Kemampuan dan komunikasi perangkat
Kapabilitas perangkat menentukan kebijakan OS khusus perangkat untuk komunikasi service-UART. Semua komunikasi antara komputer host dan perangkat yang terlampir adalah melalui UART layanan. Komputer host berkomunikasi dengan perangkat yang terlampir untuk melakukan operasi pada perangkat. Produsen, pengembang perangkat lunak, dan teknisi layanan lapangan menggunakan kapabilitas untuk membuka kunci komunikasi service-UART untuk operasi yang mereka butuhkan sekaligus memastikan bahwa perangkat dilindungi terhadap pengguna jahat.
Produsen perangkat dan OEM dapat mengunci komunikasi service-UART untuk mencegah penggunaan yang tidak sah oleh mereka yang memiliki akses fisik ke perangkat. Mengunci komunikasi tersebut adalah bagian dari finalisasi perangkat. Setelah finalisasi, pengguna bisa mendapatkan ID perangkat, tetapi tidak lebih; semua operasi lainnya memerlukan kemampuan perangkat. Finalisasi biasanya dilakukan di lantai pabrik sebelum produsen mengirimkan perangkat ke situs pelanggan.
File kemampuan perangkat berisi nol atau lebih kemampuan untuk satu perangkat saja. File kapabilitas tidak akan berfungsi jika diterapkan ke perangkat yang bukan merupakan perangkat yang dimaksudkan. Perangkat dapat memiliki kapabilitas berikut, yang masing-masing dijelaskan selanjutnya dalam topik ini:
Catatan
Kemampuan perangkat tidak terkait dengan kapabilitas aplikasi. Kapabilitas aplikasi menentukan sumber daya yang diperlukan aplikasi pada runtime. Lihat manifes aplikasi untuk informasi selengkapnya tentang kapabilitas aplikasi.
Cara menentukan kemampuan perangkat atau status manufaktur
Untuk menentukan konfigurasi kapabilitas yang disimpan di perangkat yang terpasang, gunakan perintah perlihatkan kapabilitas perangkat bola az . Perintah menampilkan kapabilitas yang dikonfigurasi dengan menggunakan file kapabilitas dan beberapa, tetapi tidak semua kapabilitas yang ada secara default di papan.
Kemampuan perangkat dapat dipengaruhi oleh status manufaktur perangkat. Untuk menentukan status manufaktur perangkat, gunakan perintah peragaan negara manufaktur perangkat az . Jika perintah memperlihatkan bahwa perangkat berada dalam status manufaktur DeviceComplete atau mengembalikannya Device access is forbidden, komunikasi service-UART dikunci dan Anda memerlukan kemampuan perangkat untuk berkomunikasi dengan perangkat dari komputer Anda. Ketika perangkat berada dalam status manufaktur DeviceComplete , operasi manufaktur hanya diizinkan ketika perangkat tidak terkunci melalui file kapabilitas.
Catatan
Jika Anda menginstal perangkat di situs pelanggan, Anda harus memastikan bahwa perangkat diselesaikan ke status manufaktur DeviceComplete sebelum penginstalan. Lihat Menyelesaikan perangkat Azure Sphere.
Keadaan manufakuring DeviceComplete biasanya tidak sesuai untuk kit dev. Untuk memungkinkan pengujian operasi manufaktur dikembangkan oleh teknisi manufaktur, kit dev harus berada di negara manufaktur Kosong atau negara manufaktur Module1Complete .
Cara perangkat memperoleh kapabilitas
Perangkat dapat memperoleh kemampuan dalam salah satu dari tiga cara:
Dibuka secara default. Perangkat yang berada dalam status Manufaktur Kosong atau status manufaktur Module1Complete memiliki beberapa kemampuan yang terbuka secara default. Hal ini dilakukan agar perangkat yang masih dalam tahap manufaktur tidak perlu tersambung ke cloud atau diklaim ke dalam katalog, seperti yang diperlukan oleh proses penggunaan file kemampuan perangkat untuk membuka kemampuan. Seiring kemajuan manufaktur, produsen dapat mengubah status manufaktur perangkat untuk mengunci kemampuan yang tidak lagi sesuai, seperti yang dijelaskan dalam tugas lantai pabrik.
Dimuat ke perangkat. Perangkat mungkin memiliki file kapabilitas yang dimuat ke perangkat dari komputer host. Gunakan perintah unduhan kapabilitas perangkat bola az untuk mengambil file kapabilitas. Kumpulan kapabilitas sideload ini tetap ada hingga file kapabilitas baru (yang mungkin berupa file kosong tanpa kapabilitas) dimuat ke samping. Ini adalah situasi yang biasa selama pengembangan aplikasi, misalnya, ketika perintah az sphere device enable-development dijalankan. Pengembangan aplikasi dibantu dengan memiliki perangkat dalam keadaan tidak terkunci di mana pengembang dapat melakukan operasi seperti debugging dan dengan mudah menghapus dan menyebarkan versi aplikasi yang dimuat sisi.
Dikirim ke perangkat dengan setiap operasi. Perangkat dapat menerapkan kapabilitas lokal yang dipilih secara per operasi. Perintah kapabilitas perangkat bola az menerapkan memilih file kapabilitas yang disimpan secara lokal di komputer host. Setelah perintah ini dijalankan, kapabilitas yang dipilih dikirim dari komputer ke perangkat dengan setiap perintah berikutnya. Ini adalah cara yang disarankan untuk menggunakan kapabilitas untuk perangkat yang ada di bidang karena kapabilitas disimpan di komputer daripada perangkat. Risiko teknisi lapangan secara tidak sengaja meninggalkan perangkat dalam keadaan tidak aman dengan lupa untuk menghapus kemampuan dihindari.
Sebelum file kapabilitas dapat dimuat ke perangkat atau dikirimkan ke perangkat dengan operasi, file tersebut harus diunduh dari Azure Sphere Security Service (AS3), seperti yang dijelaskan dalam Membuat perubahan pada perangkat setelah pembuatan. File kapabilitas yang diunduh khusus untuk perangkat; setelah diunduh, file kapabilitas dapat digunakan berulang kali di perangkat terkait.
Kemampuan enableRfTestMode
Kemampuan enableRfTestMode hadir secara default pada perangkat ketika status manufaktur perangkat kosong. Kemampuan ini memungkinkan pemrograman e-fuse serta konfigurasi dan pengujian operasi RF. Pemilik katalog tidak dapat mengunduh kapabilitas ini ke komputer host. Jika Memerlukan kemampuan ini, hubungi perwakilan Microsoft Anda.
Saat status manufaktur perangkat kosong, perintah show-attached kemampuan perangkat az menampilkan kapabilitas enableRfTestMode .
Kemampuan appDevelopment
Kapabilitas perangkat appDevelopment membuka kunci komunikasi service-UART dan mengubah tipe penandatanganan yang dipercaya perangkat. Ini dimaksudkan untuk digunakan selama pengembangan aplikasi.
Secara default, perangkat Azure Sphere mempercayai paket gambar yang ditandatangani produksi yang diunduh oleh Azure Sphere Security Service, tetapi tidak mempercayai paket gambar yang ditandatangani SDK. Oleh karena itu, Anda tidak dapat membuat paket gambar dengan SDK dan memuatnya ke perangkat Azure Sphere untuk proses debug kecuali perangkat memiliki kapabilitas appDevelopment . Kemampuan appDevelopment menyebabkan perangkat mempercayai paket gambar dan memungkinkan Anda memulai, menghentikan, men-debug, atau menghapus aplikasi dari perangkat.
Singkatnya, kapabilitas appDevelopment membuka kunci komunikasi service-UART untuk memungkinkan operasi berikut:
Memuat sisi paket gambar yang dibuat dengan Visual Studio, Visual Studio Code, CLI, atau perintah paket gambar bola az.
Memulai, menghentikan, men-debug, atau menghapus paket gambar dari perangkat Azure Sphere, terlepas dari bagaimana paket gambar ditandatangani.
Untuk menambahkan kapabilitas appDevelopment , gunakan perintah az sphere device enable-development . Perintah ini mengunduh kapabilitas appDevelopment untuk perangkat yang terpasang, memuat sisi kemampuan ke perangkat, dan memindahkan perangkat ke grup perangkat Pengembangan default. Untuk menentukan grup perangkat lain, sertakan parameter.--device-group
Saat Anda menggunakan perangkat bola az pengembangan aktif, perangkat tetap tidak terkunci hingga Anda menguncinya secara eksplisit. Untuk mengunci kembali perangkat, gunakan perintah az sphere device enable-cloud-test . Perintah ini menghapus kapabilitas dan mengubah grup perangkat, bergantung pada parameter baris perintah yang disediakan.
Perintah az sphere device enable-development dan az sphere device enable-cloud-test melakukan serangkaian tindakan yang menyiapkan perangkat untuk pengembangan dan debugging atau untuk penyebaran cloud. Alih-alih menggunakan perintah ini, Anda dapat menggunakan perintah kapabilitas perangkat bola az untuk mengunduh atau memperbarui kapabilitas perangkat, atau untuk mencari tahu kemampuan perangkat mana yang saat ini dimiliki.
BidangKapabilitas pelayanan
BidangPenggunaan kemampuan hadir di perangkat secara default ketika perangkat memiliki status produksi Kosong atau Module1Lengkap. Ketika perangkat berada dalam status manufaktur DeviceComplete , kemampuan pelayanan bidang dapat dimuat dari samping, tetapi biasanya dikirimkan ke perangkat dengan setiap operasi selama sesi pelayanan. Untuk detail tentang cara memulai sesi pelayanan, lihat Membuat perubahan pada perangkat setelah pembuatan.
Terlepas dari status manufaktur perangkat, bidang Kemampuan layanan membuka kunci komunikasi service-UART untuk memungkinkan operasi berikut ini:
- Memuat sisi paket gambar yang ditandatangani produksi.
- Memulai, menghentikan, dan menghapus paket gambar bertanda tangan produksi yang ditandai sebagai sementara.
- Melakukan tugas pemeliharaan rutin seperti mengonfigurasi Wi-Fi.
Meskipun bidangServis hadir secara default pada perangkat ketika status manufaktur perangkat kosong atau Module1Lengkap, perintah show-attached kapabilitas perangkat bola az tidak menampilkan kapabilitas layanan bidang .
Dependensi pada keystore tepercaya terkini
Ketika file kapabilitas dibuat oleh AS3, file ditandatangani menggunakan tombol penandatanganan gambar saat ini. Setiap perangkat memiliki keystore tepercaya sebagai bagian dari OS tempat kunci tersebut disimpan. Namun, jika perangkat tidak tersambung ke internet, maka kemampuan tidak dapat dipercaya oleh perangkat yang ditargetkan jika keystore tepercaya perangkat tersebut sudah kedaluarsa.
Untuk memperbaiki ini, salah satu metodenya adalah dengan mengizinkan perangkat untuk tersambung ke internet sehingga memperbarui keystore tepercaya. Sambungkan perangkat Anda ke internet dan tekan Reset untuk memicu pembaruan OS.
Jika hal ini tidak memungkinkan, Anda dapat melakukan sideload keystore tepercaya yang telah diperbarui. Untuk melakukan ini, terima ketentuan lisensi lalu unduh gambar pemulihan OS terbaru, dan dari ekstrak file zip ini hanya file "trusted-keystore.bin". Kemudian Anda dapat menggunakan penyebaran sideload perangkat az sphere perintah --image-package <path-to-trustedkeystore.bin-file> untuk memuat samping keystore tepercaya, dan kemampuannya sekarang harus dipercaya oleh perangkat.
Metode ketiga adalah Pulihkan perangkat lunak sistem untuk memperbarui AZURE Sphere OS ke versi rilis terbaru, termasuk keystore tepercaya terbaru.