将 Azure IoT 与 Azure Sphere 配合使用

Azure Sphere 设备可以使用托管服务（如 Azure IoT 中心 和 Azure IoT Central）与 Azure IoT 通信。

开始之前

无论使用哪种服务，都必须具有 Azure 订阅。 如果你的组织还没有订阅，则可以设置 免费试用版。

重要

虽然可以免费创建 Azure 订阅，但注册过程要求你提供额度卡号码。

Azure IoT 中的 Azure Sphere 可见性

Azure IoT 接受来自 Azure Sphere 设备的数据的机制是配置 Azure IoT 服务以信任 Azure Sphere 设备，将设备预配到 Azure IoT 服务，然后使用可信凭据连接到 Azure IoT 服务。 可将 Azure IoT 服务配置为接受 Azure Sphere 设备身份验证和证明 (DAA) 证书作为可信凭据。 使用此证书内置于设备的操作系统中，以便使用 Azure IoT C SDK 连接到 Azure IoT，但需要将 Azure IoT 服务配置为接受 Azure Sphere 目录证书，该证书是 DAA 证书链中的父证书。 或者，可以使用自定义设备证书链连接到 Azure IoT 服务。 使用 Azure Sphere DAA 证书的好处是，DAA 证书每天续订，并且有效证书的存在表明设备是可信的，并且已证明设备是正版且配置安全。 使用自定义设备证书进行连接时，这些授权保证不可用，需要单独管理。 具有证书管理系统的组织需要自定义证书，这些系统需要与 Azure IoT 一起使用以确保安全性、法规或合规性，并且仅在需要时才应与 Azure Sphere 一起使用。

将 Azure IoT 与 Azure Sphere 证书配合使用

对 Azure Sphere 目录进行身份验证

拥有 Azure 订阅后，必须在 Azure Sphere 与 Azure IoT Central 应用程序或 Azure IoT 中心 实例之间建立信任。 只需通过从 Azure Sphere 安全服务下载证书颁发机构 (CA) 证书并使用 Azure IoT 中心 或 Azure IoT Central 生成的代码对其进行验证，即可执行一次验证步骤。 验证过程对 Azure Sphere 目录进行身份验证。

Azure IoT 中心 和 Azure IoT Central 的身份验证过程略有不同：

• 设置 IoT 中心
• 设置 Azure IoT Central

后续步骤

拥有 Azure 订阅和经过验证的 CA 后，可以从 GitHub 运行 Azure IoT 示例应用程序，该应用程序连接到 Azure IoT Central 或 Azure IoT 中心。

将 Azure IoT 与自定义证书配合使用

自定义证书使用情况的上下文

可以将自定义证书配置为与 Azure IoT DPS、中心和 Central 配合使用。 若要将自定义证书与 Azure Sphere 配合使用，需要基于每个设备生成证书，并将其提供给 Azure Sphere 设备。 Azure Sphere 提供了用于接收来自各种源 的数据 、 存储数据以及加密可用于获取这些证书的持久存储 数据 的选项。 在设备上存在后，Azure Sphere 应用程序可以使用带有 API 的 Azure IoT C SDK 来覆盖 Azure IoT 服务的 Azure Sphere 身份验证。

配置 Azure Sphere 应用程序以使用自定义证书

使用 DPS 将 Azure Sphere 设备预配到其他 Azure IoT 服务时，Azure Sphere 应用程序需要使用 Azure IoT C SDK 创建 DPS 会话，该 SDK 以 Prov_Device_LL_Create开头。 默认情况下，Azure Sphere 会将其内部 DAA 证书用于 DPS 会话，因此需要额外的调用，以便将自定义证书链传递到 Azure IoT C SDK，并使用 AzureIoT_OverrideAzureSphereAuthDPS 替代 Azure Sphere 安全服务中的内置证书。

若要连接到 Azure IoT 中心，将使用 Azure IoT C SDK 中的不同调用来开始会话，IoTHubDeviceClient_LL_CreateFromDeviceAuth。 与 DPS 类似，需要额外的调用才能将自定义证书链传递到 Azure IoT C SDK，以替代内置证书 ，AzureIoT_OverrideAzureSphereAuthIoTHub。 请注意，即使同时使用 DPS 和 IoT 中心，也需要这两种替代，因为 Azure IoT C SDK 是针对 DPS 和IoT 中心单独组织的，并且这两个替代都需要使用相同的证书链调用。

关于 Azure IoT DPS

Azure IoT 中心设备预配服务 (DPS) 允许设备通过 Zero-Touch 预配注册到其他 Azure IoT 服务，例如 IoT 中心 和 Central。 这意味着设备不需要针对特定 IoT 终结点进行硬编码，并且设备管理员无需处于物理邻近状态，设备配置为连接到 Azure IoT 服务。 对于 Azure Sphere 设备，设备预配通常在产品制造或部署期间进行，其中将设备声明到 Azure Sphere 安全服务目录中以进行主动管理。 就 Azure IoT 而言，预配仅指授权访问 Azure IoT 资源，而不授权访问设备的部署状态。 DPS 可配置为信任 Azure Sphere 目录下的所有设备，方法是注册目录中间证书，然后 DPS 可以每天授权设备，因为其 DAA 证书在 Azure Sphere 的续订过程中会续订，从而提供强大的保证，即授权设备已知处于安全、良好、 和真正的状态。 将 DPS 与 Azure Sphere 配合使用可以更轻松地使用其他 Azure IoT 服务大规模部署设备。

详细了解 Azure IoT DPS

• Azure IoT DPS 概述

• Azure IoT DPS 快速入门和教程

关于Azure IoT 中心

Azure IoT 中心是一项托管服务，充当 IoT 应用程序与它所管理的设备之间的双向通信的中心消息中心。

Azure IoT 中心支持多种消息传送模式，例如设备到云遥测、从设备上传文件，以及从云控制设备的请求-答复方法。 此外，Azure IoT 中心监视有助于通过跟踪设备创建、设备故障和设备连接等事件来维护解决方案的运行状况。

详细了解Azure IoT 中心

• Azure IoT 中心概述

• Azure IoT 中心快速入门和教程

关于 Azure IoT Central

Azure IoT Central 是一项托管服务，可简化 IoT 解决方案的创建。 Azure IoT Central 简化了 IoT 解决方案的初始设置，并减轻了典型 IoT 项目的管理负担、运营成本和开销。

详细了解 Azure IoT Central

• 什么是 Azure IoT Central？

• Azure IoT 文档