在 Linux 上使用 X.509 证书创建和预配 IoT Edge 设备
适用于: IoT Edge 1.1
重要
IoT Edge 1.1 终止支持日期为 2022 年 12 月 13 日。 请查看 Microsoft 产品生命周期,了解此产品、服务、技术或 API 的受支持情况。 有关更新到最新版本的 IoT Edge 的详细信息,请参阅 更新 IoT Edge。
本文提供有关注册和预配 Linux IoT Edge 设备的端到端说明,包括安装 IoT Edge。
连接到 IoT 中心的每个设备都有一个设备 ID,用于跟踪云到设备或设备到云的通信。 可以使用设备连接信息来配置设备,这些信息包括 IoT 中心主机名、设备 ID 以及设备用于向 IoT 中心进行身份验证的信息。
本文中的步骤演示了一个名为“手动预配”的过程。在手动预配过程中,你可以将单个设备连接到其 IoT 中心。 对于手动预配,可以通过两种方式来验证 IoT Edge 设备:
对称密钥:你在 IoT 中心创建新设备标识时,服务将创建两个密钥。 将其中一个密钥置于设备上,并在进行身份验证时将该密钥提供给 IoT 中心。
此身份验证方法更容易上手,但不够安全。
X.509 自签名:创建两个 X.509 标识证书并将其置于设备上。 在 IoT 中心创建新的设备标识时,需要提供两个证书的指纹。 设备在向 IoT 中心进行身份验证时会提供一个证书,IoT 中心会验证该证书是否与其指纹匹配。
此身份验证方法更加安全,建议用于生产方案。
本文介绍如何使用 X.509 证书作为身份验证方法。 如果要使用对称密钥,请参阅在 Linux 上使用对称密钥创建和预配 IoT Edge 设备。
注意
如果要设置多个设备,并且不想手动预配每个设备,请参阅以下文章之一来了解 IoT Edge 如何与 IoT 中心设备预配服务配合工作:
先决条件
本文介绍如何注册 IoT Edge 设备并在设备上安装 IoT Edge。 这些任务具有不同的先决条件和用于完成这些任务的实用程序。 在继续操作之前,请确保已满足所有先决条件。
设备管理工具
你可以使用 Azure 门户、Visual Studio Code 或 Azure CLI 来完成注册设备的步骤。 每个实用工具都有自己的先决条件:
Azure 订阅中的免费或标准 IoT 中心。
设备要求
X64、ARM32 或 ARM64 Linux 设备。
Microsoft 发布了适用于各种操作系统的安装包。
如需生产方案目前支持哪些操作系统的最新信息,请参阅 Azure IoT Edge 支持的系统。
生成设备标识证书
使用 X.509 证书进行手动预配需要 IoT Edge 1.0.10 或更高版本。
使用 X.509 证书预配 IoT Edge 设备时,你将使用所谓的“设备标识证书”。 此证书仅用于预配 IoT Edge 设备,以及通过 Azure IoT 中心对设备进行身份验证。 它是不能对其他证书进行签名的叶证书。 设备标识证书不同于 IoT Edge 设备提供给模块或下游设备进行验证的证书颁发机构 (CA) 证书。
对于 X.509 证书身份验证,每个设备的身份验证信息采用从设备标识证书获取的指纹的形式提供。 在注册设备时,会向 IoT 中心提供这些指纹,以便服务在连接时能够识别设备。
若要详细了解如何在 IoT Edge 设备中使用 CA 证书,请参阅了解 Azure IoT Edge 如何使用证书。
若要使用 X.509 进行手动预配,需要以下文件:
两个设备标识证书,它们需要具有 .cer 或 .pem 格式的匹配私钥证书。
其中一组证书/密钥文件提供给 IoT Edge 运行时。 创建设备标识证书时,请将证书公用名 (CN) 设置为你希望该设备在 IoT 中心具有的设备 ID。
从两个设备标识证书获取的指纹。
SHA-1 哈希的指纹值为 40 个十六进制字符,SHA-256 哈希的指纹值为 64 个十六进制字符。 在注册设备时,两个指纹都将提供给 IoT 中心。
如果没有可用的证书,可以创建演示证书以测试 IoT Edge 设备功能。 按照该文章中的说明设置证书创建脚本、创建根 CA 证书,然后创建两个 IoT Edge 设备标识证书。
从证书中检索指纹的一种方法是使用以下 openssl 命令:
openssl x509 -in <certificate filename>.pem -text -fingerprint
注册设备
根据你的偏好,你可以使用 Azure 门户、Visual Studio Code 或 Azure CLI 来注册设备。
在 Azure 门户你的 IoT 中心内,IoT Edge 设备的创建和管理独立于不支持 Edge 的 IoT 设备。
登录 Azure 门户,导航到 IoT 中心。
在左侧窗格中,从菜单中选择“设备”,然后选择“添加设备”。
在“创建设备”页面上,提供以下信息:
- 创建描述性设备 ID。 记下此设备 ID,因为稍后会用到它。
- 选中“IoT Edge 设备”复选框。
- 选择“X.509 自签名”作为身份验证类型。
- 提供主要和辅助标识证书指纹。 SHA-1 哈希的指纹值为 40 个十六进制字符,SHA-256 哈希的指纹值为 64 个十六进制字符。
选择“保存”。
在 IoT 中心完成设备注册后,需检索用于安装和预配 IoT Edge 运行时的信息。
查看已注册设备并检索预配信息
使用 X.509 证书进行身份验证的设备需要其 IoT 中心名称、设备名称及证书文件才能完成 IoT Edge 运行时的安装和预配。
连接到 IoT 中心并已启用 Edge 的设备将在“设备”页上列出。 可以按“Iot Edge 设备”类型筛选列表。
安装 IoT Edge
在本节中,你将准备 IoT Edge 的 Linux VM 或物理设备。 然后安装 IoT Edge。
运行以下命令以添加包存储库,然后将 Microsoft 包签名密钥添加到你的受信任密钥列表中。
重要
2022 年 6 月 30 日,Raspberry Pi OS Stretch 将在第 1 层 OS 支持列表中停用。 为避免潜在的安全漏洞,请将主机 OS 更新为 Bullseye。
安装可通过几个命令来完成。 打开终端并运行以下命令:
20.04:
wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb
18.04:
wget https://packages.microsoft.com/config/ubuntu/18.04/multiarch/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb
注意
Azure IoT Edge 软件包受制于每个包(usr/share/doc/{package-name}
或 LICENSE
目录)中的许可条款。 请在使用包之前阅读许可条款。 安装和使用包即表示你接受这些条款。 如果你不同意许可条款,请不要使用该包。
安装容器引擎
Azure IoT Edge 依赖于 OCI 兼容的容器运行时。 对于生产方案,建议使用 Moby 引擎。 Moby 引擎是官方唯一支持用于 IoT Edge 的容器引擎。 Docker CE/EE 容器映像与 Moby 运行时兼容。
安装 Moby 引擎。
sudo apt-get update; \
sudo apt-get install moby-engine
成功安装 Moby 引擎后,将其配置为使用 local
日志记录驱动程序作为日志记录机制。 若要了解有关日志记录配置的详细信息,请参阅生产部署清单。
在
/etc/docker/daemon.json
创建或打开 Docker 守护程序的配置文件。将默认日志记录驱动程序设置为
local
日志记录驱动程序,如下例所示。{ "log-driver": "local" }
重启容器引擎以使更改生效。
sudo systemctl restart docker
提示
如果在安装 Moby 容器引擎时出现错误,请验证 Linux 内核的 Moby 兼容性。 有些嵌入式设备制造商寄送的设备映像包含的自定义 Linux 内核没有确保容器引擎兼容所需的功能。 运行以下命令,该命令使用 Moby 提供的 check-config 脚本来检查内核配置:
curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh chmod +x check-config.sh ./check-config.sh
在该脚本的输出中,检查
Generally Necessary
和Network Drivers
下的所有项是否都已启用。 如果缺少某些功能,请启用它们,方法是通过源重新构建内核,然后选择关联的模块,将其包括在相应的内核 .config 中。同样,如果使用内核配置生成器(例如defconfig
或menuconfig
),请找到并启用相应的功能,然后以相应方式重新构建内核。 部署新修改的内核后,再次运行 check-config 脚本,验证是否已成功启用所有必要的功能。
安装 IoT Edge 运行时
IoT Edge 安全守护程序提供和维护 IoT Edge 设备上的安全标准。 守护程序在每次开机时启动,并通过启动 IoT Edge 运行时的其余部分来启动设备。
本部分中的步骤表示在具有 Internet 连接的设备上安装最新版本的典型过程。 如果需要安装特定版本(如预发行版)或需要在脱机状态下安装,请按照本文后面的脱机或特定版本安装步骤进行操作。
安装 IoT Edge 版本 1.1.* 以及 libiothsm-std 包:
sudo apt-get update; \
sudo apt-get install iotedge
注意
IoT Edge 1.1 版本是 IoT Edge 的长期支持分支。 如果运行的是旧版本,建议安装或更新到最新补丁,因为旧版本不再受支持。
为设备预配其云标识
现在容器引擎和 IoT Edge 运行时已安装在设备上,你可以开始下一步操作,即,使用设备的云标识和身份验证信息来设置设备。
在 IoT Edge 设备上,打开配置文件。
sudo nano /etc/iotedge/config.yaml
找到文件的预配配置部分,并取消注释 Manual provisioning configuration using an X.509 identity certificate 部分。 请确保注释掉任何其他预配部分。请确保 provisioning: 行前面没有空格,并且嵌套项缩进了两个空格。
# Manual provisioning configuration using an x.509 identity certificate
provisioning:
source: "manual"
authentication:
method: "x509"
iothub_hostname: "REQUIRED_IOTHUB_HOSTNAME"
device_id: "REQUIRED_DEVICE_ID_PROVISIONED_IN_IOTHUB"
identity_cert: "REQUIRED_URI_TO_DEVICE_IDENTITY_CERTIFICATE"
identity_pk: "REQUIRED_URI_TO_DEVICE_IDENTITY_PRIVATE_KEY"
更新以下字段:
- iothub_hostname:设备将连接到的 IoT 中心的主机名。 例如
{IoT hub name}.azure-devices.net
。 - device_id:注册设备时提供的 ID。
- identity_cert:设备上标识证书的 URI。 例如
file:///path/identity_certificate.pem
。 - identity_pk:所提供标识证书私钥文件的 URI。 例如
file:///path/identity_key.pem
。
保存并关闭该文件。
CTRL + X
、 Y
、、 Enter
在配置文件中输入预配信息后,重启守护程序:
sudo systemctl restart iotedge
验证成功的配置
验证是否已在 IoT Edge 设备上成功安装并配置运行时。
提示
需要提升权限才能运行 iotedge
命令。 安装 IoT Edge 运行时后从计算机中注销并第一次重新登录后,你的权限将自动更新。 在此之前,请在命令前使用 sudo
。
检查以确保 IoT Edge 系统服务正在运行。
sudo systemctl status iotedge
若需排查服务问题,请检索服务日志。
journalctl -u iotedge
使用 check
工具验证设备的配置和连接状态。
sudo iotedge check
提示
请始终使用 sudo
来运行检查工具,即使权限已更新。 该工具需要提升的权限才能访问配置文件以验证配置状态。
注意
在新预配的设备上,可能会看到与 IoT Edge 中心相关的错误:
× 生产就绪性:Edge 中心的存储目录持久保存在主机文件系统上- 错误
无法检查 edgeHub 容器的当前状态
由于 IoT Edge 中心模块未运行,在新预配的设备上预期会出现此错误。 若要解决此错误,请在 IoT 中心为设备设置模块并创建部署。 为设备创建部署会启动设备上的模块,包括 IoT Edge 中心模块。
查看在 IoT Edge 设备上运行的所有模块。 当服务首次启动时,你应当只会看到 edgeAgent 模块正在运行。 edgeAgent 模块会默认运行,用于安装并启动部署到设备的任何其他模块。
sudo iotedge list
创建新的 IoT Edge 设备时,它将在 Azure 门户中显示状态代码 417 -- The device's deployment configuration is not set
。 此状态正常,表示设备已准备好接收模块部署。
脱机或特定版本安装(可选)
本部分中的步骤适用于标准安装步骤未涵盖的方案。 这可能包括:
- 脱机安装 IoT Edge
- 安装候选发布版本
如果想要安装特定版本的无法通过包管理器获取的 Azure IoT Edge 运行时,请使用本部分中的步骤。 Microsoft 包列表仅包含有限的一组最新版本及其子版本,因此,这些步骤适用于想要安装较旧版本或候选发布版本的任何用户。
使用 curl 命令,可以直接从 IoT Edge GitHub 存储库将组件文件作为目标。
导航到 Azure IoT Edge 版本,找到需要将其作为目标的发行版。
展开该版本的“资产”部分。
每个版本应该都有用于 IoT Edge 安全守护程序和 hsmlib 的新文件。 如果要在脱机设备上安装 IoT Edge,请提前下载这些文件。 否则,请使用以下命令来更新这些组件。
找到与 IoT Edge 设备的体系结构匹配的 libiothsm-std 文件。 右键单击文件链接并复制链接地址。
将复制的链接用在以下命令中,安装该版本的 hsmlib:
curl -L libiothsm-std_link_here -o libiothsm-std.deb && sudo apt-get install ./libiothsm-std.deb
找到与 IoT Edge 设备的体系结构匹配的 iotedge 文件。 右键单击文件链接并复制链接地址。
将复制的链接用在以下命令中,安装该版本的 IoT Edge 安全守护程序:
curl -L iotedge_link_here -o iotedge.deb && sudo apt-get install ./iotedge.deb
现在容器引擎和 IoT Edge 运行时已安装在设备上,你可以开始下一步操作,即,使用设备的云标识来预配设备。
卸载 IoT Edge
若要从设备中删除 IoT Edge 安装,请使用以下命令。
删除 IoT Edge 运行时。
sudo apt-get autoremove iotedge
删除 IoT Edge 运行时后,已创建的所有容器都会停止,但仍存在于设备上。 查看所有容器以了解哪些容器仍然存在。
sudo docker ps -a
从设备中删除容器,包括两个运行时容器。
sudo docker rm -f <container name>
最后,从设备中删除容器运行时。
sudo apt-get autoremove --purge moby-engine
后续步骤
转到部署 IoT Edge 模块,了解如何将模块部署到设备上。