Een apparaat uitschrijven of intrekken vanuit Azure IoT Hub Device Provisioning Service

  • Artikel

Het juiste beheer van apparaatreferenties is van cruciaal belang voor systemen met een hoog profiel, zoals IoT-oplossingen. Een aanbevolen procedure voor dergelijke systemen is om een duidelijk plan te hebben over het intrekken van toegang voor apparaten wanneer hun referenties, of een SAS-token (Shared Access Signatures) of een X.509-certificaat mogelijk is aangetast.

Met de inschrijving in Device Provisioning Service kan een apparaat worden ingericht. Een ingericht apparaat is een apparaat dat is geregistreerd bij IoT Hub, zodat het de eerste status van de apparaatdubbel kan ontvangen en telemetriegegevens kan rapporteren.

In dit artikel wordt beschreven hoe u een apparaat uit uw inrichtingsservice-exemplaar kunt intrekken, waardoor het apparaat in de toekomst niet meer kan worden ingericht of opnieuw wordt ingericht. Als u een afzonderlijke inschrijving of inschrijvingsgroep uitschakelt, wordt een bestaande apparaatregistratie niet uit IoT Hub verwijderd. Zie Ongedaan maken van de inrichting van een apparaat dat al is ingericht voor een IoT-hub, voor meer informatie over het ongedaan maken van de inrichting.

Een apparaat weigeren met behulp van een afzonderlijke inschrijving

Als u wilt voorkomen dat een apparaat wordt ingericht via Device Provisioning Service, kunt u de inrichtingsstatus van een afzonderlijke inschrijving wijzigen om te voorkomen dat het apparaat wordt ingericht en opnieuw wordt ingericht. U kunt deze mogelijkheid gebruiken als het apparaat zich buiten de normale parameters gedraagt of wordt aangenomen dat het wordt aangetast, of als een manier om het inrichtingsmechanisme voor het opnieuw proberen van uw apparaten te testen.

Als het apparaat dat u wilt weigeren, is ingericht via een inschrijvingsgroep, raadpleegt u de stappen voor het weigeren van specifieke apparaten van een X.509-inschrijvingsgroep.

Notitie

Houd rekening met het beleid voor opnieuw proberen van apparaten waarvoor u de toegang intrekt. Een apparaat met een oneindig beleid voor opnieuw proberen kan bijvoorbeeld continu proberen zich te registreren bij de inrichtingsservice. Deze situatie verbruikt servicebronnen zoals quota voor servicebewerkingen en heeft mogelijk invloed op de prestaties.

  1. Meld u aan bij Azure Portal en navigeer naar uw Device Provisioning Service-exemplaar.

  2. Selecteer Inschrijvingen beheren en selecteer vervolgens het tabblad Afzonderlijke inschrijvingen .

  3. Selecteer de inschrijvingsvermelding voor het apparaat dat u wilt weigeren.

  4. Schakel op de pagina met inschrijvingsgegevens het selectievakje Deze inschrijving inschakelen uit in de sectie Inrichtingsstatus en selecteer Opslaan.

    Schermopname van het uitschakelen van een afzonderlijke inschrijving in de portal.

Als een IoT-apparaat zich aan het einde van de levenscyclus van het apparaat bevindt en niet langer mag worden ingericht voor de IoT-oplossing, moet de apparaatinschrijving worden verwijderd uit Device Provisioning Service:

  1. Selecteer inschrijvingen beheren in uw inrichtingsservice en selecteer vervolgens het tabblad Afzonderlijke inschrijvingen .

  2. Schakel het selectievakje in naast de inschrijvingsvermelding voor het apparaat dat u wilt weigeren.

  3. Selecteer Verwijderen boven aan het venster en selecteer vervolgens Ja om te bevestigen dat u de inschrijving wilt verwijderen.

    Schermopname van het verwijderen van een afzonderlijke inschrijving in de portal.

Een X.509-tussen- of basis-CA-certificaat weigeren met behulp van een inschrijvingsgroep

X.509-certificaten worden doorgaans gerangschikt in een certificaatketen van vertrouwen. Als een certificaat in een willekeurige fase van een keten wordt aangetast, wordt de vertrouwensrelatie verbroken. Het certificaat moet niet zijn toegestaan om te voorkomen dat Device Provisioning Service apparaten downstream in een keten met dat certificaat inricht. Zie X.509-certificaten voor meer informatie over X.509-certificaten en hoe deze worden gebruikt met de inrichtingsservice.

Een inschrijvingsgroep is een vermelding voor apparaten die een gemeenschappelijk attestation-mechanisme delen van X.509-certificaten die zijn ondertekend door dezelfde tussenliggende of basis-CA. De vermelding van de inschrijvingsgroep is geconfigureerd met het X.509-certificaat dat is gekoppeld aan de tussenliggende of basis-CA. De vermelding wordt ook geconfigureerd met configuratiewaarden, zoals de dubbele status en de IoT-hubverbinding, die worden gedeeld door apparaten met dat certificaat in hun certificaatketen. Als u het certificaat wilt weigeren, kunt u de inschrijvingsgroep uitschakelen of verwijderen.

Als u het certificaat tijdelijk wilt weigeren door de inschrijvingsgroep uit te schakelen:

  1. Meld u aan bij Azure Portal en navigeer naar uw Device Provisioning Service-exemplaar.

  2. Selecteer inschrijvingen beheren in uw inrichtingsservice en selecteer vervolgens het tabblad Inschrijvingsgroepen.

  3. Selecteer de inschrijvingsgroep met het certificaat dat u wilt weigeren.

  4. Schakel op de pagina met inschrijvingsgegevens het selectievakje Deze inschrijving inschakelen uit in de sectie Inrichtingsstatus en selecteer Opslaan.

    Inschrijvingsgroepvermelding uitschakelen in de portal

Als u het certificaat permanent wilt weigeren door de inschrijvingsgroep te verwijderen:

  1. Selecteer inschrijvingen beheren in uw inrichtingsservice en selecteer vervolgens het tabblad Inschrijvingsgroepen.

  2. Schakel het selectievakje in naast de inschrijvingsgroep voor het certificaat dat u wilt weigeren.

  3. Selecteer Verwijderen boven aan het venster en selecteer vervolgens Ja om te bevestigen dat u de inschrijvingsgroep wilt verwijderen.

    Inschrijvingsgroepvermelding verwijderen in de portal

Nadat u de procedure hebt voltooid, ziet u dat de vermelding is verwijderd uit de lijst met inschrijvingsgroepen.

Notitie

Als u een inschrijvingsgroep voor een certificaat verwijdert, kunnen apparaten met het certificaat in de certificaatketen mogelijk nog steeds worden ingeschreven als er een ingeschakelde inschrijvingsgroep voor het basiscertificaat of een ander tussencertificaat hoger in de certificaatketen bestaat.

Notitie

Als u een inschrijvingsgroep verwijdert, worden de registratierecords voor apparaten in de groep niet verwijderd. DPS gebruikt de registratierecords om te bepalen of het maximum aantal registraties is bereikt voor het DPS-exemplaar. Zwevende registratierecords tellen nog steeds mee voor dit quotum. Zie Quota en limieten voor het huidige maximum aantal registraties dat wordt ondersteund voor een DPS-exemplaar.

U kunt de registratierecords voor de inschrijvingsgroep verwijderen voordat u de inschrijvingsgroep zelf verwijdert. U kunt de registratierecords voor een inschrijvingsgroep handmatig bekijken en beheren op het tabblad Registratiestatus voor de groep in Azure Portal. U kunt de registratierecords programmatisch ophalen en beheren met behulp van de REST API's voor apparaatregistratiestatus of equivalente API's in de SDK's van de DPS-service, of met behulp van de Azure CLI-opdrachten az iot dps enrollment-group.

Specifieke apparaten van een X.509-inschrijvingsgroep niet uitsluiten

Als u een apparaat hebt dat is ingericht via een inschrijvingsgroep die u wilt uitschrijven, kunt u dit doen door een uitgeschakelde afzonderlijke inschrijving voor alleen dat apparaat te maken. Wanneer een apparaat verbinding maakt en verifieert met Device Provisioning Service, zoekt de service eerst naar een afzonderlijke inschrijving met de overeenkomende registratie-id. Alleen als er geen afzonderlijke inschrijving voor het apparaat wordt gevonden, zoekt de service inschrijvingsgroepen.

Voer de volgende stappen uit om een afzonderlijk apparaat in een inschrijvingsgroep niet toe te laten:

  1. Meld u aan bij Azure Portal en navigeer naar uw Device Provisioning Service-exemplaar.

  2. Selecteer inschrijvingen beheren in uw inrichtingsservice en selecteer vervolgens het tabblad Afzonderlijke inschrijvingen .

  3. Selecteer Afzonderlijke inschrijving toevoegen.

  4. Volg de juiste stap, afhankelijk van of u het apparaatcertificaat (end-entity) hebt of niet.

    • Als u het apparaatcertificaat hebt, geeft u de volgende waarden op de pagina Inschrijving toevoegen op:

      Veld Beschrijving
      Attestation-mechanisme X.509-clientcertificaten selecteren
      Primair certificaatbestand Upload het apparaatcertificaat. Gebruik voor het certificaat het ondertekende eindentiteitscertificaat dat op het apparaat is geïnstalleerd. Het apparaat maakt gebruik van het ondertekende end-entity-certificaat voor verificatie.

    • Als u het apparaatcertificaat niet hebt, geeft u de volgende waarden op de pagina Inschrijving toevoegen op:

      Veld Beschrijving
      Attestation-mechanisme Symmetrische sleutel selecteren
      Symmetrische sleutels automatisch genereren : Zorg ervoor dat dit selectievakje is ingeschakeld. De sleutels maken niet uit voor dit scenario.
      Registratie-id Als het apparaat al is ingericht, gebruikt u de ioT Hub-apparaat-id. U vindt dit in de registratierecords van de inschrijvingsgroep of in de IoT-hub waarvoor het apparaat is ingericht. Als het apparaat nog niet is ingericht, voert u de CN van het apparaatcertificaat in. (In dit laatste geval hebt u het apparaatcertificaat niet nodig, maar moet u de CN kennen.)

  5. Schuif naar de onderkant van de pagina Inschrijving toevoegen en schakel het selectievakje Deze inschrijving inschakelen uit.

  6. Selecteer Controleren en maken en selecteer vervolgens Maken.

Wanneer u uw inschrijving hebt gemaakt, ziet u dat uw uitgeschakelde apparaatinschrijving wordt vermeld op het tabblad Afzonderlijke inschrijvingen .

Volgende stappen

De registratie maakt ook deel uit van het grotere ongedaan maken van de inrichting. Het ongedaan maken van de inrichting van een apparaat omvat zowel de registratie van de inrichtingsservice als de registratie van ioT-hub. Zie Apparaten ongedaan maken die eerder zijn ingericht voor meer informatie over het volledige proces