Udostępnij przez

Manage IoT Edge certificates

Dotyczy:ikona potwierdzenia IoT Edge 1.1

Ważne

Data zakończenia wsparcia usługi IoT Edge 1.1 wynosiła 13 grudnia 2022 r.. Zapoznaj się z cyklem życia produktów firmy Microsoft, aby uzyskać informacje na temat sposobu obsługi tego produktu lub interfejsu API albo tej usługi lub technologii. Aby uzyskać więcej informacji na temat aktualizowania do najnowszej wersji usługi IoT Edge, zobacz Update IoT Edge.

Wszystkie urządzenia IoT Edge używają certyfikatów do tworzenia bezpiecznych połączeń między środowiskiem wykonawczym a dowolnymi modułami działającymi na urządzeniu. Urządzenia IoT Edge działające jako bramy używają tych samych certyfikatów, aby połączyć się również z urządzeniami w dół strumienia. Aby uzyskać więcej informacji na temat funkcji różnych certyfikatów na urządzeniu usługi IoT Edge, zobacz Omówienie sposobu korzystania z certyfikatów przez usługę Azure IoT Edge.

Uwaga / Notatka

The term root CA used throughout this article refers to the topmost authority's certificate in the certificate chain for your IoT solution. Nie musisz używać korzenia certyfikatu urzędu certyfikacji federacyjnego ani korzenia urzędu certyfikacji twojej organizacji. W wielu przypadkach jest to certyfikat pośredniego urzędu certyfikacji.

Wymagania wstępne

  • Dowiedz się, jak usługa Azure IoT Edge używa certyfikatów.

  • Urządzenie brzegowe IoT. Jeśli nie masz skonfigurowanego urządzenia IoT Edge, możesz je utworzyć na wirtualnej maszynie Azure. Wykonaj kroki opisane w jednym z artykułów szybki start, aby utworzyć wirtualne urządzenie z systemem Linux lub utworzyć wirtualne urządzenie z systemem Windows.

  • Możliwość edytowania pliku konfiguracyjnego IoT Edge config.toml zgodnie ze wzorem konfiguracji.

    • Jeśli Twój config.toml nie jest oparty na szablonie, otwórz szablon i skorzystaj z komentarzy jako wskazówek, aby dodać sekcje konfiguracji zgodnie ze strukturą szablonu.

    • Jeśli masz nową instalację IoT Edge, która nie została skonfigurowana, skopiuj szablon, aby zainicjować konfigurację. Nie używaj tego polecenia, jeśli masz już istniejącą konfigurację. Nadpisuje plik.

      sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

Urząd certyfikacji urządzeń

Wszystkie urządzenia IoT Edge używają certyfikatów do tworzenia bezpiecznych połączeń między środowiskiem uruchomieniowym a wszystkimi modułami działającymi na urządzeniu. Urządzenia IoT Edge funkcjonujące jako bramy używają tych samych certyfikatów, aby łączyć się także z ich urządzeniami docelowymi. Aby uzyskać więcej informacji na temat funkcji różnych certyfikatów na urządzeniu usługi IoT Edge, zobacz Omówienie sposobu korzystania z certyfikatów przez usługę Azure IoT Edge.

Usługa IoT Edge automatycznie generuje urząd certyfikacji urządzenia na urządzeniu w kilku przypadkach, w tym:

  • Jeśli nie podasz własnych certyfikatów produkcyjnych podczas instalowania i aprowizowania usługi IoT Edge, menedżer zabezpieczeń usługi IoT Edge automatycznie generuje certyfikat urzędu certyfikacji urządzenia. Ten certyfikat samopodpisany jest przeznaczony tylko do scenariuszy deweloperskich i testowych, a nie do produkcji. Ten certyfikat wygasa po upływie 90 dni.
  • Menedżer zabezpieczeń usługi IoT Edge generuje również certyfikat urzędu certyfikacji obciążenia podpisany przez certyfikat urzędu certyfikacji urządzenia.

W przypadku tych dwóch automatycznie wygenerowanych certyfikatów można ustawić flagę w pliku konfiguracji, aby skonfigurować liczbę dni istnienia certyfikatów.

Uwaga / Notatka

Istnieje trzeci automatycznie wygenerowany certyfikat tworzony przez menedżera zabezpieczeń usługi IoT Edge, certyfikat serwera centrum usługi IoT Edge. Ten certyfikat zawsze ma okres istnienia 30 dni, ale jest automatycznie odnawiany przed wygaśnięciem. Automatycznie ustawiona wartość okresu ważności CA w pliku konfiguracyjnym nie wpływa na ten certyfikat.

Dostosowywanie okresu istnienia certyfikatu urzędu certyfikacji urządzenia z przewodnikiem Szybki start

Po wygaśnięciu po określonej liczbie dni usługa IoT Edge musi zostać ponownie uruchomiona, aby ponownie wygenerować certyfikat urzędu certyfikacji urządzenia. Certyfikat CA urządzenia nie jest odnawiany automatycznie.

  1. Aby skonfigurować wygaśnięcie certyfikatu na wartość inną niż domyślna 90 dni, dodaj wartość w dniach do sekcji certyfikatów w pliku konfiguracji.

    certificates:
  device_ca_cert: "<ADD URI TO DEVICE CA CERTIFICATE HERE>"
  device_ca_pk: "<ADD URI TO DEVICE CA PRIVATE KEY HERE>"
  trusted_ca_certs: "<ADD URI TO TRUSTED CA CERTIFICATES HERE>"
  auto_generated_ca_lifetime_days: <value>

    Uwaga / Notatka

    Obecnie ograniczenie w libiothsm uniemożliwia korzystanie z certyfikatów wygasających 1 stycznia 2038 r. lub po nich.

  2. Usuń zawartość folderu, hsm aby usunąć wszystkie wcześniej wygenerowane certyfikaty.

    • /var/aziot/hsm/certs
    • /var/aziot/hsm/cert_keys

  3. Uruchom ponownie usługę IoT Edge.

    sudo systemctl restart iotedge

  4. Potwierdź ustawienie okresu istnienia.

    sudo iotedge check --verbose

    Sprawdź dane wyjściowe gotowości produkcyjnej: sprawdzanie certyfikatów , które wyświetla liczbę dni do wygaśnięcia automatycznie wygenerowanych certyfikatów urzędu certyfikacji urządzenia.

Zainstaluj urządzenie CA dla środowiska produkcyjnego

Po przejściu do scenariusza produkcyjnego lub utworzeniu urządzenia bramy należy podać własne certyfikaty.

Tworzenie i instalowanie urzędu certyfikacji urządzenia dla środowiska produkcyjnego

  1. Użyj własnego urzędu certyfikacji, aby utworzyć następujące pliki:

    • Urząd certyfikacji (Root CA)
    • Certyfikat CA urządzenia
    • Klucz prywatny CA urządzenia

    Główny urząd certyfikacji nie jest najwyższym urzędem certyfikacji dla organizacji. Jest to urząd certyfikacji najwyższego poziomu dla scenariusza IoT Edge, którego moduł centrum IoT Edge, moduły użytkowników i wszelkie urządzenia podrzędne używają do ustanawiania zaufania między sobą.

    Aby zobaczyć przykład tych certyfikatów, zapoznaj się ze skryptami tworzącymi przykładowe certyfikaty w sekcji Zarządzanie certyfikatami testowego urzędu certyfikacji na potrzeby przykładów i samouczków.

    Uwaga / Notatka

    Obecnie ograniczenie w libiothsm uniemożliwia korzystanie z certyfikatów wygasających 1 stycznia 2038 r. lub po nich.

  2. Skopiuj trzy pliki certyfikatu i klucza na urządzenie usługi IoT Edge. Aby przenieść pliki certyfikatów, możesz użyć usługi, takiej jak Azure Key Vault lub funkcji takiej jak Protokół Secure copy . Jeśli certyfikaty wygenerowano bezpośrednio na urządzeniu IoT Edge, możesz pominąć ten krok i użyć ścieżki do katalogu roboczego.

    Wskazówka

    Jeśli użyto przykładowych skryptów do utworzenia certyfikatów demonstracyjnych, trzy pliki certyfikatów i kluczy znajdują się w następujących ścieżkach:

    • Certyfikat urzędu certyfikacji urządzenia: <WRKDIR>\certs\iot-edge-device-MyEdgeDeviceCA-full-chain.cert.pem
    • Klucz prywatny urzędu certyfikacji urządzenia: <WRKDIR>\private\iot-edge-device-MyEdgeDeviceCA.key.pem
    • Główny urząd certyfikacji: <WRKDIR>\certs\azure-iot-test-only.root.ca.cert.pem

  1. Otwórz plik konfiguracji demona zabezpieczeń usługi IoT Edge: /etc/iotedge/config.yaml

  2. Ustaw właściwości certyfikatu w pliku config.yaml na ścieżkę URI do plików certyfikatu i klucza na urządzeniu IoT Edge. # Usuń znak przed właściwościami certyfikatu, aby usunąć komentarz z czterech wierszy. Upewnij się, że certyfikaty: wiersz nie zawiera poprzedzającej spacji i że zagnieżdżone elementy są wcięte przez dwie spacje. Przykład:

    certificates:
   device_ca_cert: "file:///<path>/<device CA cert>"
   device_ca_pk: "file:///<path>/<device CA key>"
   trusted_ca_certs: "file:///<path>/<root CA cert>"

  3. Upewnij się, że użytkownik iotedge ma uprawnienia do odczytu/zapisu dla katalogu zawierającego certyfikaty.

  4. Jeśli wcześniej użyto innych certyfikatów dla usługi IoT Edge na urządzeniu, usuń pliki w następujących dwóch katalogach przed uruchomieniem lub ponownym uruchomieniem usługi IoT Edge:

    • /var/aziot/hsm/certs
    • /var/aziot/hsm/cert_keys

  5. Uruchom ponownie usługę IoT Edge.

    sudo iotedge system restart

Certyfikaty serwera modułu

Edge Daemon wydaje certyfikaty serwera modułu i tożsamości do użytku przez moduły Edge. Pozostaje to odpowiedzialnością modułów Edge, aby w razie potrzeby odnawiać ich certyfikaty tożsamości i serwera.

Odnowienie

Certyfikaty serwera mogą być wystawiane w ramach certyfikatu urzędu certyfikacji Edge lub za pośrednictwem urzędu certyfikacji skonfigurowanego przez usługę DPS. Niezależnie od metody wydawania, te certyfikaty muszą być odnawiane przez moduł.

Changes in 1.2 and later

  • Certyfikat Device CA został przemianowany na Edge CA.
  • The workload CA certificate was deprecated. Teraz menedżer zabezpieczeń IoT Edge generuje certyfikat serwera centrum IoT Edge edgeHub bezpośrednio z certyfikatu CA Edge, bez pośredniego certyfikatu CA obciążenia między nimi.
  • The default config file has a new name and location, from /etc/iotedge/config.yaml to /etc/aziot/config.toml by default. Polecenie iotedge config import może służyć do migrowania informacji o konfiguracji ze starej lokalizacji i składni do nowej.

Dalsze kroki

Installing certificates on an IoT Edge device is a necessary step before deploying your solution in production. Dowiedz się więcej o tym, jak przygotować wdrożenie rozwiązania IoT Edge w środowisku produkcyjnym.

  • Last updated on