Apparaatmogelijkheden en communicatie
De apparaatmogelijkheden bepalen apparaatspecifiek besturingssysteembeleid voor service-UART-communicatie . Alle communicatie tussen de hostcomputer en een gekoppeld apparaat verloopt via de service-UART. De hostcomputer communiceert met een gekoppeld apparaat om bewerkingen op het apparaat uit te voeren. Fabrikanten, softwareontwikkelaars en buitendienstmedewerkers gebruiken mogelijkheden om service-UART-communicatie te ontgrendelen voor de bewerkingen die ze nodig hebben, terwijl ze ervoor zorgen dat het apparaat is beveiligd tegen kwaadwillende gebruikers.
Apparaatfabrikanten en OEM's kunnen service-UART-communicatie vergrendelen om onbevoegd gebruik te voorkomen door personen die fysieke toegang tot het apparaat hebben. Het vergrendelen van dergelijke communicatie maakt deel uit van het voltooien van het apparaat. Na voltooiing kan een gebruiker de id van een apparaat ophalen, maar meer niet; voor alle andere bewerkingen is een apparaatmogelijkheid vereist. De voltooiing wordt meestal uitgevoerd op de fabrieksvloer voordat de fabrikant het apparaat naar een klantlocatie verzendt.
Een apparaatmogelijkheidsbestand bevat nul of meer mogelijkheden voor slechts één apparaat. Het mogelijkheidsbestand werkt niet als het wordt toegepast op een apparaat dat niet het apparaat is waarvoor het is bedoeld. Een apparaat kan de volgende mogelijkheden hebben, die elk verderop in dit onderwerp worden beschreven:
Opmerking
Apparaatmogelijkheden zijn niet gerelateerd aan toepassingsmogelijkheden. Toepassingsmogelijkheden geven de resources op die een toepassing tijdens runtime nodig heeft. Zie het toepassingsmanifest voor meer informatie over toepassingsmogelijkheden.
Apparaatmogelijkheden of productiestatus bepalen
Gebruik de opdracht az sphere device capability show-attached om de configuratie van de mogelijkheid te bepalen die is opgeslagen op het gekoppelde apparaat. Met de opdracht worden de mogelijkheden weergegeven die zijn geconfigureerd met behulp van een mogelijkheidsbestand en sommige, maar niet alle, mogelijkheden die standaard aanwezig zijn op borden.
De mogelijkheden van het apparaat kunnen worden beïnvloed door de productiestatus van het apparaat. Gebruik de opdracht az sphere device manufacturing-state show om de productiestatus van het apparaat te bepalen. Als de opdracht aangeeft dat het apparaat de productiestatus DeviceComplete heeft of retourneert Device access is forbidden, is service-UART-communicatie vergrendeld en hebt u een apparaatmogelijkheid nodig om vanaf uw computer met het apparaat te communiceren. Wanneer een apparaat de productiestatus DeviceComplete heeft, zijn productiebewerkingen alleen toegestaan wanneer het apparaat is ontgrendeld via een mogelijkheidsbestand.
Opmerking
Als u een apparaat op een klantsite installeert, moet u ervoor zorgen dat het apparaat vóór de installatie is voltooid naar de productiestatus DeviceComplete . Zie Het Azure Sphere-apparaat voltooien.
De apparaatcomplete-fabrieksstatus is normaal gesproken niet geschikt voor een ontwikkelkit. Om het testen van de productiebewerkingen die worden ontwikkeld door productietechnici mogelijk te maken, moet een ontwikkelkit de productiestatus Leeg hebben of de productiestatus Module1Complete hebben.
Hoe apparaten mogelijkheden verkrijgen
Apparaten kunnen op drie manieren mogelijkheden verkrijgen:
Standaard geopend. Een apparaat met de productiestatus Leeg of Module1Complete heeft standaard een aantal mogelijkheden geopend. Dit wordt gedaan zodat apparaten die zich nog in de productiefase bevinden, niet hoeven te worden verbonden met de cloud of hoeven te worden geclaimd in catalogi, zoals vereist voor het proces van het gebruik van apparaatmogelijkheidsbestanden om mogelijkheden te ontgrendelen. Naarmate de productie vordert, kunnen fabrikanten de productiestatus van het apparaat wijzigen om mogelijkheden te vergrendelen die niet meer geschikt zijn, zoals beschreven in Taken op de fabrieksvloer.
Sideloaded op het apparaat. Een apparaat kan een mogelijkheidsbestand sideloaden op het apparaat vanaf de hostcomputer. Gebruik de opdracht az sphere device capability download om het mogelijkheidsbestand op te halen. Deze sideloaded set met mogelijkheden blijft bestaan totdat een nieuw mogelijkheidsbestand (dat mogelijk een leeg bestand zonder mogelijkheden is) wordt ge sideloadd. Dit is de gebruikelijke situatie tijdens het ontwikkelen van toepassingen, bijvoorbeeld wanneer de opdracht az sphere device enable-development wordt uitgevoerd. Toepassingsontwikkeling wordt mogelijk gemaakt door het apparaat in een ontgrendelde status te hebben, waar de ontwikkelaar bewerkingen kan uitvoeren, zoals foutopsporing en eenvoudig sideloadversies van de toepassing kan verwijderen en implementeren.
Bij elke bewerking doorgegeven aan het apparaat. Op een apparaat kunnen lokaal geselecteerde mogelijkheden per bewerking worden toegepast. De opdracht az sphere device capability apply selecteert een capaciteitsbestand dat lokaal is opgeslagen op de hostcomputer. Zodra deze opdracht is uitgevoerd, wordt de geselecteerde mogelijkheid met elke volgende opdracht van de computer doorgegeven aan het apparaat. Dit is de aanbevolen manier om mogelijkheden te gebruiken voor apparaten die zich in het veld bevinden, omdat de mogelijkheden worden opgeslagen op de computer in plaats van op het apparaat. Het risico dat een veldtechnicus het apparaat per ongeluk in een onbeveiligde status achterlaat door te vergeten de mogelijkheid te verwijderen, wordt vermeden.
Voordat een mogelijkheidsbestand kan worden sideloaden op een apparaat of kan worden doorgegeven aan een apparaat met een bewerking, moet het worden gedownload van de Azure Sphere Security Service (AS3), zoals beschreven in Wijzigingen aanbrengen aan een apparaat na productie. Gedownloade capaciteitsbestanden zijn apparaatspecifiek; na het downloaden kan een mogelijkheidsbestand herhaaldelijk worden gebruikt op het gekoppelde apparaat.
De mogelijkheid enableRfTestMode
De mogelijkheid enableRfTestMode is standaard aanwezig op het apparaat wanneer de productiestatus van het apparaat Leeg is. Deze mogelijkheid maakt het programmeren van e-zekeringen en de configuratie en het testen van RF-bewerkingen mogelijk. Het is niet mogelijk voor cataloguseigenaren om deze mogelijkheid te downloaden naar een hostcomputer. Als u deze mogelijkheid nodig hebt, neemt u contact op met uw Microsoft-vertegenwoordiger.
Wanneer de productiestatus van het apparaat Leeg is, wordt met de opdracht az sphere device capability show-attached de mogelijkheid enableRfTestMode weergegeven.
De appDevelopment-mogelijkheid
De appDevelopment-apparaatfunctie ontgrendelt service-UART-communicatie en wijzigt het type ondertekening dat het apparaat vertrouwt. Het is bedoeld voor gebruik tijdens het ontwikkelen van toepassingen.
Standaard vertrouwen Azure Sphere-apparaten met productieondertekende installatiekopieën die zijn gedownload door de Azure Sphere-beveiligingsservice, maar geen SDK-ondertekende installatiekopieënpakketten. Daarom kunt u geen installatiekopieënpakket maken met de SDK en dit sideloaden op uw Azure Sphere-apparaat voor foutopsporing, tenzij het apparaat de appDevelopment-mogelijkheid heeft. De appDevelopment-mogelijkheid zorgt ervoor dat het apparaat het installatiekopieënpakket vertrouwt en stelt u in staat een toepassing te starten, stoppen, fouten op te sporen of van het apparaat te verwijderen.
Kortom, de appDevelopment-mogelijkheid ontgrendelt service-UART-communicatie om de volgende bewerkingen toe te staan:
Een installatiekopiepakket sideloaden dat is gebouwd met Visual Studio, Visual Studio Code, de CLI of de opdracht az sphere image-package .
Een installatiekopieënpakket starten, stoppen, fouten opsporen of verwijderen van het Azure Sphere-apparaat, ongeacht hoe het installatiekopieënpakket is ondertekend.
Als u de appDevelopment-mogelijkheid wilt toevoegen, gebruikt u de opdracht az sphere device enable-development . Met deze opdracht downloadt u de appDevelopment-mogelijkheid voor het gekoppelde apparaat, wordt de mogelijkheid sideload naar het apparaat en wordt het apparaat verplaatst naar de standaardapparaatgroep Ontwikkeling. Als u een andere apparaatgroep wilt opgeven, neemt u de --device-group parameter op.
Wanneer u az sphere device enable-development gebruikt, blijft het apparaat ontgrendeld totdat u het expliciet vergrendelt. Als u het apparaat opnieuw wilt vergrendelen, gebruikt u de opdracht az sphere device enable-cloud-test . Met deze opdracht wordt de mogelijkheid verwijderd en wordt de apparaatgroep gewijzigd, afhankelijk van de opgegeven opdrachtregelparameters.
De opdrachten az sphere device enable-development en az sphere device enable-cloud-test voeren een reeks acties uit die een apparaat voorbereiden voor respectievelijk ontwikkeling en foutopsporing of voor cloudimplementaties. In plaats van deze opdrachten te gebruiken, kunt u de opdracht az sphere device capability gebruiken om een apparaatmogelijkheid te downloaden of bij te werken, of om erachter te komen welke mogelijkheden een apparaat momenteel heeft.
De fieldServicing-mogelijkheid
De fieldServicing-mogelijkheid is standaard aanwezig op een apparaat wanneer het apparaat de productiestatus Leeg of Module1Complete heeft. Wanneer een apparaat zich in de productiestatus DeviceComplete bevindt, kan de fieldServicing-mogelijkheid sideloaden, maar wordt deze meestal tijdens een onderhoudssessie tijdens elke bewerking doorgegeven aan het apparaat. Zie Wijzigingen aanbrengen in een apparaat na productie voor meer informatie over het starten van een onderhoudssessie.
Ongeacht de productiestatus van het apparaat, ontgrendelt de fieldServicing-mogelijkheid service-UART-communicatie om de volgende bewerkingen toe te staan:
- Sideloaden van een door productie ondertekend installatiekopieënpakket.
- Een door productie ondertekend installatiekopieënpakket starten, stoppen en verwijderen dat is gemarkeerd als tijdelijk.
- Routineonderhoudstaken uitvoeren, zoals het configureren van Wi-Fi.
Hoewel de fieldServicing-mogelijkheid standaard aanwezig is op het apparaat wanneer de productiestatus van het apparaat Leeg of Module1Complete is, wordt met de opdracht az sphere device capability show-attached de fieldServicing-mogelijkheid niet weergegeven.
Afhankelijkheid van up-to-date, vertrouwd sleutelarchief
Wanneer een mogelijkheidsbestand wordt gemaakt door AS3, wordt het ondertekend met de huidige sleutel voor het ondertekenen van installatiekopieën. Elk apparaat heeft een vertrouwd sleutelarchief als onderdeel van het besturingssysteem waar deze sleutels worden bewaard. Als het apparaat echter niet is verbonden met internet, is het mogelijk dat een mogelijkheid niet wordt vertrouwd door het apparaat waarop het is gericht, als het vertrouwde sleutelarchief van dat apparaat verouderd is.
Om dit te verhelpen, is een methode om het apparaat verbinding te laten maken met internet, zodat het de vertrouwde sleutelopslag bijwerkt. Verbind uw apparaat met internet en druk op Reset om een update van het besturingssysteem te activeren.
Als dit niet mogelijk is, kunt u een bijgewerkt vertrouwd sleutelarchief sideloaden. U doet dit door de licentievoorwaarden te accepteren en vervolgens de meest recente installatiekopieën van het besturingssysteem te downloaden en uit dit zip-bestand alleen het bestand 'trusted-keystore.bin' uit te pakken. Vervolgens kunt u de opdracht az sphere device sideload deploy --image-package <path-to-trustedkeystore.bin-file> gebruiken om het vertrouwde sleutelarchief te sideloaden. De mogelijkheid moet nu worden vertrouwd door het apparaat.
Een derde methode is De systeemsoftware herstellen om het Azure Sphere-besturingssysteem bij te werken naar de meest recente versie, inclusief de meest recente vertrouwde sleutelopslag.