Configurar um Hub IoT do Azure para o Azure Sphere com o Serviço de Aprovisionamento de Dispositivos

O Hub IoT do Azure Serviço de Aprovisionamento de Dispositivos (DPS) pode ativar qualquer dispositivo que seja reclamado no catálogo do Azure Sphere para se ligar à sua instância de Hub IoT do Azure quando está online pela primeira vez e autentica com um certificado X.509.

Antes de começar

Os passos nesta secção partem do princípio de que:

• O dispositivo do Azure Sphere está ligado ao PC por USB.
• Criou uma instância Hub IoT do Azure.

Autenticar com o Serviço de Aprovisionamento de Dispositivos

Siga estes passos para configurar o dispositivo para autenticar com o Serviço Aprovisionamento de Dispositivos (DPS).

Importante

Se optar por testar uma aplicação baseada no Azure IoT que utiliza o DPS, tenha em atenção que o DPS cobra 0,123 $ por 1000 operações; ou seja, 12,3 cêntimos por mil operações. Esperamos que o crédito gratuito aplicado a muitas subscrições novas cubra quaisquer custos do DPS, mas recomendamos que verifique os detalhes do contrato de subscrição. Para obter informações sobre preços, veja preços de Hub IoT do Azure.

Passo 1. Criar um novo Serviço de Aprovisionamento de Dispositivos Hub IoT do Azure e ligá-lo à instância do Hub IoT do Azure

1. Inicie sessão no portal do Azure.
2. Criar um Serviço de Aprovisionamento de Dispositivos.
3. Ligue a sua instância de Hub IoT do Azure existente ao seu DPS.

Passo 2. Transferir o certificado de AC de autenticação de catálogo

1. Na linha de comandos, inicie sessão com o início de sessão do Azure:

   az login
   

2. Transfira o certificado de AC de catálogo para o catálogo do Azure Sphere. Este comando transfere o certificado para um ficheiro com o nome CAcertificate.cer no diretório de trabalho atual. Certifique-se de que transfere o ficheiro para um diretório onde tem permissões de escrita ou que a operação de transferência irá falhar. O ficheiro de saída tem de ter uma extensão .cer.

   az sphere ca-certificate download --resource-group MyResourceGroup --catalog MyCatalog --output-file CACertificate.cer
   

Passo 3. Carregar e provar a posse do certificado de AC do catálogo

Carregue o certificado de autoridade de certificação (AC) de catálogo para o DPS e, em seguida, comprove automaticamente ou manualmente que é o proprietário do certificado.

1. No Portal do Azure, navegue para o DPS que criou.
2. Selecione Certificados na secção Definições .
3. Selecione Adicionar para adicionar um novo certificado.
4. Em Nome do certificado, introduza um nome a apresentar para o certificado.
5. No ficheiro .pem ou .cer do certificado, selecione o ícone de pasta para escolher o ficheiro de certificado que transferiu no passo anterior.
6. Prove a posse de um certificado de AC com um dos seguintes métodos:
   • Verificar o certificado automaticamente
   • Verificar o certificado manualmente

Verificar o certificado automaticamente

Para adicionar um certificado e verificar automaticamente (provar a posse do certificado de AC do catálogo):

1. Na caixa Adicionar certificado , selecione a caixa Definir estado do certificado a verificar no carregamento.
2. Após a verificação, o estado do certificado muda para Verificado na vista de lista Certificados . Selecione Atualizar se o estado não for atualizado automaticamente.

Em seguida, avance para o Passo 4: Utilizar o certificado de validação para adicionar o dispositivo a um grupo de inscrição.

Verificar o certificado manualmente

Para adicionar um certificado e verificar manualmente (provar a posse do certificado de AC do catálogo):

1. Obtenha um código de verificação exclusivo do portal do Azure.
2. Transfira o certificado de prova de posse que prova que é o proprietário do certificado de AC de catálogo da CLI do Azure.
3. Carregue o certificado de verificação assinado no portal do Azure. O serviço valida o certificado de verificação utilizando a parte pública do certificado de AC a verificar, provando assim que está na posse da chave privada do certificado da AC.

Obter um código de verificação exclusivo do portal do Azure

1. Depois de selecionar um certificado no painel Adicionar certificado , deixe a caixa Definir estado do certificado a verificar ao carregar desmarcado. Selecione Guardar.

2. A vista Lista de certificados mostra os certificados. O Estado do certificado que criou é Não Verificado.

   

3. Selecione o nome do certificado para apresentar os respetivos detalhes. No painel Certificados , selecione Gerar código de verificação. Copie o código de verificação para a área de transferência para utilizar no passo seguinte. (Não selecione Verificar ainda.)

   

Transferir um certificado de prova de posse que comprove que é o proprietário do certificado de AC de catálogo

Regresse à CLI do Azure e transfira um certificado de prova de posse para o catálogo do Azure Sphere. Utilize o código de verificação para gerar o certificado como um ficheiro .cer X.509.

az sphere ca-certificate download-proof --destination ValidationCertification.cer --verification-code <code>

Carregar o certificado de verificação assinado

O Serviço de Segurança do Azure Sphere assina o certificado de validação com o código de verificação para provar que é o proprietário da AC.

1. Em Certificados no Portal do Azure, no campo de ficheiro Certificado de verificação .pem ou .cer , navegue para selecionar e carregar o certificado de verificação assinado. O certificado está localizado no diretório no qual invocou o comando de transferência.

2. Quando o certificado for carregado com êxito, selecione Verificar.

   

3. Após a verificação, o estado do certificado muda para Verificado na vista de lista Certificados . Selecione Atualizar se o estado não for atualizado automaticamente.

Nota

Execute os Passos 1 a 3 apenas uma vez por catálogo do Azure Sphere.

Passo 4. Utilizar o certificado de validação para adicionar o dispositivo a um grupo de inscrição

1. Na secção Definições , selecione Gerir inscrições e, em seguida, Adicionar grupo de inscrição.

2. No painel Adicionar Grupo de Inscrição :

   • Introduza um nome para o grupo de inscrição.
   • Selecione Certificado como o Tipo de atestado e Certificado de AC como o Tipo de certificado.
   • Na lista pendente em Certificado primário, selecione o certificado que validou no passo anterior.

3. Selecione Guardar na parte superior da página. Após a criação com êxito do grupo de inscrição, deverá ver o nome do grupo a aparecer no separador Grupos de Inscrição .

Passos seguintes

Depois de concluir estes passos, qualquer dispositivo que seja reclamado no catálogo do Azure Sphere é automaticamente inscrito na instância do Hub IoT do Azure quando se liga pela primeira vez ao seu dispositivo.

Agora, pode executar o exemplo do Azure IoT, seguindo as instruções específicas para ligar através do DPS.

Informações adicionais

Para utilizar a autenticação direta em vez do DPS, veja Configurar um hub IoT para o Azure Sphere.