Creación y administración de identidades de dispositivo
Cree una identidad de dispositivo para que el dispositivo se conecte a Azure IoT Hub. En este artículo se presentan las tareas clave para administrar una identidad de dispositivo, incluido el registro del dispositivo, la recopilación de su información de conexión y, a continuación, la eliminación o deshabilitación de un dispositivo al final de su ciclo de vida.
Requisitos previos
Una instancia de IoT Hub en la suscripción de Azure. Si aún no tiene un centro, puede seguir los pasos descritos en Creación de un centro de IoT.
Dependiendo de la herramienta que use, deberá tener acceso al Azure Portal o instalar la CLI de Azure.
Si el centro de IoT se administra con el control de acceso basado en rol (RBAC), necesita permisos de lectura, escritura y eliminación de dispositivos o módulos para los pasos descritos en este artículo. Estos permisos se incluyen en el rol Colaborador del Registro de IoT Hub.
Preparar los certificados
Los dispositivos usan dos tipos diferentes de certificados para conectarse a IoT Hub. Al preparar el dispositivo, asegúrese de que tiene todos los certificados adecuados creados y agregados al dispositivo antes de conectarse.
- Certificados raíz públicos: todos los dispositivos necesitan una copia de los certificados raíz públicos que IoT Hub, IoT Central y Device Provisioning Service usan para autorizar las conexiones.
- Certificados de autenticación: los certificados X.509 son el método recomendado para autenticar una identidad de dispositivo.
Certificados raíz públicos necesarios
Los dispositivos de Azure IoT usan TLS para comprobar la autenticidad del punto de conexión del centro de IoT o DPS al que se conectan. Cada dispositivo necesita una copia del certificado raíz que IoT Hub y DPS usan. Se recomienda que todos los dispositivos incluyan las siguientes CA raíz en su almacén de certificados de confianza:
- DigiCert Global G2
- Microsoft RSA 2017
Para obtener más información sobre los procedimientos de certificados recomendados de IoT Hub, consulte Compatibilidad con TLS.
Certificados de autenticación
Si usa la autenticación de certificados X.509 para los dispositivos, asegúrese de que los certificados están listos antes de registrar un dispositivo:
En el caso de los certificados firmados por ca, el tutorial Creación y carga de certificados para pruebas proporciona una buena introducción para crear certificados firmados por una CA y cargarlos en IoT Hub. Después de completar ese tutorial, está listo para registrar un dispositivo con autenticación X.509 firmado por una CA.
Para los certificados autofirmados, necesita dos certificados de dispositivo (un certificado principal y secundario) en el dispositivo y las huellas digitales para que ambos se carguen en IoT Hub. Una manera de recuperar la huella digital de un certificado es con el siguiente comando OpenSSL:
openssl x509 -in <certificate filename>.pem -text -fingerprint
Registrar un dispositivo
En esta sección, creará una identidad de dispositivo en el registro de identidades del centro de IoT. Un dispositivo no se puede conectar a un centro a menos que tenga una identidad de dispositivo.
El registro de identidades de IoT Hub solo almacena identidades de dispositivos para permitir el acceso seguro a IoT Hub. Almacena las claves y los identificadores de dispositivo para usarlos como credenciales de seguridad, y un indicador de habilitado o deshabilitado que permite deshabilitar el acceso a un dispositivo individual.
Al registrar un dispositivo, elija su método de autenticación. IoT Hub admite tres métodos para la autenticación de dispositivos:
Clave simétrica - Esta opción es más fácil para escenarios de inicio rápido.
Al registrar un dispositivo, puede proporcionar claves o IoT Hub las generará automáticamente. Tanto el dispositivo como el centro de IoT tienen una copia de la clave simétrica que se puede comparar cuando el dispositivo se conecta.
X.509 autofirmado
Si el dispositivo tiene un certificado X.509 autofirmado, debe proporcionar a IoT Hub una versión del certificado para la autenticación. Al registrar un dispositivo, se carga una huella digital del certificado, que es un hash del certificado X.509 del dispositivo. Cuando el dispositivo se conecta, presenta su certificado y el centro de IoT puede validarlo con el hash que conoce. Para obtener más información, consulte Autenticación de identidades con certificados X.509.
Certificado X.509 firmado por una CA - Esta opción se recomienda para escenarios de producción.
Si el dispositivo tiene un certificado X.509 firmado por una CA, cargue un certificado de entidad de certificación (CA) raíz o intermedia en la cadena de firma en IoT Hub antes de registrar el dispositivo. El dispositivo tiene un certificado X.509 con la CA X.509 verificada en su cadena de confianza de certificados. Cuando el dispositivo se conecta, presenta su cadena de certificados completa y el centro de IoT puede validarlo porque conoce la CA X.509. Varios dispositivos se pueden autenticar en la misma CA X.509 verificada. Para obtener más información, consulte Autenticación de identidades con certificados X.509.
Agregar un dispositivo
Crear una identidad de dispositivo en el Centro de IoT.
En Azure Portal, navegue hasta su centro de IoT.
Seleccione Administración de dispositivos>Dispositivos.
Seleccione Agregar dispositivo para agregar un dispositivo en IoT Hub.
En Crear un dispositivo, proporcione la información de la nueva identidad del dispositivo:
Parámetro Parámetro dependiente Valor Id. de dispositivo Proporcione un nombre para el nuevo dispositivo. Tipo de autenticación Seleccione Clave simétrica, X.509 autofirmado o X.509 firmado por una CA. Generación automática de claves Para la autenticación de Clave simétrica, active esta casilla para que IoT Hub genere claves para el dispositivo. O bien, desactive esta casilla y proporcione claves principales y secundarias para el dispositivo. Huella digital principal y Huella digital secundaria Para la autenticación de X.509 autofirmado proporcione el hash de huella digital de los certificados principales y secundarios del dispositivo. Importante
El identificador del dispositivo puede estar visible en los registros recopilados para soporte técnico y solución de problemas del cliente, por tanto asegúrese de evitar cualquier información confidencial al darle el nombre.
Seleccione Guardar.
Recuperación de la cadena de conexión del dispositivo
Para ejemplos y escenarios de prueba, el método de conexión más común es usar la autenticación de clave simétrica y conectarse con una cadena de conexión de dispositivo. Una cadena de conexión de dispositivo contiene el nombre del centro de IoT, el nombre del dispositivo y la información de autenticación del dispositivo.
Para obtener información sobre otros métodos para conectar dispositivos, especialmente para la autenticación de X.509, consulte los SDK de dispositivo de Azure IoT Hub.
Siga estos pasos para recuperar una cadena de conexión de dispositivo.
Azure Portal proporciona cadenas de conexión de dispositivo solo para dispositivos que usan la autenticación de clave simétrica.
En Azure Portal, navegue hasta su centro de IoT.
Seleccione Administración de dispositivos>Dispositivos.
Seleccione el dispositivo en la lista del panel Dispositivos.
Copie el valor de la cadena de conexión principal.
De forma predeterminada, las claves y las cadenas de conexión se enmascaran porque son información confidencial. Si hace clic en el icono de ojo, se muestran. No es necesario mostrarlas para copiarlas con el botón Copiar.
Los dispositivos con autenticación de clave simétrica tienen una cadena de conexión de dispositivo con el siguiente patrón:
HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>
Los dispositivos con autenticación X.509, autofirmados o firmados por una CA, normalmente no usan cadenas de conexión de dispositivo para la autenticación. Cuando lo hacen, sus cadenas de conexión toman el siguiente patrón:
HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true
Deshabilitación o eliminación de un dispositivo
Si quiere mantener un dispositivo en el registro de identidades de IoT Hub, pero quiere impedir que se conecte, puede cambiar su estado a deshabilitado.
En Azure Portal, navegue hasta su centro de IoT.
Seleccione Administración de dispositivos>Dispositivos.
Seleccione el dispositivo en la lista del panel Dispositivos.
En la página de detalles del dispositivo, puede deshabilitar o eliminar el registro del dispositivo.
Para evitar que un dispositivo se conecte, establezca el parámetro Habilitar conexión a IoT Hub en Deshabilitar.
Para quitar completamente un dispositivo del registro de identidades de IoT Hub, seleccione Eliminar.
Otras herramientas para administrar identidades de dispositivo
Puede usar otras herramientas o interfaces para administrar el registro de identidades de IoT Hub, entre las que se incluyen:
Comandos de PowerShell: consulte el conjunto de comandos Az.IotHub para obtener información sobre cómo administrar identidades de dispositivo.
Visual Studio Code: la extensión Azure IoT Hub para Visual Studio Code incluye funcionalidades del registro de identidades.
API de REST: consulte las API de servicio de IoT Hub para aprender a administrar identidades de dispositivo.