstellung festlegen. Beispiel:

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. Wählen Sie Speichern aus.

Unter Registrierungen verwalten wird die Registrierungs-ID für die Registrierung angezeigt, die Sie gerade erstellt haben. Notieren Sie sich dies, da es bei der Bereitstellung Ihrer Geräte verwendet werden kann.

Nachdem nun eine Registrierung für dieses Gerät vorhanden ist, kann die IoT Edge-Runtime das Gerät während der Installation automatisch bereitstellen.

Installieren von IoT Edge

In diesem Abschnitt bereiten Sie Ihre Windows-VM oder Ihr physisches Gerät für IoT Edge vor. Anschließend installieren Sie IoT Edge.

Azure IoT Edge basiert auf einer OCI-kompatiblen Containerruntime. Moby, ein Moby-basiertes Modul, ist im Installationsskript enthalten, was bedeutet, dass es keine zusätzlichen Schritte zum Installieren des Moduls gibt.

So installieren Sie die IoT Edge-Laufzeit:

1. Führen Sie PowerShell als Administrator aus.

   Verwenden Sie eine AMD64-Sitzung von PowerShell, nicht PowerShell(x86). Wenn Sie nicht sicher sind, welchen Sitzungstyp Sie verwenden, führen Sie den folgenden Befehl aus:

   (Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
   

2. Führen Sie den Befehl Deploy-IoTEdge aus, der die folgenden Aufgaben ausführt:

   • Überprüft, ob sich Ihr Windows-Computer auf einer unterstützten Version befindet.
   • Aktiviert die Containerfunktion
   • Lädt die Moby-Engine und die IoT Edge-Laufzeit herunter.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Deploy-IoTEdge
   

3. Starten Sie Ihr Gerät neu, wenn Sie dazu aufgefordert werden.

Wenn Sie IoT Edge auf einem Gerät installieren, können Sie zusätzliche Parameter verwenden, um den Prozess zu ändern, einschließlich:

• Den Datenverkehr über einen Proxyserver leiten.
• Verweisen des Installers auf ein lokales Verzeichnis für die Offlineinstallation

Weitere Informationen zu diesen zusätzlichen Parametern finden Sie unter PowerShell-Skripts für IoT Edge mit Windows-Containern.

Bereitstellen des Geräts mit seiner Cloud-Identität

Konfigurieren Sie Ihr Gerät mit den Informationen, die es zum Herstellen einer Verbindung mit dem Gerätebereitstellungsdienst und IoT Hub verwendet, sobald die Runtime auf Ihrem Gerät installiert ist.

Halten Sie die folgenden Informationen bereit:

• Der DPS-ID-Scope-Wert. Sie können diesen Wert im Azure-Portal von der Übersichtsseite für Ihre DPS-Instanz abrufen.
• Die Zertifikatskettendatei für das Geräteidentitätszertifikat auf dem Gerät.
• Die Schlüsseldatei für die Geräteidentität auf dem Gerät.

1. Öffnen Sie ein PowerShell-Fenster im Administratormodus. Achten Sie darauf, eine AMD64-Sitzung von PowerShell zu verwenden, wenn Sie IoT Edge und nicht PowerShell (x86) installieren.

2. Der Befehl Initialize-IoTEdge konfiguriert die IoT Edge-Laufzeit auf Ihrem Computer. Der Befehl verwendet standardmäßig die manuelle Bereitstellung mit Windows-Containern. Verwenden Sie daher das -DpsX509 Flag, um die automatische Bereitstellung mit der X.509-Zertifikatauthentifizierung zu verwenden.

   Ersetzen Sie die Platzhalterwerte für scope_id, identity cert chain pathund identity key path durch die entsprechenden Werte aus Ihrer DPS-Instanz und den Dateipfaden auf Ihrem Gerät.

   Fügen Sie den parameter -RegistrationId paste_registration_id_here hinzu, wenn Sie die Geräte-ID als einen anderen Namen als den CN-Namen des Identitätszertifikats festlegen möchten.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Initialize-IoTEdge -DpsX509 -ScopeId paste_scope_id_here -X509IdentityCertificate paste_identity_cert_chain_path_here -X509IdentityPrivateKey paste_identity_key_path_here
   

   Tipp

   Die Konfigurationsdatei speichert Ihr Zertifikat und wichtige Informationen als Datei-URIs. Der befehl Initialize-IoTEdge behandelt diesen Formatierungsschritt jedoch für Sie, sodass Sie den absoluten Pfad zu den Zertifikat- und Schlüsseldateien auf Ihrem Gerät bereitstellen können.

Bestätigen einer erfolgreichen Installation

Wenn die Runtime erfolgreich gestartet wurde, können Sie zu Ihrem IoT Hub navigieren und mit dem Bereitstellen von IoT Edge-Modulen auf Ihrem Gerät beginnen.

Individuelle Registrierung

Sie können überprüfen, ob die individuelle Registrierung, die Sie im Gerätebereitstellungsdienst erstellt haben, verwendet wurde. Navigieren Sie im Azure-Portal zu Ihrer Instanz für den Gerätebereitstellungsdienst. Öffnen Sie die Registrierungsdetails für die von Ihnen erstellte individuelle Registrierung. Beachten Sie, dass der Status der Registrierung Zugewiesen lautet und die Geräte-ID aufgeführt ist.

Gruppenregistrierung

Sie können überprüfen, ob die Gruppenregistrierung, die Sie im Gerätebereitstellungsdienst erstellt haben, verwendet wurde. Navigieren Sie im Azure-Portal zu Ihrer Instanz für den Gerätebereitstellungsdienst. Öffnen Sie die Registrierungsdetails für die von Ihnen erstellte Gruppenregistrierung. Wechseln Sie zur Registerkarte Registrierungsdatensätze, um alle in dieser Gruppe registrierten Geräte anzuzeigen.

Mit den folgenden Befehlen können Sie auf Ihrem Gerät überprüfen, ob IoT Edge erfolgreich installiert und gestartet wurde.

Überprüfen Sie den Status des IoT Edge-Diensts.

Get-Service iotedge

Untersuchen Sie die Dienstprotokolle.

. {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog

Laufende Module auflisten.

iotedge list

Nächste Schritte

Der Registrierungsprozess des Device Provisioning Service ermöglicht es Ihnen, beim Bereitstellen des neuen Geräts gleichzeitig die Geräte-ID und die Gerätezwillingstags festzulegen. Sie können diese Werte verwenden, um einzelne Geräte oder Gruppen von Geräten über die automatische Geräteverwaltung als Ziel festzulegen. Weitere Informationen finden Sie unter Bedarfsgerechtes Bereitstellen und Überwachen von IoT Edge-Modulen mithilfe des Azure-Portals oder Verwenden der Azure CLI.