Koncepty ověřování zařízení v IoT Central

Tento článek popisuje, jak se zařízení ověřují v aplikaci IoT Central. Další informace o celkovém procesu připojení najdete v tématu Připojení zařízení.

Zařízení se ověřují pomocí aplikace IoT Central pomocí tokenu sdíleného přístupového podpisu (SAS) nebo certifikátu X.509. Certifikáty X.509 se doporučují v produkčních prostředích.

Skupiny registrací slouží ke správě možností ověřování zařízení v aplikaci IoT Central.

Tento článek popisuje následující možnosti ověřování zařízení:

Skupina registrací X.509

V produkčním prostředí je použití certifikátů X.509 doporučeným mechanismem ověřování zařízení pro IoT Central. Další informace najdete v tématu Ověřování zařízení pomocí certifikátů certifikační autority X.509.

Skupina registrací X.509 obsahuje kořenový nebo zprostředkující certifikát X.509. Zařízení se můžou ověřit, pokud mají platný listový certifikát odvozený od kořenového nebo zprostředkujícího certifikátu.

Připojení zařízení s certifikátem X.509 k aplikaci:

  1. Vytvořte skupinu registrací , která používá typ ověření certifikátů (X.509 ).
  2. Přidejte a ověřte zprostředkující nebo kořenový certifikát X.509 ve skupině registrací.
  3. Vygenerujte listový certifikát z kořenového nebo zprostředkujícího certifikátu ve skupině registrací. Nainstalujte listový certifikát na zařízení, aby se používal při připojení k vaší aplikaci.

Další informace najdete v tématu Jak připojit zařízení pomocí certifikátů X.509

Pouze pro účely testování

V produkčním prostředí použijte certifikáty od poskytovatele certifikátů. K testování můžete použít pouze následující nástroje k vygenerování kořenových, zprostředkujících certifikátů a certifikátů zařízení:

Skupina registrací SAS

Skupina registrací SAS obsahuje klíče SAS na úrovni skupiny. Zařízení se můžou ověřit, pokud mají platný token SAS odvozený z klíče SAS na úrovni skupiny.

Připojení zařízení s tokenem SAS zařízení k aplikaci:

  1. Vytvořte skupinu registrací , která používá typ ověření sdíleného přístupového podpisu (SAS ).

  2. Zkopírujte primární nebo sekundární klíč skupiny ze skupiny registrací.

  3. Pomocí Azure CLI vygenerujte token zařízení z klíče skupiny:

    az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
    
  4. Vygenerovaný token zařízení použijte, když se zařízení připojí k aplikaci IoT Central.

Poznámka

Pokud chcete ve skupinách registrací používat existující klíče SAS, zakažte přepínač Automatické generování klíčů a ručně zadejte klíče SAS.

Pokud použijete výchozí skupinu registrací SAS-IoT-Devices , IoT Central pro vás vygeneruje jednotlivé klíče zařízení. Pokud chcete získat přístup k těmto klíčům, vyberte Připojit na stránce s podrobnostmi o zařízení. Na této stránce se zobrazí obor ID, ID zařízení, primární klíč a sekundární klíč , který používáte v kódu zařízení. Na této stránce se zobrazí také kód QR, který obsahuje stejná data.

Individuální registrace

Zařízení se obvykle připojují pomocí přihlašovacích údajů odvozených z certifikátu X.509 skupiny registrací nebo klíče SAS. Pokud ale vaše zařízení mají svoje vlastní přihlašovací údaje, můžete použít jednotlivé registrace. Jednotlivá registrace je položka pro jedno zařízení, které se může připojit. Jednotlivé registrace můžou jako mechanismy ověřování používat buď certifikáty typu list X.509, nebo tokeny SAS (z fyzického nebo virtuálního důvěryhodného modulu platformy). Další informace najdete v tématu Individuální registrace DPS.

Poznámka

Při vytváření jednotlivé registrace pro zařízení má přednost před výchozími možnostmi skupiny registrací ve vaší aplikaci IoT Central.

Vytvoření jednotlivých registrací

IoT Central podporuje následující mechanismy ověření identity pro jednotlivé registrace:

  • Ověření symetrického klíče: Ověření symetrického klíče je jednoduchý přístup k ověřování zařízení s instancí DPS. Pokud chcete vytvořit individuální registraci, která používá symetrické klíče, otevřete stránku připojení zařízení pro zařízení, jako typ ověřování vyberte individuální registraci a jako metodu ověřování vyberte sdílený přístupový podpis (SAS). Zadejte primární a sekundární klíče s kódováním Base64 a uložte změny. K připojení zařízení použijte obor ID, ID zařízení a primární nebo sekundární klíč.

    Tip

    K testování můžete použít OpenSSL k vygenerování klíčů s kódováním Base64: openssl rand -base64 64

  • Certifikáty X.509: Pokud chcete vytvořit individuální registraci s certifikáty X.509, otevřete stránku Připojení zařízení , jako typ ověřování vyberte jednotlivou registraci a jako metodu ověřování vyberte Certifikáty (X.509 ). Certifikáty zařízení používané s jednotlivými položkami registrace mají požadavek, aby vystavitel a předmět CN byly nastaveny na ID zařízení.

    Tip

    K testování můžete použít nástroje pro sadu Azure IoT Device Provisioning Device SDK pro Node.js k vygenerování certifikátu podepsaného svým držitelem: node create_test_cert.js device "mytestdevice"

  • Ověření identity čipu TPM (Trusted Platform Module):Čip TPM je typ modulu hardwarového zabezpečení. Použití čipu TPM je jedním z nejbezpečnějších způsobů připojení zařízení. Tento článek předpokládá, že používáte diskrétní čip TPM, firmware nebo integrovaný čip TPM. Softwarové emulované čipy TPM jsou vhodné pro vytváření prototypů nebo testování, ale neposkytují stejnou úroveň zabezpečení jako diskrétní, firmware nebo integrované čipy TPM. Nepoužívejte softwarové čipy TPM v produkčním prostředí. Pokud chcete vytvořit individuální registraci, která používá čip TPM, otevřete stránku Připojení zařízení , vyberte jako typ ověřování jednotlivou registraci a jako metodu ověřování tpm . Zadejte ověřovací klíč TPM a uložte informace o připojení zařízení.

Automatická registrace zařízení

Tento scénář umožňuje výrobcům OEM hromadnou výrobu zařízení, která se můžou připojit bez první registrace v aplikaci. Výrobce OEM vygeneruje vhodné přihlašovací údaje zařízení a nakonfiguruje zařízení v továrně.

Automatická registrace zařízení, která používají certifikáty X.509:

  1. Vygenerujte certifikáty typu list pro vaše zařízení pomocí kořenového nebo zprostředkujícího certifikátu, který jste přidali do skupiny registrací X.509. Id zařízení použijte jako CNAME v listových certifikátech. ID zařízení může obsahovat písmena, číslice a - znak.

  2. Jako výrobce OEM zablikáním každého zařízení s ID zařízení, vygenerovaným certifikátem X.509 list-certificate a hodnotou oboru ID aplikace. Kód zařízení by měl také odeslat ID modelu zařízení, který implementuje.

  3. Když zařízení zapnete, nejprve se připojí k DPS a načte informace o připojení IoT Central.

  4. Zařízení používá informace z DPS pro připojení k aplikaci IoT Central a registraci v aplikaci IoT Central.

  5. Aplikace IoT Central používá k přiřazení registrovaného zařízení k šabloně zařízení ID modelu odeslaného zařízením.

Automatická registrace zařízení, která používají tokeny SAS:

  1. Zkopírujte primární klíč skupiny ze skupiny registrací SAS-IoT-Devices :

    Group primary key from S A S - I o T - Devices enrollment group.

  2. az iot central device compute-device-key Pomocí příkazu vygenerujte klíče SAS zařízení. Použijte primární klíč skupiny z předchozího kroku. ID zařízení může obsahovat písmena, číslice a - znak:

    az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
    
  3. Jako výrobce OEM zablikáním každého zařízení s ID zařízení, vygenerovaným klíčem SAS zařízení a hodnotou oboru ID aplikace. Kód zařízení by měl také odeslat ID modelu zařízení, který implementuje.

  4. Když zařízení zapnete, nejprve se připojí k DPS, aby načetl informace o registraci IoT Central.

  5. Zařízení používá informace z DPS pro připojení k aplikaci IoT Central a registraci v aplikaci IoT Central.

  6. Aplikace IoT Central používá k přiřazení registrovaného zařízení k šabloně zařízení ID modelu odeslaného zařízením.

Další kroky

Mezi navrhované další kroky patří: