为 Azure Sphere 设置Azure IoT 中心
若要将 Azure Sphere 设备与Azure IoT 中心配合使用,需要创建一个中心并将其设置为与 Azure Sphere 目录配合使用,然后为每个设备配置 x509 证书身份验证。
开始之前
本部分中的步骤假定:
- Azure Sphere 设备通过 USB 连接到电脑。
- 你有一个 Azure 订阅。
重要
虽然可以免费创建 Azure 订阅,但注册过程需要输入信用额度卡编号。 Azure 提供多个级别的订阅服务。 默认情况下,创建Azure IoT 中心实例时,会选择“标准”层(需要每月服务费)。 若要避免每月收费,请选择“免费”层。 免费层包括将设备与Azure IoT 中心配合使用所需的服务,包括设备孪生。 如果没有 Azure 订阅,请在开始之前创建一个 免费帐户 。
步骤 1. 创建 IoT 中心
重要
在“使用 Azure 门户创建 IoT 中心”中,仅按照第一节“创建 IoT 中心”中的说明进行操作,然后返回到本主题。
步骤 2. 下载目录身份验证 CA 证书
在命令提示符下,使用 Azure 登录名登录:
az login
下载 Azure Sphere 目录的 CA 证书。 此命令将证书下载到当前工作目录中名为 CAcertificate.cer 的文件。 确保将文件下载到具有写入权限的目录,否则下载操作将失败。 输出文件必须具有 .cer 扩展名。
az sphere ca-certificate download --resource-group MyResourceGroup --catalog MyCatalog --output-file CAcertificate.cer
步骤 3. 上传并证明拥有目录 CA 证书
将目录证书颁发机构 (CA) 证书上传到Azure IoT 中心,然后自动或手动证明你拥有该证书。
- 在 Azure 门户中,导航到创建的 IoT 中心。
- 在“安全设置”部分选择“证书”。
- 选择“ 添加” 以添加新证书。
- 在 “证书名称”中,输入证书的显示名称。
- 在 证书 .pem 或 .cer 文件中,选择文件夹图标以选择在上一步中下载的证书文件。
- 使用以下方法之一证明拥有 CA 证书:
自动验证证书
若要添加证书并自动验证证书, (证明拥有目录 CA 证书) :
- 在“添加证书”框中,检查“将证书状态设置为上传时验证”框。
- 验证后,证书的状态在“证书”列表视图中更改为“已验证”。 如果状态未自动更新,请选择“ 刷新 ”。
接下来,继续 执行步骤 4。在 IoT 中心为 Azure Sphere 设备创建 X.509 设备。
手动验证证书
若要添加证书并手动验证证书, (证明拥有目录 CA 证书) :
- 从Azure 门户获取唯一的验证码。
- 从 Azure CLI 下载证明你拥有目录 CA 证书的所有权证明证书。
- 在Azure 门户上传已签名的验证证书。 该服务使用要验证的 CA 证书的公共部分验证验证证书,从而证明你拥有 CA 证书的私钥。
从Azure 门户获取唯一的验证码
在 “添加证书” 边栏选项卡中选择证书后,将 “将证书状态设置为上传时验证 ”框保持未选中状态。 选择“ 保存”。
“ 证书 ”列表视图显示证书。 创建的证书 的状态 为 “未验证”。
选择证书的名称以显示其详细信息。 在 “证书 ”边栏选项卡中,选择“ 生成验证码”。 将验证码复制到剪贴板,以便在下一步中使用。 (不要选择“ 验证 ”。)
下载证明你拥有目录 CA 证书的所有权证明证书
返回到 Azure CLI 并下载 Azure Sphere 目录的所有权证明证书。 使用验证码将证书生成为 X.509 .cer 文件。
az sphere ca-certificate download-proof --output-file ValidationCertification.cer --verification-code <code>
上传已签名的验证证书
Azure Sphere 安全服务使用验证码对验证证书进行签名,以证明你拥有 CA。
在 Azure 门户上的“证书”的“验证证书 .pem 或 .cer 文件”字段中,浏览以选择并上传已签名的验证证书。 证书位于调用下载命令的目录中。
成功上传证书后,选择“ 验证”。
验证后,证书的状态在“证书”列表视图中更改为“已验证”。 如果状态未自动更新,请选择“ 刷新 ”。
注意
每个 Azure Sphere 目录仅执行一次步骤 1-3。
步骤 4. 在 IoT 中心为 Azure Sphere 设备创建 X.509 设备
在Azure 门户,导航到 IoT 中心。 在 “设备管理 ”部分中,选择“ 设备>添加设备”。
选择“ 新建 ”以添加新设备。
在 “设备 ID”中,提供“设备 ID”。 请注意,设备 ID 必须采用小写字符。 (可以在 Azure CLI 中运行
az sphere device show-attached
以获取设备 ID.)对于 “身份验证类型”,请选择“ X.509 CA 签名”,然后选择“ 保存”。
后续步骤
现在可以运行 Azure IoT 示例或生成自己的应用程序,以使用Azure IoT 中心。
其他信息
若要使用设备预配服务而不是直接身份验证,请参阅 使用 DPS 为 Azure Sphere 设置 IoT 中心。
若要添加在 Azure Sphere 设备和Azure IoT 中心之间提供筛选层和数据处理层的 Azure IoT Edge设备,请参阅为 Azure Sphere 设置 Azure IoT Edge。