Samouczek: aprowizowanie urządzenia w centrum IoT przy użyciu Azure IoT Hub Device Provisioning Service

W poprzednim samouczku opisano sposób skonfigurowania urządzenia w celu nawiązania połączenia z usługą Device Provisioning Service. Z tego samouczka dowiesz się, jak używać tej usługi do aprowizacji urządzenia w jednym centrum IoT za pomocą automatycznej aprowizacji i list rejestracji. Ten samouczek przedstawia sposób wykonania następujących czynności:

  • Rejestrowanie urządzenia
  • Uruchamianie urządzenia
  • Sprawdzanie, czy urządzenie zostało zarejestrowane

Wymagania wstępne

Przed kontynuowaniem upewnij się, że urządzenie zostało skonfigurowane zgodnie z zaleceniami z samouczka Konfigurowanie urządzenia do aprowizacji przy użyciu usługi Azure IoT Hub Device Provisioning.

Jeśli nie masz informacji na temat procesu automatycznego aprowizowania, przed kontynuowaniem zapoznaj się z omówieniem aprowacji.

Rejestrowanie urządzenia

Ten krok obejmuje dodawanie unikatowych artefaktów zabezpieczeń urządzenia do usługi Device Provisioning. Te artefakty zabezpieczeń bazują na mechanizmie zaświadczania urządzenia w następujący sposób:

  • W przypadku urządzeń opartych na modułach TPM wymagane są następujące elementy:

    • Klucz poręczenia unikatowy dla każdego modułu TPM lub symulacji uzyskany od producenta modułu TPM. Aby uzyskać więcej informacji, zobacz Understand TPM Endorsement Key (Informacje o kluczu poręczenia modułu TPM).

    • Identyfikator rejestracji używany do jednoznacznego identyfikowania urządzenia w zakresie/przestrzeni nazw. Ten identyfikator może, ale nie musi być taki sam jak identyfikator urządzenia. Identyfikator jest wymagany dla każdego urządzenia. W przypadku urządzeń opartych na modułach TPM identyfikator rejestracji może pochodzić od samego modułu TPM, na przykład może to być skrót SHA-256 klucza poręczenia modułu TPM.

      Informacje o rejestracji dla modułu TPM w portalu

  • W przypadku urządzeń opartych na standardzie X.509 wymagane są następujące elementy:

    • Certyfikat wystawiony dla modułu lub symulacji X.509 w postaci pliku PEM lub CER. W przypadku rejestracji indywidualnej należy użyć certyfikatu podpisanego dla urządzenia dla systemu X.509, natomiast w przypadku grup rejestracji należy użyć certyfikatu głównego.

      Dodawanie indywidualnej rejestracji dla zaświadczenia X.509 w portalu

Istnieją dwa sposoby rejestrowania urządzenia w usłudze Device Provisioning:

  • Grupy rejestracji — jest to reprezentacja grupy urządzeń, które współużytkują specyficzny mechanizm zaświadczania. Firma Microsoft zaleca używanie grupy rejestracji w przypadku dużej liczby urządzeń, które współużytkują pożądaną konfigurację początkową, lub urządzeń przeznaczonych dla tej samej dzierżawy. Aby uzyskać więcej informacji na temat poświadczania tożsamości w przypadku grup rejestracji, zobacz Zabezpieczenia.

    Dodawanie rejestracji grupowej dla zaświadczenia X.509 w portalu

  • Rejestracje indywidualne — jest to reprezentacja wpisu dla pojedynczego urządzenia, które może zostać zarejestrowane w usłudze Device Provisioning. Rejestracje indywidualne mogą używać certyfikatów x509 lub tokenów SAS (w rzeczywistym lub wirtualnym module TPM) jako mechanizmów zaświadczania. Firma Microsoft zaleca używanie rejestracji indywidualnych w przypadku urządzeń, które wymagają unikatowej konfiguracji początkowej, i urządzeń, które jako mechanizmu zaświadczania mogą używać tylko tokenów SAS za pośrednictwem modułu TPM lub wirtualnego modułu TPM. W przypadku rejestracji indywidualnych można określić identyfikatory urządzeń wymaganego centrum IoT.

Teraz zarejestrujesz urządzenie w wystąpieniu usługi Device Provisioning, korzystając z wymaganych artefaktów zabezpieczeń opartych na mechanizmie zaświadczania urządzenia:

  1. Zaloguj się do Azure Portal, kliknij przycisk Wszystkie zasoby w menu po lewej stronie i otwórz usługę Device Provisioning Service.

  2. W bloku podsumowania usługi Device Provisioning Service wybierz pozycję Zarządzaj rejestracjami. W zależności od konfiguracji urządzenia wybierz kartę Rejestracje indywidualne lub Grupy rejestracji. Kliknij przycisk Dodaj znajdujący się u góry strony. Wybierz opcję TPM lub X.509 jako Mechanizm poświadczania tożsamości i wprowadź odpowiednie artefakty zabezpieczeń, jak omówiono wcześniej. Możesz wprowadzić nowy Identyfikator urządzenia usługi IoT Hub. Gdy skończysz, kliknij przycisk Zapisz.

  3. Po pomyślnym zarejestrowaniu urządzenia powinno ono być widoczne w portalu w następujący sposób:

    Pomyślna rejestracja urządzenia TPM w portalu

Po rejestracji usługa aprowizacji czeka, aż urządzenie się uruchomi, i łączy się z nim w późniejszym czasie. Gdy urządzenie jest uruchamiane po raz pierwszy, biblioteka zestawu SDK klienta wchodzi w interakcję z mikroukładem w celu wyodrębnienia artefaktów zabezpieczeń z urządzenia i weryfikuje rejestrację w usłudze Device Provisioning Service.

Uruchamianie urządzenia IoT

Urządzenie IoT może być rzeczywistym urządzeniem lub urządzeniem symulowanym. Ponieważ urządzenie IoT zostało już zarejestrowane w wystąpieniu usługi Device Provisioning, można go teraz uruchomić. Urządzenie to może wywołać usługę aprowizacji w celu jego rozpoznania przez mechanizm zaświadczania. Kiedy usługa aprowizacji rozpozna urządzenie, zostanie ono przypisane do centrum IoT.

Przykłady symulowanych urządzeń korzystających zarówno z zaświadczania TPM, jak i X.509 są dostępne dla języków C, Java, C#, Node.js i Python. Aby wyświetlić przykład urządzenia korzystającego z zaświadczenia modułu TPM, zobacz Szybki start: aprowizowanie symulowanego urządzenia TPM. Aby uzyskać przykład urządzenia korzystającego z zaświadczenia X.509, zobacz Szybki start: aprowizowanie urządzenia z symulowanym kluczem symetrycznym

Uruchom urządzenie, aby umożliwić aplikacji klienckiej urządzenia rozpoczęcie rejestracji w usłudze Device Provisioning Service.

Sprawdzanie, czy urządzenie zostało zarejestrowane

Po uruchomieniu urządzenia powinny zostać wykonane następujące działania:

  1. Urządzenie wysyła żądanie rejestracji do usługi Device Provisioning Service.

  2. W przypadku urządzeń z modułem TPM usługa Device Provisioning przesyła z powrotem wezwanie do rejestracji, na które odpowiada urządzenie.

  3. Po pomyślnej rejestracji usługa Device Provisioning przesyła z powrotem do urządzenia identyfikator URI centrum IoT, identyfikator urządzenia i zaszyfrowany klucz.

  4. Następnie aplikacja kliencka usługi IoT Hub na urządzeniu łączy się z centrum.

  5. Po pomyślnym nawiązaniu połączenia z centrum urządzenie powinno pojawić się w eksploratorze Urządzenia IoT w centrum IoT.

    Pomyślne połączenie z centrum w portalu

Aby uzyskać więcej informacji, zobacz przykład aprowizacji urządzenia klienta prov_dev_client_sample.c. W tym przykładzie pokazano aprowizowanie symulowanego urządzenia przy użyciu certyfikatów TPM i X.509 oraz kluczy zawartości. Zapoznaj się ponownie z przewodnikami Szybki start dotyczącymi atestacji certyfikatów TPM i X.509 oraz kluczy zawartości, aby uzyskać instrukcje krok po kroku dotyczące korzystania z przykładów.

Następne kroki

W niniejszym samouczku zawarto informacje na temat wykonywania następujących czynności:

  • Rejestrowanie urządzenia
  • Uruchamianie urządzenia
  • Sprawdzanie, czy urządzenie zostało zarejestrowane

Aby dowiedzieć się, jak aprowizować wiele urządzeń w centrach z równoważeniem obciążenia, należy przejść do następnego samouczka