Configurare un hub IoT di Azure per Azure Sphere con il servizio di provisioning del dispositivo

Il servizio di provisioning dei dispositivi (DPS) hub IoT di Azure può consentire a qualsiasi dispositivo rivendicato nel catalogo Azure Sphere di connettersi all'istanza di hub IoT di Azure la prima volta che viene online e autentica con un certificato X.509.

Prima di iniziare

I passaggi di questa sezione presuppongono che:

• Il dispositivo Azure Sphere è connesso al PC tramite USB.
• È stata creata un'istanza di hub IoT di Azure.

Eseguire l'autenticazione con il servizio di provisioning dei dispositivi

Segui questi passaggi per configurare il dispositivo per l'autenticazione tramite il servizio di provisioning dei dispositivi (DPS).

Importante

Se si sceglie di testare un'applicazione basata su IoT di Azure che usa DPS, tenere presente che DPS addebita $ 0,123 ogni 1000 operazioni; vale a dire 12,3 centesimi per mille operazioni. Prevediamo che il credito gratuito applicato a molti nuovi abbonamenti coprirà gli eventuali addebiti DPS, ma ti consigliamo di controllare i dettagli del tuo contratto di abbonamento. Per informazioni sui prezzi, vedere hub IoT di Azure prezzi.

Passaggio 1. Crea un nuovo servizio di provisioning dei dispositivi hub IoT di Azure e collegalo all'istanza di hub IoT di Azure

1. Accedere alla portale di Azure.
2. Crea un servizio di provisioning dei dispositivi.
3. Collegare l'istanza di hub IoT di Azure esistente al DPS.

Passaggio 2. Scaricare il certificato CA di autenticazione catalogo

1. Dal prompt dei comandi accedere con l'account di accesso di Azure:

   az login
   

2. Scarica il certificato CA catalogo per il catalogo Azure Sphere. Questo comando scarica il certificato in un file denominato CAcertificate.cer nella directory di lavoro corrente. Assicurarsi di scaricare il file in una directory in cui si hanno le autorizzazioni di scrittura o che l'operazione di download non riuscirà. Il file di output deve avere un'estensione cer.

   az sphere ca-certificate download --resource-group MyResourceGroup --catalog MyCatalog --output-file CACertificate.cer
   

Passaggio 3. Caricare e dimostrare il possesso del certificato CA catalogo

Caricare il certificato dell'Autorità di certificazione (CA) del catalogo su DPS, quindi dimostrare automaticamente o manualmente di essere proprietari del certificato.

1. Nel portale di Azure passare al provider di servizi di protezione dei dati creato.
2. Selezionare Certificati nella sezione Impostazioni .
3. Selezionare Aggiungi per aggiungere un nuovo certificato.
4. In Nome certificato immettere un nome visualizzato per il certificato.
5. In File certificato .pem o .cer selezionare l'icona della cartella per scegliere il file di certificato scaricato nel passaggio precedente.
6. Prova il possesso di un certificato CA utilizzando uno dei seguenti metodi:
   • Verificare automaticamente il certificato
   • Verificare manualmente il certificato

Verificare automaticamente il certificato

Per aggiungere un certificato e verificarlo automaticamente (dimostrare il possesso del certificato CA catalogo):

1. Nella casella Aggiungi certificato selezionare la casella Imposta lo stato del certificato da verificare al caricamento.
2. Dopo la verifica, lo stato del certificato diventa Verificato nella visualizzazione elenco Certificati . Selezionare Aggiorna se lo stato non viene aggiornato automaticamente.

Procedere quindi al Passaggio 4: Usare il certificato di convalida per aggiungere il dispositivo a un gruppo di registrazione.

Verificare manualmente il certificato

Per aggiungere un certificato e verificarlo manualmente (dimostrare il possesso del certificato CA catalogo):

1. Ottieni un codice di verifica univoco dal portale di Azure.
2. Scarica il certificato di prova di possesso che dimostri di essere il proprietario del certificato CA del catalogo dall'autorità di gestione di Azure.
3. Caricare il certificato di verifica firmato nel portale di Azure. Il servizio convalida il certificato di verifica usando la parte pubblica del certificato CA da verificare, dimostrando così che si è in possesso della chiave privata del certificato CA.

Ottieni un codice di verifica univoco dall'portale di Azure

1. Dopo aver selezionato un certificato nel pannello Aggiungi certificato , lasciare deselezionata la casella Imposta stato certificato da verificare al caricamento . Seleziona Salva.

2. La visualizzazione elenco Certificati mostra i certificati. Lo stato del certificato creato è Unverified.

   

3. Selezionare il nome del certificato per visualizzarne i dettagli. Nel pannello Certificati seleziona Genera codice di verifica. Copia il codice di verifica negli Appunti per usarlo nel passaggio successivo. Non selezionare ancora Verifica .

   

Scarica un certificato di possesso che dimostri di essere il proprietario del certificato CA del catalogo

Torna all'azure CLI e scarica un certificato di prova di possesso per il tuo catalogo Azure Sphere. Usare il codice di verifica per generare il certificato come file CER X.509.

az sphere ca-certificate download-proof --output-file ValidationCertification.cer --verification-code <code>

Caricare il certificato di verifica firmato

Il servizio Azure Sphere Security firma il certificato di convalida con il codice di verifica per dimostrare di essere il proprietario della CA.

1. Da Certificati nel portale di Azure, nel campo del file .pem o .cer del certificato di verifica , selezionare e caricare il certificato di verifica firmato. Il certificato si trova nella directory in cui è stato richiamato il comando di download.

2. Quando il certificato viene caricato correttamente, selezionare Verifica.

   

3. Dopo la verifica, lo stato del certificato diventa Verificato nella visualizzazione elenco Certificati . Selezionare Aggiorna se lo stato non viene aggiornato automaticamente.

Nota

Eseguire i passaggi da 1 a 3 una sola volta per ogni catalogo Azure Sphere.

Passaggio 4. Usare il certificato di convalida per aggiungere il dispositivo a un gruppo di registrazione

1. Nella sezione Impostazioni seleziona Gestisci iscrizioni, quindi Aggiungi gruppo di registrazione.

2. Nel riquadro Aggiungi gruppo di registrazione :

   • Immettere un nome per il gruppo di registrazione.
   • Selezionare Certificato come tipo di attestazione e Certificato CA come tipo di certificato.
   • Nell'elenco a discesa Certificato principale selezionare il certificato convalidato nel passaggio precedente.

3. Selezionare Salva nella parte superiore della pagina. Dopo la creazione del gruppo di registrazione, il nome del gruppo dovrebbe essere visualizzato nella scheda Gruppi di registrazione .

Passaggi successivi

Dopo aver completato questi passaggi, tutti i dispositivi rivendicati nel catalogo Azure Sphere vengono registrati automaticamente nell'istanza di hub IoT di Azure quando si connette per la prima volta al dispositivo.

È ora possibile eseguire l'esempio IoT di Azure, seguendo le istruzioni specifiche per la connessione tramite DPS.

Altre informazioni

Per usare l'autenticazione diretta invece di DPS, vedi Configurare un hub IoT per Azure Sphere.