IoT Edge-certificaten beheren

Van toepassing op: IoT Edge 1.1

Belangrijk

Het einde van de ondersteuningsdatum voor IoT Edge 1.1 is 13 december 2022. Raadpleeg het levenscyclusbeleid van Microsoft voor informatie over hoe dit product of deze service, technologie of API wordt ondersteund. Zie IoT Edge bijwerken voor meer informatie over het bijwerken naar de nieuwste versie van IoT Edge.

Alle IoT Edge-apparaten gebruiken certificaten voor het maken van beveiligde verbindingen tussen de runtime en alle modules die op het apparaat worden uitgevoerd. IoT Edge-apparaten die werken als gateways gebruiken dezelfde certificaten om ook verbinding te maken met hun downstreamapparaten. Zie Begrijpen hoe Azure IoT Edge certificaten gebruikt voor meer informatie over de functie van de verschillende certificaten op een IoT Edge-apparaat.

Notitie

De term basis-CA die in dit artikel wordt gebruikt, verwijst naar het hoogste certificeringsinstantiecertificaat in de certificaatketen voor uw IoT-oplossing. U hoeft de certificaathoofdmap van een gesyndiceerde certificeringsinstantie of de basis van de certificeringsinstantie van uw organisatie niet te gebruiken. In veel gevallen is het eigenlijk een tussenliggend CA-certificaat.

Vereisten

• Begrijpen hoe Azure IoT Edge certificaten gebruikt.

• Een IoT Edge-apparaat. Als u geen IoT Edge-apparaat hebt ingesteld, kunt u er een maken in een virtuele Azure-machine. Volg de stappen in een van de quickstart-artikelen voor het maken van een virtueel Linux-apparaat of het maken van een virtueel Windows-apparaat.

• Mogelijkheid om het IoT Edge-configuratiebestand config.toml te bewerken na de configuratiesjabloon.

  • Als de config.toml sjabloon niet is gebaseerd op de sjabloon, opent u de sjabloon en gebruikt u de richtlijnen met opmerkingen om configuratiesecties toe te voegen na de structuur van de sjabloon.

  • Als u een nieuwe IoT Edge-installatie hebt die niet is geconfigureerd, kopieert u de sjabloon om de configuratie te initialiseren. Gebruik deze opdracht niet als u een bestaande configuratie hebt. Het bestand wordt overschreven.

    sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml
    

Apparaat-CA

Alle IoT Edge-apparaten gebruiken certificaten voor het maken van beveiligde verbindingen tussen de runtime en alle modules die op het apparaat worden uitgevoerd. IoT Edge-apparaten die werken als gateways gebruiken dezelfde certificaten om ook verbinding te maken met hun downstreamapparaten. Zie Begrijpen hoe Azure IoT Edge certificaten gebruikt voor meer informatie over de functie van de verschillende certificaten op een IoT Edge-apparaat.

IoT Edge genereert in verschillende gevallen automatisch apparaat-CA op het apparaat, waaronder:

• Als u uw eigen productiecertificaten niet opgeeft wanneer u IoT Edge installeert en inricht, genereert de IoT Edge-beveiligingsbeheerder automatisch een ca-certificaat voor een apparaat. Dit zelfondertekende certificaat is alleen bedoeld voor ontwikkelings- en testscenario's, niet voor productie. Dit certificaat verloopt na 90 dagen.
• Het IoT Edge-beveiligingsbeheer genereert ook een werkbelasting-CA-certificaat dat is ondertekend door het CA-certificaat van het apparaat.

Voor deze twee automatisch gegenereerde certificaten kunt u een vlag instellen in het configuratiebestand om het aantal dagen voor de levensduur van de certificaten te configureren.

Notitie

Er is een derde automatisch gegenereerd certificaat dat door ioT Edge-beveiligingsbeheer wordt gemaakt, het Certificaat van de IoT Edge-hubserver. Dit certificaat heeft altijd een levensduur van 30 dagen, maar wordt automatisch vernieuwd voordat het verloopt. De automatisch gegenereerde CA-levensduurwaarde die is ingesteld in het configuratiebestand, heeft geen invloed op dit certificaat.

Levensduur van CA-certificaat voor quickstart-apparaten aanpassen

Na verloop van het opgegeven aantal dagen moet IoT Edge opnieuw worden opgestart om het CA-certificaat van het apparaat opnieuw te genereren. Het CA-certificaat van het apparaat wordt niet automatisch vernieuwd.

Linux-containers

1. Als u het verlopen van het certificaat wilt configureren naar iets anders dan de standaard 90 dagen, voegt u de waarde in dagen toe aan de sectie Certificaten van het configuratiebestand.

   certificates:
     device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
     device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
     trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
     auto_generated_ca_lifetime_days: <value>
   

   Notitie

   Momenteel voorkomt een beperking in libiothsm het gebruik van certificaten die op of na 1 januari 2038 verlopen.

2. Verwijder de inhoud van de hsm map om eerder gegenereerde certificaten te verwijderen.

   • /var/aziot/hsm/certs
   • /var/aziot/hsm/cert_keys

3. Start de IoT Edge-service opnieuw.

   sudo systemctl restart iotedge
   

4. Bevestig de levensduur-instelling.

   sudo iotedge check --verbose
   

   Controleer de uitvoer van de productiegereedheid: certificaten controleren, waarin het aantal dagen wordt vermeld totdat de automatisch gegenereerde CA-certificaten voor apparaten verlopen.

Windows-containers

1. Als u het verlopen van het certificaat wilt configureren naar iets anders dan de standaard 90 dagen, voegt u de waarde in dagen toe aan de sectie Certificaten van het configuratiebestand.

   certificates:
     device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
     device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
     trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
     auto_generated_ca_lifetime_days: <value>
   

   Notitie

   Momenteel voorkomt een beperking in libiothsm het gebruik van certificaten die op of na 1 januari 2038 verlopen.

2. Verwijder de inhoud van de hsm map om eerder gegenereerde certificaten te verwijderen.

   • C:\ProgramData\iotedge\hsm\certs
   • C:\ProgramData\iotedge\hsm\cert_keys

3. Start de IoT Edge-service opnieuw.

   Restart-Service iotedge
   

4. Bevestig de levensduur-instelling.

   iotedge check --verbose
   

   Controleer de uitvoer van de productiegereedheid: certificaten controleren, waarin het aantal dagen wordt vermeld totdat de automatisch gegenereerde CA-certificaten voor apparaten verlopen.

Apparaat-CA installeren voor productie

Wanneer u overstapt naar een productiescenario of u een gatewayapparaat wilt maken, moet u uw eigen certificaten opgeven.

Apparaat-CA maken en installeren voor productie

1. Gebruik uw eigen certificeringsinstantie om de volgende bestanden te maken:

   • Basis-CA
   • CA-certificaat voor apparaat
   • Persoonlijke sleutel van apparaat-CA

   De basis-CA is niet de hoogste certificeringsinstantie voor een organisatie. Het is de hoogste certificeringsinstantie voor het IoT Edge-scenario, dat de IoT Edge-hubmodule, gebruikersmodules en downstreamapparaten gebruiken om vertrouwen tussen elkaar tot stand te brengen.

   Als u een voorbeeld van deze certificaten wilt zien, bekijkt u de scripts die democertificaten maken in Het beheren van test-CA-certificaten voor voorbeelden en zelfstudies.

   Notitie

   Momenteel voorkomt een beperking in libiothsm het gebruik van certificaten die op of na 1 januari 2038 verlopen.

2. Kopieer de drie certificaat- en sleutelbestanden naar uw IoT Edge-apparaat. U kunt een service zoals Azure Key Vault of een functie zoals secure copy protocol gebruiken om de certificaatbestanden te verplaatsen. Als u de certificaten op het IoT Edge-apparaat zelf hebt gegenereerd, kunt u deze stap overslaan en het pad naar de werkmap gebruiken.

   Tip

   Als u de voorbeeldscripts hebt gebruikt om democertificaten te maken, bevinden de drie certificaat- en sleutelbestanden zich op de volgende paden:

   • CA-certificaat voor apparaat: <WRKDIR>\certs\iot-edge-device-MyEdgeDeviceCA-full-chain.cert.pem
   • Persoonlijke sleutel van apparaat-CA: <WRKDIR>\private\iot-edge-device-MyEdgeDeviceCA.key.pem
   • Basis-CA: <WRKDIR>\certs\azure-iot-test-only.root.ca.cert.pem

Linux-containers

1. Open het configuratiebestand van de IoT Edge-beveiligingsdaemon: /etc/iotedge/config.yaml

2. Stel de certificaateigenschappen in config.yaml in op het bestands-URI-pad naar het certificaat en de sleutelbestanden op het IoT Edge-apparaat. Verwijder het # teken voordat de certificaateigenschappen opmerkingen bij de vier regels verwijderen. Zorg ervoor dat de certificaten: regel geen voorafgaande witruimte heeft en dat geneste items worden ingesprongen door twee spaties. Voorbeeld:

   certificates:
      device_ca_cert: "file:///<path>/<device CA cert>"
      device_ca_pk: "file:///<path>/<device CA key>"
      trusted_ca_certs: "file:///<path>/<root CA cert>"
   

3. Zorg ervoor dat de gebruiker iotedge lees-/schrijfmachtigingen heeft voor de directory met de certificaten.

4. Als u eerder andere certificaten voor IoT Edge op het apparaat hebt gebruikt, verwijdert u de bestanden in de volgende twee mappen voordat u IoT Edge start of opnieuw start:

   • /var/aziot/hsm/certs
   • /var/aziot/hsm/cert_keys

5. Start IoT Edge opnieuw.

   sudo iotedge system restart
   

Windows-containers

1. Open het configuratiebestand van de IoT Edge-beveiligingsdaemon: C:\ProgramData\iotedge\config.yaml

2. Stel de certificaateigenschappen in config.yaml in op het bestands-URI-pad naar het certificaat en de sleutelbestanden op het IoT Edge-apparaat. Verwijder het # teken voordat de certificaateigenschappen opmerkingen bij de vier regels verwijderen. Zorg ervoor dat de certificaten: regel geen voorafgaande witruimte heeft en dat geneste items worden ingesprongen door twee spaties. Voorbeeld:

   certificates:
      device_ca_cert: "file:///C:/<path>/<device CA cert>"
      device_ca_pk: "file:///C:/<path>/<device CA key>"
      trusted_ca_certs: "file:///C:/<path>/<root CA cert>"
   

3. Als u eerder andere certificaten voor IoT Edge op het apparaat hebt gebruikt, verwijdert u de bestanden in de volgende twee mappen voordat u IoT Edge start of opnieuw start:

   • C:\ProgramData\iotedge\hsm\certs
   • C:\ProgramData\iotedge\hsm\cert_keys

4. Start IoT Edge opnieuw.

   Restart-Service iotedge
   

Moduleservercertificaten

Edge-daemon geeft moduleserver- en identiteitscertificaten voor gebruik door Edge-modules. Het blijft de verantwoordelijkheid van Edge-modules om hun identiteits- en servercertificaten zo nodig te vernieuwen.

Verlenging

Servercertificaten kunnen worden uitgegeven via het Edge CA-certificaat of via een door DPS geconfigureerde CA. Ongeacht de uitgiftemethode moeten deze certificaten worden vernieuwd door de module.

Wijzigingen in 1.2 en hoger

• De naam van het CA-certificaat van het apparaat is gewijzigd als Edge-CA-certificaat.
• Het CA-certificaat van de workload is afgeschaft. Nu genereert ioT Edge-beveiligingsbeheer het IoT Edge-hubservercertificaat edgeHub rechtstreeks vanuit het Edge-CA-certificaat, zonder het tussenliggende CA-certificaat van de werkbelasting ertussen.
• Het standaardconfiguratiebestand heeft een nieuwe naam en locatie, van /etc/iotedge/config.yaml naar /etc/aziot/config.toml standaard. De iotedge config import opdracht kan worden gebruikt om configuratiegegevens van de oude locatie en syntaxis naar de nieuwe te migreren.

Volgende stappen

Het installeren van certificaten op een IoT Edge-apparaat is een noodzakelijke stap voordat u uw oplossing in productie implementeert. Meer informatie over het voorbereiden van de implementatie van uw IoT Edge-oplossing in productie.