Vytváření a zřizování zařízení IoT Edge ve velkém měřítku ve Windows pomocí certifikátů X.509

Článek
10/28/2021

Platí pro: IoT Edge 1.1

Důležité

Datum ukončení podpory ioT Edge 1.1 bylo 13. prosince 2022. Informace o způsobu podpory tohoto produktu, služby, technologie nebo rozhraní API najdete v tématu věnovaném životnímu cyklu produktů Microsoftu. Další informace o aktualizaci na nejnovější verzi IoT Edge najdete v tématu Aktualizace IoT Edge.

Tento článek obsahuje kompletní pokyny pro automatické zřízení jednoho nebo více zařízení Windows IoT Edge pomocí certifikátů X.509. Zařízení Azure IoT Edge můžete automaticky zřídit pomocí služby Azure IoT Hub device provisioning (DPS). Pokud neznáte proces automatického zřizování, než budete pokračovat, projděte si přehled zřizování.

Poznámka:

Azure IoT Edge s kontejnery Windows se od verze 1.2 Azure IoT Edge nebude podporovat.

Zvažte použití nové metody pro spuštění IoT Edge na zařízeních s Windows, Azure IoT Edge pro Linux ve Windows.

Pokud chcete použít Azure IoT Edge pro Linux ve Windows, můžete postupovat podle kroků v ekvivalentní příručce s postupy.

Úkoly jsou následující:

Vygenerujte certifikáty a klíče.
Vytvořte individuální registraci pro jedno zařízení nebo skupinovou registraci pro sadu zařízení.
Nainstalujte modul runtime IoT Edge a zaregistrujte zařízení ve službě IoT Hub.

Použití certifikátů X.509 jako mechanismu ověřování představuje skvělý způsob škálování produkčního prostředí a zjednodušení zřizování zařízení. Certifikáty X.509 jsou obvykle uspořádány v řetězu certifikátů důvěryhodnosti. Počínaje certifikátem podepsaným svým držitelem nebo důvěryhodným kořenovým certifikátem podepíše každý certifikát v řetězu další nižší certifikát. Tento model vytvoří delegovaný řetěz důvěryhodnosti z kořenového certifikátu směrem dolů přes každý zprostředkující certifikát až po konečný certifikát podřízeného zařízení nainstalovaný na zařízení.

Požadavky

Cloudové prostředky

Aktivní centrum IoT
Instance služby IoT Hub device Provisioning v Azure propojená s centrem IoT
- Pokud nemáte instanci služby zřizování zařízení, můžete postupovat podle pokynů v rychlém startu vytvoření nové služby zřizování zařízení ioT Hubu a propojení centra IoT a oddílů služby zřizování zařízení ve službě IoT Hub.
- Po spuštění služby device provisioning zkopírujte hodnotu Oboru ID ze stránky přehledu. Tuto hodnotu použijete při konfiguraci modulu runtime IoT Edge.

Požadavky na zařízení

Fyzické nebo virtuální zařízení s Windows, které má být zařízením IoT Edge.

Generování certifikátů identit zařízení

Certifikát identity zařízení je podřízený certifikát zařízení, který se připojuje prostřednictvím řetězu certifikátů důvěryhodnosti k nejvyššímu certifikátu certifikační autority X.509 (CA). Certifikát identity zařízení musí mít svůj běžný název (CN) nastavený na ID zařízení, které má mít zařízení ve službě IoT Hub.

Certifikáty identit zařízení se používají jenom ke zřízení zařízení IoT Edge a ověřování zařízení pomocí Azure IoT Hubu. Na rozdíl od certifikátů certifikační autority, které zařízení IoT Edge prezentuje modulům nebo podřízeným zařízením k ověření, nejsou podpisové certifikáty. Další informace najdete v podrobnostech o využití certifikátů Azure IoT Edge.

Po vytvoření certifikátu identity zařízení byste měli mít dva soubory: soubor .cer nebo .pem, který obsahuje veřejnou část certifikátu, a soubor .cer nebo .pem s privátním klíčem certifikátu. Pokud plánujete používat skupinovou registraci ve službě DPS, potřebujete také veřejnou část certifikátu zprostředkující nebo kořenové certifikační autority ve stejném řetězu certifikátů důvěryhodnosti.

K nastavení automatického zřizování pomocí X.509 potřebujete následující soubory:

Certifikát identity zařízení a jeho certifikát privátního klíče. Certifikát identity zařízení se nahraje do DPS, pokud vytvoříte jednotlivou registraci. Privátní klíč se předává modulu runtime IoT Edge.
Úplný řetězový certifikát, který by měl mít alespoň identitu zařízení a zprostředkující certifikáty. Úplný řetězový certifikát se předává modulu runtime IoT Edge.
Zprostředkující nebo kořenový certifikát certifikační autority z řetězu certifikátů důvěryhodnosti. Pokud vytvoříte skupinovou registraci, tento certifikát se nahraje do DPS.

Poznámka:

V současné době omezení v libiothsm zabraňuje použití certifikátů, jejichž platnost vyprší 1. ledna 2038 nebo po 1. lednu 2038.

Použití testovacích certifikátů (volitelné)

Pokud nemáte k dispozici certifikační autoritu k vytvoření nových certifikátů identit a chcete si tento scénář vyzkoušet, úložiště Git Azure IoT Edge obsahuje skripty, které můžete použít k vygenerování testovacích certifikátů. Tyto certifikáty jsou určené jenom pro testování vývoje a nesmí se používat v produkčním prostředí.

Pokud chcete vytvořit testovací certifikáty, postupujte podle kroků v části Vytvoření ukázkových certifikátů a otestujte funkce zařízení IoT Edge. Dokončete dvě požadované části pro nastavení skriptů pro generování certifikátů a vytvoření kořenového certifikátu certifikační autority. Pak podle pokynů vytvořte certifikát identity zařízení. Až budete hotovi, měli byste mít následující pár řetězu certifikátů a klíčů:

<WRKDIR>\certs\iot-edge-device-identity-<name>-full-chain.cert.pem
<WRKDIR>\private\iot-edge-device-identity-<name>.key.pem

Oba tyto certifikáty potřebujete na zařízení IoT Edge. Pokud budete používat individuální registraci ve službě DPS, nahrajete soubor .cert.pem. Pokud budete používat skupinovou registraci ve službě DPS, budete také potřebovat certifikát zprostředkující nebo kořenové certifikační autority ve stejném řetězu certifikátů důvěryhodnosti k nahrání. Pokud používáte ukázkové certifikáty, použijte <WRKDIR>\certs\azure-iot-test-only.root.ca.cert.pem certifikát pro registraci skupiny.

Vytvoření registrace DPS

Pomocí vygenerovaných certifikátů a klíčů vytvořte registraci v DPS pro jedno nebo více zařízení IoT Edge.

Pokud chcete zřídit jedno zařízení IoT Edge, vytvořte individuální registraci. Pokud potřebujete zřídit více zařízení, postupujte podle pokynů k vytvoření skupinové registrace DPS.

Při vytváření registrace v DPS máte možnost deklarovat počáteční stav dvojčete zařízení. Ve dvojčeti zařízení můžete nastavit značky pro seskupení zařízení podle libovolné metriky, kterou potřebujete v řešení, jako je oblast, prostředí, umístění nebo typ zařízení. Tyto značky slouží k vytváření automatických nasazení.

Další informace o registracích ve službě zřizování zařízení najdete v tématu Správa registrací zařízení.

Jednotlivá registrace
Skupinová registrace

Vytvoření jednotlivé registrace DPS

Jednotlivé registrace přebírají veřejnou část certifikátu identity zařízení a shodují se s certifikátem na zařízení.

Tip

Kroky v tomto článku jsou určené pro Azure Portal, ale pomocí Azure CLI můžete také vytvářet jednotlivé registrace. Další informace najdete v tématu az iot dps enrollment. Jako součást příkazu rozhraní příkazového řádku použijte příznak s povoleným hraničním zařízením a určete, že registrace je pro zařízení IoT Edge.

Na webu Azure Portal přejděte do vaší instance služby IoT Hub device provisioning.
V části Nastavení vyberte Spravovat registrace.
Vyberte Přidat jednotlivé registrace a pak proveďte následující kroky a nakonfigurujte registraci:
- Mechanismus: Vyberte X.509.
- Soubor .pem nebo .cer primárního certifikátu: Nahrajte veřejný soubor z certifikátu identity zařízení. Pokud jste k vygenerování testovacího certifikátu použili skripty, zvolte následující soubor:
  
  <WRKDIR>\certs\iot-edge-device-identity-<name>.cert.pem
- ID zařízení služby IoT Hub: Pokud chcete, zadejte ID zařízení. ID zařízení můžete použít k cílení na jednotlivá zařízení pro nasazení modulu. Pokud nezadáte ID zařízení, použije se běžný název (CN) v certifikátu X.509.
- Zařízení IoT Edge: Výběrem možnosti True deklarujte, že registrace je pro zařízení IoT Edge.
- Vyberte centra IoT, ke kterým se toto zařízení dá přiřadit: Zvolte propojené centrum IoT, ke kterému chcete zařízení připojit. Můžete zvolit více rozbočovačů a zařízení se přiřadí k jednomu z nich podle vybraných zásad přidělování.
- Počáteční stav dvojčete zařízení: Pokud chcete, přidejte do dvojčete zařízení hodnotu značky. Značky můžete použít k cílení skupin zařízení pro automatické nasazení. Příklad:
```
{
    "tags": {
       "environment": "test"
    },
    "properties": {
       "desired": {}
    }
}
```
Zvolte Uložit.

V části Spravovat registrace uvidíte ID registrace pro právě vytvořenou registraci. Poznamenejte si ho, protože ho můžete použít při zřizování zařízení.

Teď, když pro toto zařízení existuje registrace, může modul runtime IoT Edge během instalace zařízení automaticky zřídit.

Vytvoření skupinové registrace DPS

Registrace skupin používají zprostředkující nebo kořenový certifikát certifikační autority z řetězu certifikátů důvěryhodnosti, který se používá k vygenerování certifikátů identity jednotlivých zařízení.

Ověření kořenového certifikátu

Při vytváření skupiny registrací máte možnost použít ověřený certifikát. Certifikát můžete ověřit pomocí DPS tím, že prokážete, že máte vlastnictví kořenového certifikátu. Další informace naleznete v tématu Jak provést důkaz o vlastnictví pro certifikáty CA X.509.

Na webu Azure Portal přejděte do vaší instance služby IoT Hub device provisioning.
V nabídce vlevo vyberte Certifikáty .
Vyberte Přidat a přidejte nový certifikát.
Zadejte popisný název certifikátu a přejděte do souboru .cer nebo .pem, který představuje veřejnou část vašeho certifikátu X.509.

Pokud používáte ukázkové certifikáty, nahrajte <wrkdir>\certs\azure-iot-test-only.root.ca.cert.pem certifikát.
Zvolte Uložit.
Váš certifikát by teď měl být uvedený na stránce Certifikáty . Výběrem ho otevřete podrobnosti o certifikátu.
Vyberte Vygenerovat ověřovací kód a potom zkopírujte vygenerovaný kód.
Bez ohledu na to, jestli jste si přinesli vlastní certifikát certifikační autority nebo používáte ukázkové certifikáty, můžete k ověření vlastnictví použít ověřovací nástroj uvedený v úložišti IoT Edge. Ověřovací nástroj používá váš certifikát certifikační autority k podepsání nového certifikátu, který má zadaný ověřovací kód jako název subjektu.
```
New-CACertsVerificationCert "<verification code>"
```
Na stejné stránce s podrobnostmi o certifikátu na webu Azure Portal nahrajte nově vygenerovaný ověřovací certifikát.
Vyberte možnost ověření.

Vytvoření skupiny registrací

Další informace o registracích ve službě zřizování zařízení najdete v tématu Správa registrací zařízení.

Tip

Kroky v tomto článku jsou určené pro Azure Portal, ale můžete také vytvářet skupinové registrace pomocí Azure CLI. Další informace najdete v tématu az iot dps enrollment-group. Jako součást příkazu rozhraní příkazového řádku použijte příznak s povoleným hraničním zařízením a určete, že registrace je pro zařízení IoT Edge. U skupinové registrace musí být všechna zařízení IoT Edge nebo žádná z nich nemůže být.

Na webu Azure Portal přejděte do vaší instance služby IoT Hub device provisioning.
V části Nastavení vyberte Spravovat registrace.
Vyberte Přidat skupinu registrací a pak dokončete následující kroky a nakonfigurujte registraci:
- Název skupiny: Zadejte zapamatovatelný název pro tuto registraci skupiny.
- Typ ověření identity: Vyberte certifikát.
- Zařízení IoT Edge: Vyberte True. U skupinové registrace musí být všechna zařízení IoT Edge nebo žádná z nich nemůže být.
- Typ certifikátu: Vyberte certifikát certifikační autority.
- Primární certifikát: Zvolte certifikát z rozevíracího seznamu.
- Vyberte centra IoT, ke kterým se toto zařízení dá přiřadit: Zvolte propojené centrum IoT, ke kterému chcete zařízení připojit. Můžete zvolit více rozbočovačů a zařízení se přiřadí k jednomu z nich podle vybraných zásad přidělování.
- Počáteční stav dvojčete zařízení: Pokud chcete, přidejte do dvojčete zařízení hodnotu značky. Značky můžete použít k cílení skupin zařízení pro automatické nasazení. Příklad:
```
{
    "tags": {
       "environment": "test"
    },
    "properties": {
       "desired": {}
    }
}
```
Zvolte Uložit.

V části Spravovat registrace uvidíte ID registrace pro právě vytvořenou registraci. Poznamenejte si ho, protože ho můžete použít při zřizování zařízení.

Teď, když pro tato zařízení existuje registrace, může modul runtime IoT Edge zařízení během instalace automaticky zřídit.

Instalace IoT Edge

V této části připravíte virtuální počítač s Windows nebo fyzické zařízení pro IoT Edge. Pak nainstalujete IoT Edge.

Azure IoT Edge spoléhá na modul runtime kontejneru kompatibilní s OCI. Moby, modul založený na Moby, je součástí instalačního skriptu, což znamená, že neexistují žádné další kroky k instalaci modulu.

Instalace modulu runtime IoT Edge:

Spusťte PowerShell jako správce.

Použijte relaci AMD64 PowerShellu, ne PowerShellu (x86). Pokud si nejste jistí, jaký typ relace používáte, spusťte následující příkaz:
```
(Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
```
Spusťte příkaz Deploy-IoTEdge, který provádí následující úlohy:
- Zkontroluje, jestli je váš počítač s Windows v podporované verzi.
- Zapne funkci kontejnerů.
- Stáhne modul moby a modul runtime IoT Edge.
```
. {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
Deploy-IoTEdge
```
Pokud se zobrazí výzva, restartujte zařízení.

Když nainstalujete IoT Edge na zařízení, můžete k úpravě procesu použít další parametry, mezi které patří:

Směrování provozu pro průchod proxy serverem
Nasměrujte instalační program na místní adresář pro offline instalaci.

Další informace o těchtodalšíchch

Zřízení zařízení s využitím cloudové identity

Jakmile je modul runtime nainstalovaný na vašem zařízení, nakonfigurujte zařízení s informacemi, které používá pro připojení ke službě zřizování zařízení a ioT Hubu.

Připravte si následující informace:

Hodnota oboru ID DPS. Tuto hodnotu můžete načíst ze stránky přehledu vaší instance DPS na webu Azure Portal.
Soubor řetězu certifikátů identity zařízení v zařízení.
Soubor klíče identity zařízení v zařízení.

Otevřete okno PowerShellu v režimu správce. Při instalaci IoT Edge, nikoli PowerShellu (x86), nezapomeňte použít relaci AMD64 PowerShellu.
Příkaz Initialize-IoTEdge nakonfiguruje modul runtime IoT Edge na vašem počítači. Příkaz ve výchozím nastavení používá ruční zřizování kontejnerů Windows, takže příznak použijte -DpsX509 k použití automatického zřizování s ověřováním certifikátů X.509.

Nahraďte zástupné hodnoty pro scope_ida identity cert chain pathidentity key path odpovídajícími hodnotami z vaší instance DPS a cestami k souborům na vašem zařízení.

-RegistrationId paste_registration_id_here Pokud chcete nastavit ID zařízení jako jiné než název CN certifikátu identity, přidejte parametr.
```
. {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
Initialize-IoTEdge -DpsX509 -ScopeId paste_scope_id_here -X509IdentityCertificate paste_identity_cert_chain_path_here -X509IdentityPrivateKey paste_identity_key_path_here
```
Tip

Konfigurační soubor ukládá informace o certifikátu a klíči jako identifikátory URI souborů. Příkaz Initialize-IoTEdge ale tento krok formátování za vás zpracovává, takže můžete zadat absolutní cestu k souborům certifikátu a klíče na vašem zařízení.

Ověření úspěšné instalace

Pokud se modul runtime úspěšně spustil, můžete přejít do služby IoT Hub a začít nasazovat moduly IoT Edge do zařízení.

Jednotlivá registrace
Skupinová registrace

Můžete ověřit, že se použila jednotlivá registrace, kterou jste vytvořili ve službě device Provisioning. Na webu Azure Portal přejděte k instanci služby zřizování zařízení. Otevřete podrobnosti o registraci pro jednotlivou registraci, kterou jste vytvořili. Všimněte si, že se přiřadí stav registrace a zobrazí se ID zařízení.

Pomocí následujících příkazů na zařízení ověřte, že se IoT Edge nainstaloval a úspěšně spustil.

Zkontrolujte stav služby IoT Edge.

Get-Service iotedge

Prozkoumejte protokoly služby.

. {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog

Výpis spuštěných modulů

iotedge list

Další kroky

Proces registrace služby Device Provisioning umožňuje nastavit ID zařízení a značky dvojčat zařízení současně se zřízením nového zařízení. Tyto hodnoty můžete použít k cílení na jednotlivá zařízení nebo skupiny zařízení pomocí automatické správy zařízení. Zjistěte, jak nasadit a monitorovat moduly IoT Edge ve velkém měřítku pomocí webu Azure Portal nebo pomocí Azure CLI.

Sdílet prostřednictvím