Megosztás a következőn keresztül:

Eszközidentitások létrehozása és kezelése

  • Cikk

Hozzon létre egy eszközidentitást az eszköz számára az Azure IoT Hubhoz való csatlakozáshoz. Ez a cikk az eszközidentitások kezelésének fő feladatait ismerteti, beleértve az eszköz regisztrálását, a kapcsolati adatok gyűjtését, majd az eszközök törlését vagy letiltását az életciklus végén.

Előfeltételek

  • IoT Hub az Azure-előfizetésben. Ha még nem rendelkezik központokkal, kövesse az IoT Hub létrehozása című témakörben leírt lépéseket.

  • Attól függően, hogy melyik eszközt használja, vagy hozzáféréssel rendelkezik az Azure Portalhoz , vagy telepíti az Azure CLI-t.

  • Ha az IoT Hub szerepköralapú hozzáférés-vezérléssel (RBAC) van felügyelve, akkor az ebben a cikkben ismertetett lépésekhez olvasási/írási/törlési eszközök/modulengedélyek szükségesek. Ezeket az engedélyeket az IoT Hub beállításjegyzék-közreműködői szerepköre tartalmazza.

Tanúsítványok előkészítése

Az eszközök két különböző tanúsítványtípust használnak az IoT Hubhoz való csatlakozáshoz. Az eszköz előkészítésekor a csatlakozás előtt győződjön meg arról, hogy az összes megfelelő tanúsítványt létrehozta és hozzáadta az eszközhöz.

  • Nyilvános főtanúsítványok: Minden eszköznek szüksége van az IoT Hub, az IoT Central és a Device Provisioning Service által a kapcsolatok engedélyezéséhez használt nyilvános főtanúsítványok másolatára.
  • Hitelesítési tanúsítványok: Az X.509-tanúsítványok az eszközidentitások hitelesítésének ajánlott módjai.

Kötelező nyilvános főtanúsítványok

Az Azure IoT-eszközök TLS-t használnak annak az IoT Hubnak vagy DPS-végpontnak a hitelességének ellenőrzéséhez, amelyhez csatlakoznak. Minden eszköznek szüksége van az IoT Hub és a DPS által használt főtanúsítvány másolatára. Javasoljuk, hogy minden eszköz tartalmazza a következő legfelső szintű hitelesítésszolgáltatókat a megbízható tanúsítványtárolóban:

  • DigiCert Global G2 root CA
  • Microsoft RSA root CA 2017

Az IoT Hub ajánlott tanúsítványokkal kapcsolatos eljárásairól további információt a TLS támogatásában talál.

Hitelesítési tanúsítványok

Ha X.509-tanúsítványhitelesítést használ az eszközeihez, győződjön meg arról, hogy a tanúsítványok készen állnak az eszköz regisztrálása előtt:

  • A hitelesítésszolgáltató által aláírt tanúsítványok esetében a Tanúsítványok létrehozása és feltöltése teszteléshez című oktatóanyag jó bevezetést nyújt a hitelesítésszolgáltató által aláírt tanúsítványok létrehozásához és az IoT Hubba való feltöltéséhez. Az oktatóanyag elvégzése után készen áll arra, hogy regisztráljon egy eszközt X.509 hitelesítésszolgáltató által aláírt hitelesítéssel.

  • Az önaláírt tanúsítványokhoz két eszköztanúsítványra (egy elsődleges és egy másodlagos tanúsítványra) van szükség az eszközön, és mindkettő ujjlenyomatára az IoT Hubba való feltöltéshez. Az ujjlenyomat tanúsítványból való lekérésének egyik módja az alábbi OpenSSL-parancs:

    openssl x509 -in <certificate filename>.pem -text -fingerprint

Eszköz regisztrálása

Ebben a szakaszban egy eszközidentitást hoz létre az identitásjegyzékben az IoT Hubon. Az eszköz csak akkor tud csatlakozni a központhoz, ha rendelkezik eszközidentitással.

Az IoT Hub-identitásjegyzék csak az IoT Hub biztonságos elérésének biztosításához tárolja az eszközidentitásokat. Az eszközazonosítókat és kulcsokat biztonsági hitelesítő adatokként tárolja, valamint tartalmaz egy engedélyezve/letiltva jelzőt, amellyel letilthatja egy adott eszköz hozzáférését.

Amikor regisztrál egy eszközt, a hitelesítési módszert választja. Az IoT Hub három módszert támogat az eszközhitelesítéshez:

  • Szimmetrikus kulcs - : Ez a beállítás a legegyszerűbb gyorsútmutató-forgatókönyvekhez.

    Amikor regisztrál egy eszközt, kulcsokat adhat meg, vagy az IoT Hub kulcsokat hoz létre Önnek. Az eszköz és az IoT Hub is rendelkezik a szimmetrikus kulcs egy másolatával, amely összehasonlítható az eszköz csatlakoztatásakor.

  • X.509 önaláírt

    Ha az eszköz rendelkezik önaláírt X.509-tanúsítvánnyal, akkor meg kell adnia az IoT Hubnak a tanúsítvány egy verzióját a hitelesítéshez. Amikor regisztrál egy eszközt, feltölt egy tanúsítvány ujjlenyomatát, amely az eszköz X.509-tanúsítványának kivonata. Amikor az eszköz csatlakozik, bemutatja a tanúsítványát, és az IoT Hub érvényesítheti azt az általa ismert kivonaton. További információ: Identitások hitelesítése X.509-tanúsítványokkal.

  • X.509 hitelesítésszolgáltató aláírta - Ezt a beállítást éles forgatókönyvekhez ajánljuk.

    Ha az eszköz hitelesítésszolgáltató által aláírt X.509-tanúsítvánnyal rendelkezik, az eszköz regisztrálása előtt feltölt egy legfelső szintű vagy köztes hitelesítésszolgáltatói (CA) tanúsítványt az aláírási láncba. Az eszköz rendelkezik egy X.509-tanúsítvánnyal, amely az ellenőrzött X.509 hitelesítésszolgáltatóval rendelkezik a megbízhatósági tanúsítványláncában. Amikor az eszköz csatlakozik, bemutatja a teljes tanúsítványláncát, és az IoT Hub érvényesítheti azt, mert ismeri az X.509 hitelesítésszolgáltatót. Több eszköz is hitelesíthető ugyanahhoz az ellenőrzött X.509 CA-hez. További információ: Identitások hitelesítése X.509-tanúsítványokkal.

Eszköz hozzáadása

Eszközidentitás létrehozása az IoT Hubban.

  1. Az Azure Portalon keresse meg az IoT hubot.

  2. Válassza az Eszközfelügyeleti>eszközök lehetőséget.

  3. Válassza az Eszköz hozzáadása lehetőséget , ha egy eszközt szeretne hozzáadni az IoT Hubhoz.

    Képernyőkép egy új eszköz Azure Portalon való hozzáadásáról.

  4. Az eszköz létrehozásakor adja meg az új eszközidentitás adatait:

    Paraméter Függő paraméter Érték
    Eszközazonosító Adjon nevet az új eszköznek.
    Hitelesítés típusa Válassza ki a szimmetrikus kulcsot, az X.509 önaláírt vagy az X.509 hitelesítésszolgáltatói aláírást.
    Kulcsok automatikus létrehozása Szimmetrikus kulcsok hitelesítéséhez jelölje be ezt a jelölőnégyzetet, hogy az IoT Hub kulcsokat hozzon létre az eszközhöz. Vagy törölje a jelölőnégyzet jelölését, és adja meg az eszköz elsődleges és másodlagos kulcsait.
    Elsődleges ujjlenyomat és másodlagos ujjlenyomat Az X.509 önaláírt hitelesítéshez adja meg az ujjlenyomat kivonatát az eszköz elsődleges és másodlagos tanúsítványaiból.

    Fontos

    Előfordulhat, hogy az eszközazonosító látható az ügyfélszolgálat számára és a hibaelhárításhoz gyűjtött naplókban, ezért ügyeljen arra, hogy az elnevezésekor ne adjon meg bizalmas adatokat.

  5. Válassza a Mentés lehetőséget.

Az eszköz kapcsolati sztringjének lekérése

Minták és tesztelési forgatókönyvek esetén a leggyakoribb kapcsolati módszer a szimmetrikus kulcsos hitelesítés használata és az eszközhöz való csatlakozás kapcsolati sztring. Az eszköz kapcsolati sztring tartalmazza az IoT Hub nevét, az eszköz nevét és az eszköz hitelesítési adatait.

Az eszközök csatlakoztatásának egyéb módszereiről, különösen az X.509-hitelesítésről az Azure IoT Hub eszközoldali SDK-jaiban olvashat.

Az alábbi lépésekkel lekérheti az eszköz kapcsolati sztring.

Az Azure Portal csak szimmetrikus kulcsú hitelesítést használó eszközökhöz biztosít eszköz kapcsolati sztring.

  1. Az Azure Portalon keresse meg az IoT hubot.

  2. Válassza az Eszközfelügyeleti>eszközök lehetőséget.

  3. Válassza ki az eszközt az Eszközök panel listájából.

  4. Másolja ki az elsődleges kapcsolati sztring értékét.

    Képernyőkép az elsődleges kapcsolati sztring az Azure Portalról való másolásáról.

    Alapértelmezés szerint a kulcsok és kapcsolati sztring maszkoltak, mert bizalmas információk. Ha a szem ikonra kattint, azok ki lesznek fedve. A másolási gombbal való másoláshoz nem szükséges felfedni őket.

A szimmetrikus kulcsú hitelesítéssel rendelkező eszközök kapcsolati sztring az alábbi mintával rendelkeznek:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>

Az X.509-hitelesítéssel rendelkező, önaláírt vagy CA-aláírással rendelkező eszközök általában nem használják az eszköz kapcsolati sztring a hitelesítéshez. A kapcsolati sztring a következő mintát használják:

HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true

Eszköz letiltása vagy törlése

Ha meg szeretne tartani egy eszközt az IoT Hub identitásjegyzékében, de meg szeretné akadályozni a csatlakozást, akkor az állapotát letilthatja.

  1. Az Azure Portalon keresse meg az IoT hubot.

  2. Válassza az Eszközfelügyeleti>eszközök lehetőséget.

  3. Válassza ki az eszközt az Eszközök panel listájából.

  4. Az eszközadatok lapon letilthatja vagy törölheti az eszközregisztrációt.

    • Ha meg szeretné akadályozni, hogy egy eszköz csatlakozzon, állítsa az IoT Hubhoz való csatlakozás engedélyezése paramétert Letiltás értékre.

      Az eszköz azure portalon való letiltását bemutató képernyőkép.

    • Ha teljesen el szeretne távolítani egy eszközt az IoT Hub identitásjegyzékéből, válassza a Törlés lehetőséget.

      Képernyőkép egy eszköz törléséről az Azure Portalon.

Egyéb eszközök az eszközidentitások kezeléséhez

Az IoT Hub identitásjegyzékének kezelésére más eszközöket vagy interfészeket is használhat, többek között a következőket:

  • PowerShell-parancsok: Az eszközidentitások kezelésének megismeréséhez tekintse meg az Az.IotHub parancskészletet.

  • Visual Studio Code: A Visual Studio Code-hoz készült Azure IoT Hub-bővítmény identitás-beállításjegyzék-képességeket tartalmaz.

  • REST API: Az eszközidentitások kezelésének megismeréséhez tekintse meg az IoT Hub szolgáltatás API-jait .