Partilhar via

Crie e provisione dispositivos IoT Edge em escala no Linux usando certificados X.509

Aplica-se a:ícone de confirmação IoT Edge 1.1

Importante

IoT Edge 1.1 data de fim do suporte foi 13 de dezembro de 2022. Consulte o Ciclo de Vida de Produtos da Microsoft para obter informações sobre como é suportado este produto, serviço, tecnologia ou API. Para obter mais informações sobre como atualizar para a versão mais recente do IoT Edge, consulte Atualizar o IoT Edge.

Este artigo fornece instruções completas para o provisionamento automático de um ou mais dispositivos Linux IoT Edge usando certificados X.509. Você pode provisionar automaticamente dispositivos do Azure IoT Edge com o serviço de provisionamento de dispositivo (DPS) do Hub IoT do Azure. Se você não estiver familiarizado com o processo de provisionamento automático, revise a visão geral do provisionamento antes de continuar.

As tarefas são as seguintes:

  1. Gere certificados e chaves.
  2. Crie um registro individual para um único dispositivo ou um registro de grupo para um conjunto de dispositivos.
  3. Instale o tempo de execução do IoT Edge e registe o dispositivo no IoT Hub.

Usar certificados X.509 como um mecanismo de atestado é uma excelente maneira de dimensionar a produção e simplificar o provisionamento de dispositivos. Normalmente, os certificados X.509 são organizados em uma cadeia de confiança de certificados. Começando com um certificado raiz autoassinado ou confiável, cada certificado na cadeia assina o certificado imediatamente abaixo. Este padrão cria uma cadeia delegada de confiança desde o certificado raiz, passando por cada certificado intermédio, até ao certificado final do dispositivo instalado num aparelho.

Sugestão

Se o seu dispositivo tiver um HSM (Hardware Security Module), como um TPM 2.0, recomendamos armazenar as chaves X.509 com segurança no HSM. Saiba mais sobre como implementar, em escala, o provisionamento zero-touch descrito neste plano com o exemplo iotedge-tpm2cloud.

Pré-requisitos

Recursos na nuvem

  • Um hub IoT ativo
  • Uma instância do serviço de provisionamento de dispositivo do Hub IoT no Azure, vinculada ao seu hub IoT
    • Se você não tiver uma instância de serviço de provisionamento de dispositivo, poderá seguir as instruções nas seções Criar um novo serviço de provisionamento de dispositivo do Hub IoT e Vincular o hub IoT e o serviço de provisionamento de dispositivo do início rápido do serviço de provisionamento de dispositivos do Hub IoT.
    • Depois de executar o serviço de provisionamento de dispositivo, copie o valor de ID Scope da página de visão geral. Você usa esse valor ao configurar o tempo de execução do IoT Edge.

Requisitos do dispositivo

Um dispositivo Linux físico ou virtual para ser o dispositivo IoT Edge.

Gerar certificados de identidade de dispositivo

O certificado de identidade do dispositivo é um certificado de dispositivo downstream que se conecta por meio de uma cadeia de confiança de certificados ao certificado de autoridade de certificação (CA) X.509 superior. O certificado de identidade do dispositivo deve ter seu nome comum (CN) definido como a ID do dispositivo que você deseja que o dispositivo tenha em seu hub IoT.

Os certificados de identidade de dispositivo são usados apenas para provisionar o dispositivo IoT Edge e autenticar o dispositivo com o Hub IoT do Azure. Eles não estão assinando certificados, ao contrário dos certificados de CA que o dispositivo IoT Edge apresenta aos módulos ou dispositivos downstream para verificação. Para obter mais informações, consulte Detalhes de uso do certificado do Azure IoT Edge.

Depois de criar o certificado de identidade do dispositivo, você deve ter dois arquivos: um arquivo .cer ou .pem que contém a parte pública do certificado e um arquivo .cer ou .pem com a chave privada do certificado. Se pretender usar o registo de grupo no DPS, também necessita da parte pública de um certificado de CA intermédio ou raiz na mesma cadeia de confiança de certificados.

Você precisa dos seguintes arquivos para configurar o provisionamento automático com X.509:

  • O certificado de identidade do dispositivo e seu certificado de chave privada. O certificado de identidade do dispositivo é carregado no DPS se você criar um registro individual. A chave privada é passada para o runtime do IoT Edge.
  • Um certificado de cadeia completa, que deve conter, pelo menos, a identidade do dispositivo e os certificados intermédios. O certificado de cadeia completa é passado para o ambiente de execução do IoT Edge.
  • Um certificado de autoridade de certificação intermediário ou raiz na cadeia de certificados de confiança. Este certificado é carregado no DPS se você criar um registro de grupo.

Observação

Atualmente, uma limitação no libiothsm impede o uso de certificados que expiram em ou após 1º de janeiro de 2038.

Utilizar certificados de teste (opcional)

Se você não tiver uma autoridade de certificação disponível para criar novos certificados de identidade e quiser experimentar esse cenário, o repositório git do Azure IoT Edge contém scripts que você pode usar para gerar certificados de teste. Esses certificados são projetados apenas para testes de desenvolvimento e não devem ser usados na produção.

Para criar certificados de teste, siga as etapas em Criar certificados de demonstração para testar os recursos do dispositivo IoT Edge. Conclua as duas seções necessárias para configurar os scripts para a geração de certificados e criar um certificado de CA raiz. Em seguida, siga as etapas para criar um certificado de identidade de dispositivo. Quando terminar, você deverá ter a seguinte cadeia de certificados e par de chaves:

  • <WRKDIR>/certs/iot-edge-device-identity-<name>-full-chain.cert.pem
  • <WRKDIR>/private/iot-edge-device-identity-<name>.key.pem

Você precisa desses dois certificados no dispositivo IoT Edge. Se você vai usar o registro individual no DPS, então você carregará o arquivo .cert.pem. Se vai usar a inscrição de grupo no DPS, também precisará de um certificado de CA intermediário ou raiz na mesma cadeia de confiança de certificados para fazer o upload. Caso esteja a usar certificados de demonstração, use o certificado <WRKDIR>/certs/azure-iot-test-only.root.ca.cert.pem para inscrição em grupo.

Criar um registro DPS

Use seus certificados e chaves gerados para criar um registro no DPS para um ou mais dispositivos IoT Edge.

Se você deseja provisionar um único dispositivo IoT Edge, crie um registro individual. Se precisar de vários dispositivos provisionados, siga os passos para criar uma inscrição de grupo DPS.

Ao criar uma inscrição no DPS, tem a oportunidade de declarar um estado gêmeo inicial do dispositivo. No gemelo do dispositivo, pode definir etiquetas para agrupar dispositivos segundo qualquer métrica na sua solução, como região, ambiente, localização ou tipo de dispositivo. Essas tags são usadas para criar implantações automáticas.

Para obter mais informações sobre inscrições no serviço de provisionamento de dispositivos, consulte Como gerenciar registros de dispositivos.

Fazer uma inscrição individual no DPS

Os registos individuais obtêm a parte pública do certificado de identidade de um dispositivo e correspondem-na com o certificado no dispositivo.

Sugestão

As etapas neste artigo são para o portal do Azure, mas você também pode criar inscrições individuais usando a CLI do Azure. Para obter mais informações, consulte az iot dps enrollment. Como parte do comando CLI, use o sinalizador edge-enabled para especificar que a inscrição é para um dispositivo IoT Edge.

  1. No portal do Azure, navegue até a sua instância do serviço de provisionamento de dispositivos do Hub IoT.

  2. Em Configurações, selecione Gerenciar inscrições.

  3. Selecione Adicionar inscrição individual e conclua as seguintes etapas para configurar o registro:

    • Mecanismo: Selecione X.509.

    • Ficheiro .pem ou .cer do certificado primário: carregue o ficheiro público do certificado de identidade do dispositivo. Se você usou os scripts para gerar um certificado de teste, escolha o seguinte arquivo:

      <WRKDIR>\certs\iot-edge-device-identity-<name>.cert.pem

    • ID do dispositivo do Hub IoT: forneça uma ID para o seu dispositivo, se desejar. Você pode usar IDs de dispositivo para direcionar um dispositivo individual para implantação de módulo. Se você não fornecer uma ID de dispositivo, o nome comum (CN) no certificado X.509 será usado.

    • Dispositivo IoT Edge: selecione True para declarar que o registro é para um dispositivo IoT Edge.

    • Selecione os hubs IoT aos quais este dispositivo pode ser atribuído: Escolha o hub IoT vinculado ao qual você deseja conectar seu dispositivo. Você pode escolher vários hubs e o dispositivo será atribuído a um deles de acordo com a política de alocação selecionada.

    • Estado Inicial do Dispositivo Duplo: adicione um valor de tag ao dispositivo duplo, caso deseje. Você pode usar tags para segmentar grupos de dispositivos para implantação automática. Por exemplo:

      {
    "tags": {
       "environment": "test"
    },
    "properties": {
       "desired": {}
    }
}

  4. Selecione Guardar.

Em Gerir Inscrições, pode ver o ID de Registro da inscrição que acabou de criar. Anote isso, pois ele pode ser usado quando você provisionar seu dispositivo.

Agora que existe uma inscrição para este dispositivo, o runtime do IoT Edge pode provisionar automaticamente o dispositivo durante a instalação.

Instalar o IoT Edge

Nesta seção, você prepara sua VM Linux ou dispositivo físico para o IoT Edge. Em seguida, instale o IoT Edge.

Execute os seguintes comandos para adicionar o repositório de pacotes e, em seguida, adicione a chave de assinatura do pacote Microsoft à sua lista de chaves confiáveis.

Importante

Em 30 de junho de 2022, o Raspberry Pi OS Stretch foi retirado da lista de suporte do Tier 1 OS. Para evitar possíveis vulnerabilidades de segurança, atualize seu sistema operacional host para Bullseye.

A instalação pode ser feita com alguns comandos. Abra um terminal e execute os seguintes comandos:

  • 20.04:

    wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

  • 18.04:

    wget https://packages.microsoft.com/config/ubuntu/18.04/multiarch/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

Observação

Os pacotes de software do Azure IoT Edge estão sujeitos aos termos de licença localizados em cada pacote (usr/share/doc/{package-name} ou no LICENSE diretório). Leia os termos de licença antes de usar um pacote. A sua instalação e utilização de um pacote constitui a sua aceitação destes termos. Se você não concorda com os termos da licença, não use esse pacote.

Instalar um motor de contentor

O Azure IoT Edge depende de um tempo de execução de contêiner compatível com OCI. Para cenários de produção, recomendamos que você use o mecanismo Moby. O mecanismo Moby é o único mecanismo de contêiner oficialmente suportado com o IoT Edge. As imagens de contêiner do Docker CE/EE são compatíveis com o tempo de execução do Moby.

Instale o motor Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Quando o motor Moby estiver instalado com êxito, configure-o para usar local driver de registo como o mecanismo de registo. Para saber mais sobre a configuração de registos, consulte Lista de Verificação de Implantação de Produção.

  • Crie ou abra o arquivo de configuração do daemon do Docker em /etc/docker/daemon.json.

  • Defina o driver de log padrão para o driver de log local, conforme mostrado no exemplo abaixo.

       {
      "log-driver": "local"
   }

  • Reinicie o motor do contentor para que as alterações tenham efeito.

    sudo systemctl restart docker

    Sugestão

    Se você receber erros ao instalar o mecanismo de contêiner Moby, verifique se o kernel Linux é compatível com Moby. Alguns fabricantes de equipamentos incorporados fornecem imagens de dispositivos que contêm kernels Linux personalizados sem as funcionalidades necessárias para a compatibilidade do motor de contentores. Execute o seguinte comando, que usa o script check-config fornecido pelo Moby, para verificar a configuração do kernel:

    curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

    Na saída do script, verifique se todos os itens em Generally Necessary e Network Drivers estão habilitados. Se você estiver faltando recursos, habilite-os reconstruindo seu kernel a partir do código-fonte e selecionando os módulos associados para inclusão no .config do kernel apropriado. Da mesma forma, se você estiver usando um gerador de configuração do kernel como defconfig ou menuconfig, encontre e habilite os respetivos recursos e reconstrua seu kernel de acordo. Depois de implantar seu kernel recém-modificado, execute o script check-config novamente para verificar se todos os recursos necessários foram habilitados com êxito.

Instalar o runtime do IoT Edge

O daemon de segurança do IoT Edge fornece e mantém padrões de segurança no dispositivo IoT Edge. O serviço é iniciado em cada arranque e prepara o dispositivo iniciando o restante do ambiente de execução do IoT Edge.

As etapas nesta seção representam o processo típico para instalar a versão mais recente em um dispositivo que tenha conexão com a Internet. Se você precisar instalar uma versão específica, como uma versão de pré-lançamento, ou precisar instalar offline, siga as etapas de instalação Offline ou versão específica mais adiante neste artigo.

Instale a versão 1.1.* do IoT Edge junto com o pacote libiothsm-std.

sudo apt-get update; \
  sudo apt-get install iotedge

Observação

O IoT Edge versão 1.1 é o ramo de suporte de longo prazo do IoT Edge. Se você estiver executando uma versão mais antiga, recomendamos instalar ou atualizar para o patch mais recente, pois as versões mais antigas não são mais suportadas.

Provisionar o dispositivo com sua identidade na nuvem

Assim que o runtime estiver instalado no dispositivo, configure-o com as informações necessárias para a ligação ao serviço de provisionamento de dispositivos e ao Hub IoT.

Tenha as seguintes informações prontas:

  • O valor do DPS ID Scope. Você pode recuperar esse valor na página de visão geral da sua instância do DPS no portal do Azure.
  • O arquivo de cadeia de certificados de identidade armazenado no dispositivo.
  • O ficheiro de chave de identificação do dispositivo no dispositivo.

  1. Abra o arquivo de configuração no dispositivo IoT Edge.

    sudo nano /etc/iotedge/config.yaml

  2. Encontre a seção de configurações de provisionamento do arquivo. Descomente as linhas para provisionamento de certificado DPS X.509 e certifique-se de que quaisquer outras linhas de provisionamento sejam comentadas.

    A linha provisioning: não deve ter espaço em branco anterior e os itens aninhados devem ser recuados por dois espaços.

    # DPS X.509 provisioning configuration
provisioning:
  source: "dps"
  global_endpoint: "https://global.azure-devices-provisioning.net"
  scope_id: "SCOPE_ID_HERE"
  attestation:
    method: "x509"
#   registration_id: "OPTIONAL_REGISTRATION_ID_LEAVE_COMMENTED_OUT_TO_REGISTER_WITH_CN_OF_IDENTITY_CERT"
    identity_cert: "REQUIRED_URI_TO_DEVICE_IDENTITY_CERTIFICATE_HERE"
    identity_pk: "REQUIRED_URI_TO_DEVICE_IDENTITY_PRIVATE_KEY_HERE"

# always_reprovision_on_startup: true
# dynamic_reprovisioning: false

  3. Atualize os valores de scope_id, identity_cert e identity_pk com o seu DPS e informações do dispositivo.

    Quando você adiciona o certificado X.509 e as informações de chave ao arquivo config.yaml, os caminhos devem ser fornecidos como URIs de arquivo. Por exemplo:

    file:///<path>/identity_certificate_chain.pem file:///<path>/identity_key.pem

  4. Opcionalmente, forneça o registration_id para o dispositivo, que precisa corresponder ao nome comum (CN) do certificado de identidade. Se você deixar essa linha comentada, o CN será automaticamente aplicado.

  5. Opcionalmente, use as linhas always_reprovision_on_startup ou dynamic_reprovisioning para configurar o comportamento de reprovisionamento do dispositivo. Se um dispositivo estiver definido para reprovisionar na inicialização, ele sempre tentará provisionar com DPS primeiro e depois recorrerá ao backup de provisionamento se isso falhar. Se um dispositivo estiver definido para se reprovisionar dinamicamente, o IoT Edge (e todos os módulos) será reiniciado e reprovisionado se um evento de reprovisionamento for detetado, como se o dispositivo for movido de um Hub IoT para outro. Especificamente, o IoT Edge verifica se há erros de bad_credential ou device_disabled do SDK para detetar o evento de reprovisionamento. Para acionar esse evento manualmente, desative o dispositivo no Hub IoT. Para obter mais informações, consulte Conceitos de reprovisionamento de dispositivos do Hub IoT.

  6. Salve e feche o arquivo config.yaml.

  7. Reinicie o tempo de execução do IoT Edge para que ele retome todas as alterações de configuração feitas no dispositivo.

    sudo systemctl restart iotedge

Verificar se a instalação foi bem-sucedida

Se o tempo de execução tiver sido iniciado com êxito, você poderá entrar no Hub IoT e começar a implantar módulos do IoT Edge no seu dispositivo.

Você pode verificar se o registro individual criado no serviço de provisionamento de dispositivo foi usado. Navegue até a instância do serviço de provisionamento de dispositivo no portal do Azure. Abra os detalhes da inscrição individual que você criou. Observe que o estado da inscrição é atribuído e o ID do dispositivo está listado.

Use os seguintes comandos em seu dispositivo para verificar se o IoT Edge foi instalado e iniciado com êxito.

Verifique o estado do serviço IoT Edge.

systemctl status iotedge

Examine os registos de serviço.

journalctl -u iotedge --no-pager --no-full

Listar módulos em execução.

iotedge list

Próximos passos

O processo de registro do serviço de provisionamento de dispositivos permite definir a ID do dispositivo e as tags gêmeas do dispositivo ao mesmo tempo em que provisiona o novo dispositivo. Você pode usar esses valores para segmentar dispositivos individuais ou grupos de dispositivos usando o gerenciamento automático de dispositivos. Saiba como Implantar e monitorar módulos do IoT Edge em escala usando o portal do Azure ou usando a CLI do Azure.

  • Last updated on