Verstehen und Verwenden des TLS-Downloadfeatures (Transport Layer Security) in Device Update for IoT Hub (Preview)
Wenn ein Gerät ein Update vom Device Update-Dienst herunterlädt, ist die Verbindung zwischen dem Device Update-Dienst und dem Gerät HTTP-basiert. Wenn eine TLS-Verbindung (HTTPS) zwischen dem Device Update-Dienst und dem Gerät bevorzugt wird, kann diese Funktion auf Anfrage aktiviert werden.
Hinweis
Das TLS-Downloadfeature ist derzeit als Public Preview verfügbar.
Aktivieren des TLS-Downloadfeatures
Rufen Sie Ihre Azure-Abonnement-ID und Informationen zu Ihrem Konto, Ihrer Instanz und Ihrer Azure-Region für Device Update for IoT Hub ab. So finden Sie diese Informationen:
Azure-Abonnement-ID:
- Lesen Sie sich den folgenden Artikel durch: https://aka.ms/get-subscription-id.
Informationen zu Device Update for IoT Hub:
- Öffnen Sie das Azure-Portal.
- Suchen Sie nach „Device Update for IoT Hubs“, und wählen Sie die Option Device Update for IoT Hubs aus.
- Wählen Sie Ihr Device Update-Konto aus. Der Kontoname befindet sich oben auf dem Bildschirm.
- Wählen Sie im linken Navigationsbereich die Ansicht Übersicht aus. Suchen Sie nach dem Feld für den Ort (z. B. „USA, Westen 2“). Dieses Feld enthält Ihre Azure-Region.
- Wählen Sie unter der Überschrift Instance Management (Instanzverwaltung) in der linken Navigationsleiste Instanzen aus. Ihr Instanzname wird angezeigt.
- Verwenden Sie diesen Link, um die Informationen zu übermitteln. Sie erhalten eine Antwort, wenn Ihre Device Update-Instanz für das Vorschaufeature für TLS-Downloads aktiviert ist.
Zusätzliche Änderungen bei Verwendung von FreeRTOS
Wenn Sie FreeRTOS verwenden, beachten Sie Folgendes: Azure IoT Middleware for FreeRTOS und die FreeRTOS-Beispiele von Microsoft unterstützen derzeit HTTP-URLs und müssen für TLS-URLs (HTTPS) geändert werden:
In der Device Update for IoT Hub-Implementierung im Azure IoT Middleware for FreeRTOS-SDK und den Beispielen werden die folgenden Bibliotheken zum Herunterladen der Binärdateien verwendet: Azure_iot_http.h. Diese hängen ab von:
azure_iot_http_port.h kann mithilfe des FreeRTOS-Beispiels HTTP Demo (with TLS – Mutual Authentication) – FreeRTOS so angepasst werden, dass die HTTP-Kernbibliothek für TLS- bzw. HTTPS-Unterstützung verwendet wird.
Die Beispiele für Device Update for IoT Hub enthalten auch Funktionen zum Parsen der URL, die geändert werden müssen: iot-middleware-freertos-samples/demos/sample_azure_iot_adu/sample_azure_iot_adu.c at main – Azure-Samples/iot-middleware-freertos-samples (github.com).
Schließlich müssen Sie möglicherweise auch Änderungen an Ihrer eigenen Implementierung vornehmen, z. B. den HTTPS-Headerpuffer zum Verwalten des Update-URL-Formats anpassen, das Ihr Gerät von Device Update erhält.
Zertifikatinformationen
Das Zertifikat, das zum Aktivieren der TLS-Verbindung verwendet wird, wird ausgestellt von: Microsoft Azure RSA TLS Issuing CA 03. Geräte, die Inhalte über TLS aus dem Geräteupdatedienst herunterladen, müssen mit mindestens einem Zertifikat mit dem Stamm „Microsoft Azure RSA TLS Issuing CA 03“ bereitgestellt werden.
RSA-Zertifikate werden unterstützt, der Client muss jedoch das Verschlüsselungsverfahren TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 für TLS1.2 angeben. Wenn möglich, wird stattdessen die Verwendung eines ECC-Zertifikats empfohlen, das von DigiCert Global Root G3 unterstützt wird.