Configurer un Azure IoT Hub pour Azure Sphere avec le service Device Provisioning

Le service DPS (Device Provisioning Service) Azure IoT Hub peut permettre à n’importe quel appareil revendiqué dans votre catalogue Azure Sphere de se connecter à votre Azure IoT Hub instance lors de sa première mise en ligne et de s’authentifier à l’aide d’un certificat X.509.

Avant de commencer

Les étapes décrites dans cette section supposent que :

• Votre appareil Azure Sphere est connecté à votre PC par USB.
• Vous avez créé un Azure IoT Hub instance.

S’authentifier à l’aide du service Device Provisioning

Suivez ces étapes pour configurer votre appareil afin qu’il s’authentifie à l’aide du service DPS (Device Provisioning Service).

Important

Si vous choisissez de tester une application Azure IoT qui utilise DPS, sachez que DPS facture 0,123 $ par 1 000 opérations ; c’est-à-dire 12,3 cents américains par mille opérations. Nous nous attendons à ce que le crédit gratuit appliqué à de nombreux nouveaux abonnements couvre les frais DPS, mais nous vous recommandons de case activée les détails de votre contrat d’abonnement. Pour plus d’informations sur la tarification, consultez tarification Azure IoT Hub.

Étape 1. Créez un service Azure IoT Hub Device Provisioning et liez-le au Azure IoT Hub instance

1. Connectez-vous au Portail Azure.
2. Créez un service Device Provisioning.
3. Liez votre Azure IoT Hub instance existant à votre DPS.

Étape 2. Télécharger le certificat d’autorité de certification d’authentification du catalogue

1. À partir de l’invite de commandes, connectez-vous avec votre connexion Azure :

   az login
   

2. Téléchargez le certificat d’autorité de certification de catalogue pour votre catalogue Azure Sphere. Cette commande télécharge le certificat dans un fichier nommé CAcertificate.cer dans le répertoire de travail actuel. Veillez à télécharger le fichier dans un répertoire où vous disposez d’autorisations d’écriture, sinon l’opération de téléchargement échouera. Le fichier de sortie doit avoir une extension .cer.

   az sphere ca-certificate download --resource-group MyResourceGroup --catalog MyCatalog --output-file CACertificate.cer
   

Étape 3. Charger et prouver la possession du certificat d’autorité de certification du catalogue

Chargez votre certificat d’autorité de certification de catalogue sur DPS, puis prouvez automatiquement ou manuellement que vous êtes propriétaire du certificat.

1. Dans le portail Azure, accédez au DPS que vous avez créé.
2. Sélectionnez Certificats dans la section Paramètres .
3. Sélectionnez Ajouter pour ajouter un nouveau certificat.
4. Dans Nom du certificat, entrez un nom complet pour le certificat.
5. Dans Fichier .pem ou .cer de certificat, sélectionnez l’icône de dossier pour choisir le fichier de certificat que vous avez téléchargé à l’étape précédente.
6. Prouver la possession d’un certificat d’autorité de certification à l’aide de l’une des méthodes suivantes :
   • Vérifier automatiquement le certificat
   • Vérifier le certificat manuellement

Vérifier automatiquement le certificat

Pour ajouter un certificat et le vérifier automatiquement (prouver la possession du certificat d’autorité de certification de catalogue) :

1. Dans la zone Ajouter un certificat, case activée la zone Définir le certificat status à vérifier lors du chargement.
2. Après la vérification, le status de votre certificat passe à Vérifié dans l’affichage liste Certificats. Sélectionnez Actualiser si le status ne se met pas à jour automatiquement.

Passez ensuite à l’étape 4 : Utiliser le certificat de validation pour ajouter votre appareil à un groupe d’inscriptions.

Vérifier le certificat manuellement

Pour ajouter un certificat et le vérifier manuellement (prouver la possession du certificat d’autorité de certification de catalogue) :

1. Obtenez un code de vérification unique à partir du Portail Azure.
2. Téléchargez le certificat de preuve de possession qui prouve que vous êtes propriétaire du certificat d’autorité de certification de catalogue à partir d’Azure CLI.
3. Chargez le certificat de vérification signé sur le Portail Azure. Le service valide le certificat de vérification à l’aide de la partie publique du certificat d’autorité de certification à vérifier, prouvant ainsi que vous êtes en possession de la clé privée du certificat d’autorité de certification.

Obtenir un code de vérification unique à partir du Portail Azure

1. Une fois que vous avez sélectionné un certificat dans le panneau Ajouter un certificat, laissez la case Définir le certificat status vérifié lors du chargement décochée. Sélectionnez Enregistrer.

2. L’affichage Liste des certificats affiche vos certificats. L’état du certificat que vous avez créé est Non vérifié.

   

3. Sélectionnez le nom de votre certificat pour afficher ses détails. Dans le panneau Certificats , sélectionnez Générer le code de vérification. Copiez le code de vérification dans le Presse-papiers pour l’utiliser à l’étape suivante. (Ne sélectionnez pas encore Vérifier .)

   

Télécharger un certificat de preuve de possession qui prouve que vous êtes propriétaire du certificat d’autorité de certification du catalogue

Revenez à Azure CLI et téléchargez un certificat de preuve de possession pour votre catalogue Azure Sphere. Utilisez le code de vérification pour générer le certificat sous la forme d’un fichier .cer X.509.

az sphere ca-certificate download-proof --destination ValidationCertification.cer --verification-code <code>

Charger le certificat de vérification signé

Le service de sécurité Azure Sphere signe le certificat de validation avec le code de vérification pour prouver que vous êtes propriétaire de l’autorité de certification.

1. À partir de Certificats sur le portail Azure, dans le champ Fichier de certificat de vérification .pem ou .cer , accédez à sélectionner et charger le certificat de vérification signé. Le certificat se trouve dans le répertoire dans lequel vous avez appelé la commande download.

2. Une fois le certificat chargé, sélectionnez Vérifier.

   

3. Après la vérification, le status de votre certificat passe à Vérifié dans l’affichage liste Certificats. Sélectionnez Actualiser si le status ne se met pas à jour automatiquement.

Note

Effectuez les étapes 1 à 3 une seule fois par catalogue Azure Sphere.

Étape 4. Utiliser le certificat de validation pour ajouter votre appareil à un groupe d’inscriptions

1. Dans la section Paramètres , sélectionnez Gérer les inscriptions, puis Ajouter un groupe d’inscriptions.

2. Dans le volet Ajouter un groupe d’inscriptions :

   • Entrez un nom pour votre groupe d’inscriptions.
   • Sélectionnez Certificat comme Type d’attestation et Certificat d’autorité de certification comme Type de certificat.
   • Dans la liste déroulante Du certificat principal, sélectionnez le certificat que vous avez validé à l’étape précédente.

3. Sélectionnez Enregistrer en haut de la page. Une fois votre groupe d’inscription créé, le nom du groupe doit apparaître sous l’onglet Groupes d’inscription .

Étapes suivantes

Une fois ces étapes terminées, tout appareil revendiqué dans votre catalogue Azure Sphere est automatiquement inscrit dans votre Azure IoT Hub instance lors de la première connexion à votre appareil.

Vous pouvez maintenant exécuter l’exemple Azure IoT, en suivant les instructions spécifiques à la connexion via DPS.

Informations supplémentaires

Pour utiliser l’authentification directe au lieu de DPS, consultez Configurer un hub IoT pour Azure Sphere.