使用 X.509 证书在 Linux 上大规模创建和预配 IoT Edge 设备

适用于:IoT Edge 1.5 复选标记 IoT Edge 1.5 IoT Edge 1.4 复选标记 IoT Edge 1.4

重要

IoT Edge 1.5 LTS 和 IoT Edge 1.4 LTS 是受支持的版本。 IoT Edge 1.4 LTS 的生命周期结束日期为 2024 年 11 月 12 日。 如果你使用的是较低的版本,请参阅更新 IoT Edge

本文提供有关使用 X.509 证书自动预配一个或多个 Linux IoT Edge 设备的详尽说明。 可以通过 Azure IoT 中心设备预配服务 (DPS) 自动预配 Azure IoT Edge 设备。 如果你不熟悉自动预配过程,请在继续操作之前查看预配概述

任务如下:

  1. 生成证书和密钥。
  2. 为单个设备创建单个注册,或为一组设备创建组注册。
  3. 安装 IoT Edge 运行时并将设备注册到 IoT 中心。

将 X.509 证书用作一种证明机制是扩大生产规模和简化设备设置的极佳途径。 X.509 证书通常排列在证书信任链中。 从自签名证书或受信任的根证书开始,证书链中的每个证书为下一级证书签名。 此模式创建了从设备上安装的根证书到每个中间证书,再到最终的下游设备证书的委托信任链。

先决条件

云资源

  • 一个活动的 IoT 中心
  • Azure 中的一个 IoT 中心设备预配服务实例,该实例已链接到 IoT 中心

设备要求

一个充当 IoT Edge 设备的物理设备或虚拟 Linux 设备。

生成设备标识证书

设备标识证书是通过证书信任链连接到顶级 X.509 证书颁发机构 (CA) 证书的下游设备证书。 设备标识证书的公用名 (CN) 必须设置为你希望该设备在 IoT 中心内使用的设备 ID。

设备标识证书仅用于预配 IoT Edge 设备,以及通过 Azure IoT 中心对设备进行身份验证。 设备标识证书不是签名证书,这与 CA 证书不同,后者是 IoT Edge 设备向模块或下游设备提供的用于验证的证书。 有关详细信息,请参阅 Azure IoT Edge 证书用法详细信息

创建设备标识证书后,应会获得两个文件:一个包含证书公共部分的 .cer 或 .pem 文件,一个包含证书私钥的 .cer 或 .pem 文件。 如果你打算在 DPS 中使用组注册,则还需要提供同一证书信任链中某个中间证书或根 CA 证书的公共部分。

若要使用 X.509 设置自动预配,需要以下文件:

  • 设备标识证书及其私钥证书。 如果创建单个注册,则设备标识证书会上传到 DPS。 私钥会传递到 IoT Edge 运行时。
  • 完整链证书,其中应至少包含设备标识和中间证书。 完整链证书会传递到 IoT Edge 运行时。
  • 证书信任链中的中间或根 CA 证书。 如果创建组注册,则此证书会上传到 DPS。

使用测试证书(可选)

如果你没有可用于创建新标识证书的证书颁发机构,但想要尝试此方案,可以使用 Azure IoT Edge Git 存储库中包含的脚本来生成测试证书。 这些证书仅用于开发测试,不得在生产环境中使用。

若要创建测试证书,请遵循创建演示证书用于测试 IoT Edge 设备功能中的步骤。 请完成其中的两个必要部分来设置证书生成脚本,并创建根 CA 证书。 然后,遵循相应的步骤创建设备标识证书。 完成后,应会获得以下证书链和密钥对:

  • <WRKDIR>/certs/iot-edge-device-identity-<name>-full-chain.cert.pem
  • <WRKDIR>/private/iot-edge-device-identity-<name>.key.pem

需要在 IoT Edge 设备上使用这两个证书。 若要在 DPS 中使用单独的注册,需要上传 .cert.pem 文件。 若要在 DPS 中使用组注册,则还需要上传同一证书信任链中的某个中间证书或根 CA 证书。 如果使用演示证书,请将 <WRKDIR>/certs/azure-iot-test-only.root.ca.cert.pem 证书用于组注册。

创建 DPS 注册

使用生成的证书和密钥在 DPS 中为一个或多个 IoT Edge 设备创建注册。

如果要预配单个 IoT Edge 设备,请创建单个注册。 如果需要预配多个设备,请按照创建 DPS 组注册的步骤进行操作。

在 DPS 中创建注册时,可以声明“初始设备孪生状态”。 在设备孪生中可以设置标记,以便按解决方案中所需的任何指标(例如区域、环境、位置或设备类型)将设备分组。 这些标记用于创建自动部署

有关设备预配服务中的注册的详细信息,请参阅如何管理设备注册

创建 DPS 单独注册

单独注册采用设备标识证书的公共部分,并将其与设备上的证书进行匹配。

提示

本文中的步骤适用于 Azure 门户,但你也可使用 Azure CLI 创建单个注册。 有关详细信息,请参阅 az iot dps enrollment。 作为 CLI 命令的一部分,使用 edge-enabled 标志指定注册适用于单个 IoT Edge设备。

  1. Azure 门户中,导航到 IoT 中心设备预配服务实例。

  2. 在“设置”下,选择“管理注册”。

  3. 选择“添加个人注册”,然后完成以下步骤以配置注册:

    • 机制:选择“X.509”。

    • 主要证书 .pem 或 .cer 文件:上传设备标识证书中的公共文件。 如果使用脚本生成了测试证书,请选择以下文件:

      <WRKDIR>\certs\iot-edge-device-identity-<name>.cert.pem

    • IoT 中心设备 ID:根据需要,为设备提供一个 ID。 可以使用设备 ID 将单个设备指定为模块部署的目标。 如果未提供设备 ID,将使用 X.509 证书中的公用名 (CN)。

    • IoT Edge 设备:选择“True”,声明该注册适用于 IoT Edge 设备。

    • 选择此设备可分配到的 IoT 中心:选择要将设备连接到的链接 IoT 中心。 可以选择多个中心,设备将根据所选的分配策略分配到其中的一个中心。

    • 初始设备孪生状态:如果需要,请添加要添加到设备孪生的标记值。 可以使用标记将设备组指定为自动部署的目标。 例如:

      {
          "tags": {
             "environment": "test"
          },
          "properties": {
             "desired": {}
          }
      }
      
  4. 选择“保存” 。

在“管理注册”下,可以查看刚创建的注册的“注册 ID”。 请记下该注册 ID,因为预配设备时可能会使用它。

既然此设备已存在注册,IoT Edge 运行时在安装期间可以自动预配设备。

安装 IoT Edge

在本部分,你将准备 IoT Edge 的 Linux 虚拟机或物理设备。 然后安装 IoT Edge。

运行以下命令以添加包存储库,然后将 Azure 包签名密钥添加到你的受信任密钥列表中。

重要

2022 年 6 月 30 日,Raspberry Pi OS Stretch 将在第 1 层 OS 支持列表中停用。 为避免潜在的安全漏洞,请将主机 OS 更新为 Bullseye。

对于支持第 2 层的平台操作系统Azure IoT Edge 版本中提供了安装包。 请参阅脱机或特定版本安装中的安装步骤。

安装可通过几个命令来完成。 打开终端并运行以下命令:

  • 24.04:

    wget https://packages.microsoft.com/config/ubuntu/24.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
    sudo dpkg -i packages-microsoft-prod.deb
    rm packages-microsoft-prod.deb
    
  • 22.04:

    wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
    sudo dpkg -i packages-microsoft-prod.deb
    rm packages-microsoft-prod.deb
    
  • 20.04:

    wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
    sudo dpkg -i packages-microsoft-prod.deb
    rm packages-microsoft-prod.deb
    

有关操作系统版本的详细信息,请参阅 Azure IoT Edge 支持的平台

注意

Azure IoT Edge 软件包受制于每个包(usr/share/doc/{package-name}LICENSE 目录)中的许可条款。 请在使用包之前阅读许可条款。 安装和使用包即表示你接受这些条款。 如果你不同意许可条款,请不要使用该包。

安装容器引擎

Azure IoT Edge 依赖于 OCI 兼容的容器运行时。 对于生产方案,建议使用 Moby 引擎。 Moby 引擎是官方支持用于 IoT Edge 的容器引擎。 Docker CE/EE 容器映像与 Moby 运行时兼容。 如果你使用的是 Ubuntu Core snap,则 Docker snap 由 Canonical 提供服务,并支持将其用于生产场景中。

安装 Moby 引擎。

sudo apt-get update; \
  sudo apt-get install moby-engine

默认情况下,容器引擎不会设置容器日志大小限制。 一段时间后,这可能会导致设备中填满了日志,因此出现磁盘空间不足的情况。 但是,你可以将日志配置为在本地显示,不过这是可选操作。 若要了解有关日志记录配置的详细信息,请参阅生产部署清单

以下步骤说明如何将容器配置为使用 local 日志记录驱动程序作为日志记录机制。

  1. 创建或编辑现有 Docker 守护程序的配置文件

    sudo nano /etc/docker/daemon.json
    
  2. 将默认日志记录驱动程序设置为 local 日志记录驱动程序,如示例中所示。

       {
          "log-driver": "local"
       }
    
  3. 重启容器引擎以使更改生效。

    sudo systemctl restart docker
    

安装 IoT Edge 运行时

IoT Edge 服务在 IoT Edge 设备上提供并维护安全标准。 该服务在每次开机时启动,并通过启动 IoT Edge 运行时的其余部分来启动设备。

注意

从版本 1.2 开始,IoT 标识服务会处理 IoT Edge 以及需要与 IoT 中心通信的其他设备组件的标识预配和管理。

本部分中的步骤表示在可连接 Internet 的设备上安装最新 IoT Edge 版本的典型过程。 如果需要安装特定版本(如预发行版)或需要在脱机状态下安装,请按照本文后面的脱机或特定版本安装步骤进行操作。

提示

如果你已经有运行旧版本的 IoT Edge 设备并想要升级到最新版本,请按照更新 IoT Edge 安全守护程序和运行时中的步骤操作。 最新版本与先前的 IoT Edge 版本有很大不同,因此需要采取特定的步骤进行升级。

安装最新版本的 IoT Edge 和 IoT 标识服务包(如果不是最新版本):

  • 22.04:

    sudo apt-get update; \
       sudo apt-get install aziot-edge
    
  • 20.04:

    sudo apt-get update; \
       sudo apt-get install aziot-edge defender-iot-micro-agent-edge
    

可选的 defender-iot-micro-agent-edge 包中包含 Microsoft Defender for IoT 安全性微代理,用于为安全态势管理、漏洞、威胁检测、群队管理等提供终结点可见性,以帮助保护 IoT Edge 设备。 建议使用 Edge 代理安装微代理,以便启用 Edge 设备的安全监视和强化。 若要详细了解 Microsoft Defender for IoT,请参阅什么是适用于设备生成器的 Microsoft Defender for IoT

为设备预配其云标识

在设备上安装运行时后,请使用供设备用来连接到设备预配服务和 IoT 中心的信息来配置该设备。

准备好以下信息:

  • DPS 的“ID 范围”值。 可以从 Azure 门户中 DPS 实例的概述页检索此值。
  • 设备上的设备标识证书链文件。
  • 设备上的设备标识密钥文件。

基于在安装 IoT Edge 的过程中提供的模板文件为你的设备创建配置文件。

sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

在 IoT Edge 设备上打开配置文件。

sudo nano /etc/aziot/config.toml

找到文件的 Provisioning 节。 取消注释使用 X.509 证书进行 DPS 预配的行,并确保注释掉任何其他预配行。

# DPS provisioning with X.509 certificate
[provisioning]
source = "dps"
global_endpoint = "https://global.azure-devices-provisioning.net"
id_scope = "SCOPE_ID_HERE"

# Uncomment to send a custom payload during DPS registration
# payload = { uri = "PATH_TO_JSON_FILE" }

[provisioning.attestation]
method = "x509"
registration_id = "REGISTRATION_ID_HERE"

identity_cert = "DEVICE_IDENTITY_CERTIFICATE_HERE" # For example, "file:///var/aziot/device-id.pem"
identity_pk = "DEVICE_IDENTITY_PRIVATE_KEY_HERE"   # For example, "file:///var/aziot/device-id.key"

# auto_reprovisioning_mode = Dynamic
  1. id_scope 的值更新为你从 DPS 实例复制的范围 ID。

  2. 为设备提供 registration_id,它是设备在 IoT 中心具有的 ID。 注册 ID 必须与标识证书的公用名称 (CN) 匹配。

  3. identity_certidentity_pk 的值更新为你的证书和密钥信息。

    标识证书值可以作为文件 URI 提供,也可以通过 EST 或本地证书颁发机构进行动态颁发。 根据你选择使用的格式,仅取消注释一行。

    标识私钥值可以作为文件 URI 或 PKCS#11 URI 提供。 根据你选择使用的格式,仅取消注释一行。

    如果使用任何 PKCS#11 URI,请在配置文件中找到 PKCS#11 节,并提供有关 PKCS#11 配置的信息。

    有关证书的详细信息,请参阅管理 IoT Edge 证书

    有关预配配置设置的详细信息,请参阅配置 IoT Edge 设备设置

  4. (可选)找到文件的自动重新预配模式部分。 使用 auto_reprovisioning_mode 参数来配置设备的重新预配行为。 Dynamic - 设备在检测到它可能已从一个 IoT 中心移动到另一个时进行重新预配。 这是默认情况。 AlwaysOnStartup - 设备在重新启动时或在故障导致守护程序重启时进行重新预配。 OnErrorOnly - 从不自动触发设备重新预配。 如果设备在标识预配过程中由于连接错误而无法连接到 IoT 中心,则每个模式都有隐式设备重新预配回退。 有关详细信息,请参阅 IoT 中心设备重新预配概念

  5. (可选)取消注释 payload 参数以指定本地 JSON 文件的路径。 设备注册时,文件的内容将作为附加数据发送到 DPS。 这对于自定义分配很有用。 例如,如果要根据 IoT 即插即用模型 ID 分配设备而无需人工干预。

  6. 保存并关闭该文件。

应用对 IoT Edge 所做的配置更改。

sudo iotedge config apply

验证是否成功安装

如果运行时成功启动,则可以进入 IoT 中心,开始将 IoT Edge 模块部署到你的设备。

可以验证是否使用了在设备预配服务中创建的单独注册。 在 Azure 门户中导航到你的设备预配服务实例。 打开创建的个人注册的注册详细信息。 注意注册状态是否为“已分配”并且设备 ID 已列出。

在设备上,使用以下命令验证是否已成功安装并启动 IoT Edge。

检查 IoT Edge 服务的状态。

sudo iotedge system status

检查服务日志。

sudo iotedge system logs

列出正在运行的模块。

sudo iotedge list

后续步骤

使用设备预配服务注册过程可以在预配新设备的同时,设置设备 ID 和设备孪生标记。 可以在自动设备管理中,使用这些值将单个设备或设备组指定为目标。 了解如何使用 Azure 门户大规模部署和监视 IoT Edge 模块,或使用 Azure CLI 执行此操作。