Udostępnij za pośrednictwem


Tworzenie tożsamości urządzeń i zarządzanie nimi

Utwórz tożsamość urządzenia, aby połączyć się z usługą Azure IoT Hub. W tym artykule przedstawiono kluczowe zadania zarządzania tożsamością urządzenia, w tym rejestrowanie urządzenia, zbieranie informacji o połączeniu, a następnie usuwanie lub wyłączanie urządzenia na końcu jego cyklu życia.

Wymagania wstępne

  • Centrum IoT w ramach subskrypcji platformy Azure. Jeśli nie masz jeszcze centrum, możesz wykonać kroki opisane w temacie Tworzenie centrum IoT Hub.

  • W zależności od używanego narzędzia masz dostęp do witryny Azure Portal lub zainstaluj interfejs wiersza polecenia platformy Azure.

  • Jeśli centrum IoT jest zarządzane za pomocą kontroli dostępu opartej na rolach (RBAC), musisz mieć uprawnienia odczyt/zapis/usuwanie urządzenia/modułu , aby wykonać kroki opisane w tym artykule. Te uprawnienia są uwzględniane w roli Współautor rejestru usługi IoT Hub.

Przygotowywanie certyfikatów

Urządzenia używają dwóch różnych typów certyfikatów do nawiązywania połączenia z usługą IoT Hub. Podczas przygotowywania urządzenia przed nawiązaniem połączenia upewnij się, że masz wszystkie odpowiednie certyfikaty utworzone i dodane do urządzenia.

  • Publiczne certyfikaty główne: wszystkie urządzenia muszą mieć kopię publicznych certyfikatów głównych używanych przez usługę IoT Hub, IoT Central i Device Provisioning Service do autoryzowania połączeń.
  • Certyfikaty uwierzytelniania: certyfikaty X.509 są zalecaną metodą uwierzytelniania tożsamości urządzenia.

Wymagane publiczne certyfikaty główne

Urządzenia usługi Azure IoT używają protokołu TLS do weryfikowania autentyczności punktu końcowego usługi IoT Hub lub DPS, z którymi się łączą. Każde urządzenie wymaga kopii certyfikatu głównego używanego przez usługę IoT Hub i usługę DPS. Zalecamy, aby wszystkie urządzenia zawierały następujące główne urzędy certyfikacji w ich zaufanym magazynie certyfikatów:

  • Globalny urząd certyfikacji G2 firmy DigiCert
  • Główny urząd certyfikacji RSA firmy Microsoft 2017

Aby uzyskać więcej informacji na temat zalecanych praktyk dotyczących certyfikatów usługi IoT Hub, zobacz Obsługa protokołu TLS.

Certyfikaty uwierzytelniania

Jeśli używasz uwierzytelniania certyfikatu X.509 dla urządzeń, upewnij się, że certyfikaty są gotowe przed zarejestrowaniem urządzenia:

  • W przypadku certyfikatów podpisanych przez urząd certyfikacji samouczek Tworzenie i przekazywanie certyfikatów na potrzeby testowania zawiera dobre wprowadzenie do tworzenia certyfikatów podpisanych przez urząd certyfikacji i przekazywania ich do usługi IoT Hub. Po ukończeniu tego samouczka możesz zarejestrować urządzenie przy użyciu uwierzytelniania podpisanego przez urząd certyfikacji X.509.

  • W przypadku certyfikatów z podpisem własnym potrzebne są dwa certyfikaty urządzenia (podstawowy i pomocniczy certyfikat) na urządzeniu i odciski palca, które mają zostać przekazane do usługi IoT Hub. Jednym ze sposobów pobrania odcisku palca z certyfikatu jest następujące polecenie OpenSSL:

    openssl x509 -in <certificate filename>.pem -text -fingerprint
    

Rejestrowanie urządzenia

W tej sekcji utworzysz tożsamość urządzenia w rejestrze tożsamości w centrum IoT Hub. Urządzenie nie może nawiązać połączenia z centrum, chyba że ma tożsamość urządzenia.

Rejestr tożsamości usługi IoT Hub przechowuje tożsamości urządzenia tylko po to, aby umożliwić bezpieczny dostęp do centrum IoT. Przechowuje identyfikatory urządzeń i klucze, które będą używane jako poświadczenia zabezpieczeń, oraz flagę włączone/wyłączone, która umożliwia wyłączenie dostępu do poszczególnych urządzeń.

Podczas rejestrowania urządzenia należy wybrać jego metodę uwierzytelniania. Usługa IoT Hub obsługuje trzy metody uwierzytelniania urządzeń:

  • Klucz - symetryczny Ta opcja jest najłatwiejsza w scenariuszach szybkiego startu.

    Podczas rejestrowania urządzenia możesz podać klucze lub usługa IoT Hub wygeneruje klucze. Zarówno urządzenie, jak i centrum IoT mają kopię klucza symetrycznego, który można porównać podczas nawiązywania połączenia z urządzeniem.

  • Podpis własny X.509

    Jeśli urządzenie ma certyfikat X.509 z podpisem własnym, musisz nadać usłudze IoT Hub wersję certyfikatu na potrzeby uwierzytelniania. Podczas rejestrowania urządzenia należy przekazać odcisk palca certyfikatu, który jest skrótem certyfikatu X.509 urządzenia. Po nawiązaniu połączenia urządzenie prezentuje certyfikat, a centrum IoT może zweryfikować go względem skrótu, który zna. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie tożsamości przy użyciu certyfikatów X.509.

  • Certyfikat X.509 urzędu certyfikacji podpisany - Ta opcja jest zalecana w scenariuszach produkcyjnych.

    Jeśli urządzenie ma certyfikat X.509 z podpisem urzędu certyfikacji, należy przekazać certyfikat głównego lub pośredniego urzędu certyfikacji w łańcuchu podpisywania do usługi IoT Hub przed zarejestrowaniem urządzenia. Urządzenie ma certyfikat X.509 ze zweryfikowanym urzędem certyfikacji X.509 w łańcuchu zaufania certyfikatów. Po nawiązaniu połączenia urządzenie prezentuje pełny łańcuch certyfikatów, a centrum IoT może go zweryfikować, ponieważ zna urząd certyfikacji X.509. Wiele urządzeń może uwierzytelniać się względem tego samego zweryfikowanego urzędu certyfikacji X.509. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie tożsamości przy użyciu certyfikatów X.509.

Dodawanie urządzenia

Utworzenie tożsamości urządzenia w centrum IoT.

  1. W witrynie Azure Portal przejdź do centrum IoT Hub.

  2. Wybierz pozycję Urządzenia do zarządzania urządzeniami>.

  3. Wybierz pozycję Dodaj urządzenie , aby dodać urządzenie w centrum IoT Hub.

    Zrzut ekranu przedstawiający dodawanie nowego urządzenia w witrynie Azure Portal.

  4. W obszarze Tworzenie urządzenia podaj informacje dotyczące nowej tożsamości urządzenia:

    Parametr Parametr zależny Wartość
    Identyfikator urządzenia Podaj nazwę nowego urządzenia.
    Authentication type (Typ uwierzytelniania) Wybierz klucz symetryczny, podpis własny X.509 lub podpisany przez urząd certyfikacji X.509.
    Automatyczne generowanie kluczy W przypadku uwierzytelniania klucza symetrycznego zaznacz to pole wyboru, aby usługa IoT Hub wygenerowała klucze dla urządzenia. Możesz też usunąć zaznaczenie tego pola i podać klucze podstawowe i pomocnicze dla urządzenia.
    Podstawowy odcisk palca i pomocniczy odcisk palca W przypadku uwierzytelniania z podpisem własnym X.509 podaj skrót odcisku palca z podstawowych i pomocniczych certyfikatów urządzenia.

    Ważne

    Identyfikator urządzenia może być widoczny w dziennikach zbieranych na potrzeby obsługi klienta i rozwiązywania problemów, dlatego upewnij się, żeby unikać poufnych informacji podczas nadawania mu nazwy.

  5. Wybierz pozycję Zapisz.

Pobieranie parametrów połączenia urządzenia

W przypadku przykładów i scenariuszy testowych najbardziej typową metodą połączenia jest użycie uwierzytelniania klucza symetrycznego i nawiązanie połączenia z urządzeniem parametry połączenia. Urządzenie parametry połączenia zawiera nazwę centrum IoT, nazwę urządzenia i informacje o uwierzytelnianiu urządzenia.

Aby uzyskać informacje o innych metodach łączenia urządzeń, szczególnie w przypadku uwierzytelniania X.509, zapoznaj się z zestawami SDK urządzeń usługi Azure IoT Hub.

Wykonaj poniższe kroki, aby pobrać parametry połączenia urządzenia.

Witryna Azure Portal udostępnia parametry połączenia urządzeń tylko dla urządzeń korzystających z uwierzytelniania klucza symetrycznego.

  1. W witrynie Azure Portal przejdź do centrum IoT Hub.

  2. Wybierz pozycję Urządzenia do zarządzania urządzeniami>.

  3. Wybierz urządzenie z listy w okienku Urządzenia .

  4. Skopiuj wartość podstawowego parametry połączenia.

    Zrzut ekranu przedstawiający kopiowanie wartości parametry połączenia podstawowej z witryny Azure Portal.

    Domyślnie klucze i parametry połączenia są maskowane, ponieważ są to informacje poufne. Po kliknięciu ikony oka zostaną one ujawnione. Nie trzeba ich ujawniać, aby skopiować je za pomocą przycisku kopiowania.

Urządzenia z uwierzytelnianiem klucza symetrycznego mają urządzenie parametry połączenia z następującym wzorcem:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>

Urządzenia z uwierzytelnianiem X.509 z podpisem własnym lub urzędem certyfikacji zwykle nie używają parametry połączenia urządzeń do uwierzytelniania. Gdy to zrobią, ich parametry połączenia mają następujący wzorzec:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true

Wyłączanie lub usuwanie urządzenia

Jeśli chcesz zachować urządzenie w rejestrze tożsamości centrum IoT Hub, ale chcesz uniemożliwić mu nawiązanie połączenia, możesz zmienić jego stan na wyłączony.

  1. W witrynie Azure Portal przejdź do centrum IoT Hub.

  2. Wybierz pozycję Urządzenia do zarządzania urządzeniami>.

  3. Wybierz urządzenie z listy w okienku Urządzenia .

  4. Na stronie szczegółów urządzenia można wyłączyć lub usunąć rejestrację urządzenia.

    • Aby uniemożliwić nawiązywanie połączenia z urządzeniem, ustaw parametr Włącz połączenie z usługą IoT Hub na wartość Wyłącz.

      Zrzut ekranu przedstawiający wyłączenie urządzenia w witrynie Azure Portal.

    • Aby całkowicie usunąć urządzenie z rejestru tożsamości centrum IoT Hub, wybierz pozycję Usuń.

      Zrzut ekranu przedstawiający usuwanie urządzenia w witrynie Azure Portal.

Inne narzędzia do zarządzania tożsamościami urządzeń

Do zarządzania rejestrem tożsamości usługi IoT Hub można użyć innych narzędzi lub interfejsów, w tym: