Zarządzanie certyfikatami usługi IoT Edge

Dotyczy: IoT Edge 1.1

Ważne

Data zakończenia wsparcia usługi IoT Edge 1.1 wynosiła 13 grudnia 2022 r. Zapoznaj się z cyklem życia produktów firmy Microsoft, aby uzyskać informacje na temat sposobu obsługi tego produktu lub interfejsu API albo tej usługi lub technologii. Aby uzyskać więcej informacji na temat aktualizowania do najnowszej wersji usługi IoT Edge, zobacz Aktualizowanie usługi IoT Edge.

Wszystkie urządzenia IoT Edge używają certyfikatów do tworzenia bezpiecznych połączeń między środowiskiem uruchomieniowym a dowolnymi modułami uruchomionymi na urządzeniu. Urządzenia usługi IoT Edge działające jako bramy używają tych samych certyfikatów do łączenia się z urządzeniami podrzędnymi. Aby uzyskać więcej informacji na temat funkcji różnych certyfikatów na urządzeniu usługi IoT Edge, zobacz Omówienie sposobu korzystania z certyfikatów przez usługę Azure IoT Edge.

Uwaga

Termin główny urząd certyfikacji używany w tym artykule odnosi się do certyfikatu najwyższego urzędu w łańcuchu certyfikatów dla rozwiązania IoT. Nie musisz używać katalogu głównego certyfikatu urzędu certyfikacji syndyka lub katalogu głównego urzędu certyfikacji organizacji. W wielu przypadkach jest to certyfikat pośredniego urzędu certyfikacji.

Wymagania wstępne

• Informacje o sposobie, w jaki usługa Azure IoT Edge używa certyfikatów.

• Urządzenie usługi IoT Edge. Jeśli nie masz skonfigurowanego urządzenia usługi IoT Edge, możesz go utworzyć na maszynie wirtualnej platformy Azure. Wykonaj kroki opisane w jednym z artykułów szybki start, aby utworzyć wirtualne urządzenie z systemem Linux lub utworzyć wirtualne urządzenie z systemem Windows.

• Możliwość edytowania pliku config.toml konfiguracji usługi IoT Edge zgodnie z szablonem konfiguracji.

  • config.toml Jeśli szablon nie jest oparty na szablonie, otwórz szablon i skorzystaj z komentarzy wskazówek, aby dodać sekcje konfiguracji zgodnie ze strukturą szablonu.

  • Jeśli masz nową instalację usługi IoT Edge, która nie została skonfigurowana, skopiuj szablon, aby zainicjować konfigurację. Nie używaj tego polecenia, jeśli masz istniejącą konfigurację. Zastępuje on plik.

    sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml
    

Urząd certyfikacji urządzenia

Wszystkie urządzenia IoT Edge używają certyfikatów do tworzenia bezpiecznych połączeń między środowiskiem uruchomieniowym a dowolnymi modułami uruchomionymi na urządzeniu. Urządzenia usługi IoT Edge działające jako bramy używają tych samych certyfikatów do łączenia się z urządzeniami podrzędnymi. Aby uzyskać więcej informacji na temat funkcji różnych certyfikatów na urządzeniu usługi IoT Edge, zobacz Omówienie sposobu korzystania z certyfikatów przez usługę Azure IoT Edge.

Usługa IoT Edge automatycznie generuje urząd certyfikacji urządzenia na urządzeniu w kilku przypadkach, w tym:

• Jeśli nie podasz własnych certyfikatów produkcyjnych podczas instalowania i aprowizowania usługi IoT Edge, menedżer zabezpieczeń usługi IoT Edge automatycznie generuje certyfikat urzędu certyfikacji urządzenia. Ten certyfikat z podpisem własnym jest przeznaczony tylko dla scenariuszy programowania i testowania, a nie środowiska produkcyjnego. Ten certyfikat wygasa po upływie 90 dni.
• Menedżer zabezpieczeń usługi IoT Edge generuje również certyfikat urzędu certyfikacji obciążenia podpisany przez certyfikat urzędu certyfikacji urządzenia.

W przypadku tych dwóch automatycznie wygenerowanych certyfikatów można ustawić flagę w pliku konfiguracji, aby skonfigurować liczbę dni istnienia certyfikatów.

Uwaga

Istnieje trzeci automatycznie wygenerowany certyfikat tworzony przez menedżera zabezpieczeń usługi IoT Edge, certyfikat serwera centrum usługi IoT Edge. Ten certyfikat zawsze ma okres istnienia 30 dni, ale jest automatycznie odnawiany przed wygaśnięciem. Automatycznie wygenerowana wartość okresu istnienia urzędu certyfikacji ustawiona w pliku konfiguracji nie ma wpływu na ten certyfikat.

Dostosowywanie okresu istnienia certyfikatu urzędu certyfikacji urządzenia z przewodnikiem Szybki start

Po wygaśnięciu po określonej liczbie dni usługa IoT Edge musi zostać ponownie uruchomiona, aby ponownie wygenerować certyfikat urzędu certyfikacji urządzenia. Certyfikat urzędu certyfikacji urządzenia nie jest odnawiany automatycznie.

Kontenery systemu Linux

1. Aby skonfigurować wygaśnięcie certyfikatu na wartość inną niż domyślna 90 dni, dodaj wartość w dniach do sekcji certyfikatów w pliku konfiguracji.

   certificates:
     device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
     device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
     trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
     auto_generated_ca_lifetime_days: <value>
   

   Uwaga

   Obecnie ograniczenie w libiothsm uniemożliwia korzystanie z certyfikatów wygasających 1 stycznia 2038 r. lub po nich.

2. Usuń zawartość folderu, hsm aby usunąć wszystkie wcześniej wygenerowane certyfikaty.

   • /var/aziot/hsm/certs
   • /var/aziot/hsm/cert_keys

3. Uruchom ponownie usługę IoT Edge.

   sudo systemctl restart iotedge
   

4. Potwierdź ustawienie okresu istnienia.

   sudo iotedge check --verbose
   

   Sprawdź dane wyjściowe gotowości produkcyjnej : sprawdzanie certyfikatów , które wyświetla liczbę dni do wygaśnięcia automatycznie wygenerowanych certyfikatów urzędu certyfikacji urządzenia.

Kontenery systemu Windows

1. Aby skonfigurować wygaśnięcie certyfikatu na wartość inną niż domyślna 90 dni, dodaj wartość w dniach do sekcji certyfikatów w pliku konfiguracji.

   certificates:
     device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
     device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
     trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
     auto_generated_ca_lifetime_days: <value>
   

   Uwaga

   Obecnie ograniczenie w libiothsm uniemożliwia korzystanie z certyfikatów wygasających 1 stycznia 2038 r. lub po nich.

2. Usuń zawartość folderu, hsm aby usunąć wszystkie wcześniej wygenerowane certyfikaty.

   • C:\ProgramData\iotedge\hsm\certs
   • C:\ProgramData\iotedge\hsm\cert_keys

3. Uruchom ponownie usługę IoT Edge.

   Restart-Service iotedge
   

4. Potwierdź ustawienie okresu istnienia.

   iotedge check --verbose
   

   Sprawdź dane wyjściowe gotowości produkcyjnej : sprawdzanie certyfikatów , które wyświetla liczbę dni do wygaśnięcia automatycznie wygenerowanych certyfikatów urzędu certyfikacji urządzenia.

Instalowanie urzędu certyfikacji urządzenia dla środowiska produkcyjnego

Po przejściu do scenariusza produkcyjnego lub utworzeniu urządzenia bramy należy podać własne certyfikaty.

Tworzenie i instalowanie urzędu certyfikacji urządzenia dla środowiska produkcyjnego

1. Użyj własnego urzędu certyfikacji, aby utworzyć następujące pliki:

   • Główny urząd certyfikacji
   • Certyfikat urzędu certyfikacji urządzenia
   • Klucz prywatny urzędu certyfikacji urządzenia

   Główny urząd certyfikacji nie jest najwyższym urzędem certyfikacji dla organizacji. Jest to najwyższy urząd certyfikacji dla scenariusza usługi IoT Edge, który moduł centrum usługi IoT Edge, moduły użytkownika i wszystkie urządzenia podrzędne używają do ustanawiania relacji zaufania między sobą.

   Aby zapoznać się z przykładem tych certyfikatów, zapoznaj się ze skryptami, które tworzą certyfikaty demonstracyjne w temacie Zarządzanie certyfikatami testowego urzędu certyfikacji na potrzeby przykładów i samouczków.

   Uwaga

   Obecnie ograniczenie w libiothsm uniemożliwia korzystanie z certyfikatów wygasających 1 stycznia 2038 r. lub po nich.

2. Skopiuj trzy pliki certyfikatu i klucza na urządzenie usługi IoT Edge. Aby przenieść pliki certyfikatów, możesz użyć usługi, takiej jak Azure Key Vault lub funkcji takiej jak Protokół Secure copy . Jeśli certyfikaty wygenerowano na samym urządzeniu usługi IoT Edge, możesz pominąć ten krok i użyć ścieżki do katalogu roboczego.

   Napiwek

   Jeśli użyto przykładowych skryptów do utworzenia certyfikatów demonstracyjnych, trzy pliki certyfikatów i kluczy znajdują się w następujących ścieżkach:

   • Certyfikat urzędu certyfikacji urządzenia: <WRKDIR>\certs\iot-edge-device-MyEdgeDeviceCA-full-chain.cert.pem
   • Klucz prywatny urzędu certyfikacji urządzenia: <WRKDIR>\private\iot-edge-device-MyEdgeDeviceCA.key.pem
   • Główny urząd certyfikacji: <WRKDIR>\certs\azure-iot-test-only.root.ca.cert.pem

Kontenery systemu Linux

1. Otwórz plik konfiguracji demona zabezpieczeń usługi IoT Edge: /etc/iotedge/config.yaml

2. Ustaw właściwości certyfikatu w pliku config.yaml na ścieżkę identyfikatora URI pliku do plików certyfikatu i kluczy na urządzeniu usługi IoT Edge. # Usuń znak przed właściwościami certyfikatu, aby usunąć komentarz z czterech wierszy. Upewnij się, że certyfikaty: wiersz nie ma wcześniejszego odstępu i że zagnieżdżone elementy są wcięte przez dwie spacje. Na przykład:

   certificates:
      device_ca_cert: "file:///<path>/<device CA cert>"
      device_ca_pk: "file:///<path>/<device CA key>"
      trusted_ca_certs: "file:///<path>/<root CA cert>"
   

3. Upewnij się, że użytkownik iotedge ma uprawnienia do odczytu/zapisu dla katalogu zawierającego certyfikaty.

4. Jeśli wcześniej użyto innych certyfikatów dla usługi IoT Edge na urządzeniu, usuń pliki w następujących dwóch katalogach przed uruchomieniem lub ponownym uruchomieniem usługi IoT Edge:

   • /var/aziot/hsm/certs
   • /var/aziot/hsm/cert_keys

5. Uruchom ponownie usługę IoT Edge.

   sudo iotedge system restart
   

Kontenery systemu Windows

1. Otwórz plik konfiguracji demona zabezpieczeń usługi IoT Edge: C:\ProgramData\iotedge\config.yaml

2. Ustaw właściwości certyfikatu w pliku config.yaml na ścieżkę identyfikatora URI pliku do plików certyfikatu i kluczy na urządzeniu usługi IoT Edge. # Usuń znak przed właściwościami certyfikatu, aby usunąć komentarz z czterech wierszy. Upewnij się, że certyfikaty: wiersz nie ma wcześniejszego odstępu i że zagnieżdżone elementy są wcięte przez dwie spacje. Na przykład:

   certificates:
      device_ca_cert: "file:///C:/<path>/<device CA cert>"
      device_ca_pk: "file:///C:/<path>/<device CA key>"
      trusted_ca_certs: "file:///C:/<path>/<root CA cert>"
   

3. Jeśli wcześniej użyto innych certyfikatów dla usługi IoT Edge na urządzeniu, usuń pliki w następujących dwóch katalogach przed uruchomieniem lub ponownym uruchomieniem usługi IoT Edge:

   • C:\ProgramData\iotedge\hsm\certs
   • C:\ProgramData\iotedge\hsm\cert_keys

4. Uruchom ponownie usługę IoT Edge.

   Restart-Service iotedge
   

Certyfikaty serwera modułów

Demon usługi Edge wystawia certyfikaty serwera modułu i tożsamości do użycia przez moduły usługi Edge. Moduły usługi Edge są odpowiedzialne za odnawianie tożsamości i certyfikatów serwera zgodnie z potrzebami.

Odnowienie

Certyfikaty serwera mogą być wystawiane poza certyfikatem urzędu certyfikacji brzegowego lub za pośrednictwem urzędu certyfikacji skonfigurowanego przez usługę DPS. Niezależnie od metody wystawiania te certyfikaty muszą zostać odnowione przez moduł.

Zmiany w wersji 1.2 lub nowszej

• Nazwa certyfikatu urzędu certyfikacji urządzenia została zmieniona na Certyfikat urzędu certyfikacji usługi Edge.
• Certyfikat urzędu certyfikacji obciążenia był przestarzały. Teraz menedżer zabezpieczeń usługi IoT Edge generuje certyfikat serwera centrum edgeHub usługi IoT Edge bezpośrednio z certyfikatu urzędu certyfikacji usługi Edge bez pośredniego certyfikatu urzędu certyfikacji obciążenia między nimi.
• Domyślny plik konfiguracji ma nową nazwę i lokalizację z /etc/iotedge/config.yaml domyślnie /etc/aziot/config.toml . Polecenie iotedge config import może służyć do migrowania informacji o konfiguracji ze starej lokalizacji i składni do nowej.

Następne kroki

Instalowanie certyfikatów na urządzeniu usługi IoT Edge jest niezbędnym krokiem przed wdrożeniem rozwiązania w środowisku produkcyjnym. Dowiedz się więcej o sposobie przygotowania do wdrożenia rozwiązania usługi IoT Edge w środowisku produkcyjnym.