Erstellen und Verwalten von Geräteidentitäten
Erstellen Sie eine Geräteidentität für Ihr Gerät, um eine Verbindung mit Azure IoT Hub herzustellen. In diesem Artikel erfahren Sie mehr zu wichtigen Aufgaben bei der Verwalten einer Geräteidentität, einschließlich der Registrierung des Geräts, des Sammelns der Verbindungsinformationen und dem anschließenden Löschen oder Deaktivieren eines Geräts am Ende seines Lebenszyklus.
Voraussetzungen
Ein IoT Hub in Ihrem Azure-Abonnement. Wenn Sie noch keinen Hub haben, können Sie die Schritte unter Erstellen eines IoT-Hubs ausführen.
Je nachdem, welches Tool Sie verwenden, haben Sie Zugriff auf das Azure-Portal, oder installieren Sie die Azure CLI.
Wenn Ihr IoT-Hub mit rollenbasierter Zugriffssteuerung (Role-Based Access Control, RBAC) verwaltet wird, benötigen Sie die Berechtigungen zum Lesen, Schreiben und Löschen eines Geräts bzw. eines Moduls für die Schritte in diesem Artikel. Diese Berechtigungen sind in der Rolle IoT Hub-Registrierungmitwirkender enthalten.
Vorbereiten von Zertifikaten
Geräte verwenden zwei verschiedene Arten von Zertifikaten, um eine Verbindung mit IoT Hub herzustellen. Stellen Sie beim Vorbereiten des Geräts sicher, dass alle richtigen Zertifikate erstellt und dem Gerät hinzugefügt wurden, bevor Sie eine Verbindung herstellen.
- Öffentliche Stammzertifikate: Alle Geräte benötigen eine Kopie der öffentlichen Stammzertifikate, die IoT Hub, IoT Central und der Device Provisioning Service zum Autorisieren von Verbindungen verwenden.
- Authentifizierungszertifikate: X.509-Zertifikate sind die empfohlene Methode, um eine Geräteidentität zu authentifizieren.
Erforderliche öffentliche Stammzertifikate
Azure IoT-Geräte verwenden TLS, um die Authentizität des IoT-Hubs oder DPS-Endpunkts zu überprüfen, mit dem sie eine Verbindung herstellen. Jedes Gerät benötigt eine Kopie des Stammzertifikats, das IoT Hub und DPS verwenden. Es wird empfohlen, dass alle Geräte die folgenden Stamm-ZS im vertrauenswürdigen Zertifikatspeicher einschließen:
- DigiCert Global G2
- Microsoft RSA 2017
Weitere Informationen zu den empfohlenen Zertifikatpraktiken von IoT Hub finden Sie unter TLS-Unterstützung.
Authentifizierungszertifikate
Wenn Sie die X.509-Zertifikatauthentifizierung für Ihre Geräte verwenden, stellen Sie sicher, dass Ihre Zertifikate bereit sind, bevor Sie ein Gerät registrieren:
Das Tutorial Erstellen und Hochladen von Zertifikaten zum Testen bietet eine gute Einführung in das Erstellen von Zertifikaten, die durch eine Zertifizierungsstelle signierte wurden, und das Hochladen dieser Zertifikate in IoT Hub. Nach Abschluss dieses Tutorials können Sie ein Gerät über die Authentifizierung mit X.509, durch Zertifizierungsstelle signiert registrieren.
Bei selbstsignierten Zertifikate benötigen Sie auf dem Gerät zwei Gerätezertifikate – ein primäres und ein sekundäres Zertifikat – sowie Fingerabdrücke für beide, damit Sie diese in IoT Hub hochladen können. Der Fingerabdruck kann mithilfe des folgenden OpenSSL-Befehls aus einem Zertifikat abgerufen werden:
openssl x509 -in <certificate filename>.pem -text -fingerprint
Registrieren eines Geräts
In diesem Abschnitt erstellen Sie eine Geräteidentität in der Identitätsregistrierung in Ihrem IoT-Hub. Ein Gerät kann keine Verbindung mit einem Hub herstellen, außer es verfügt über eine Geräteidentität.
Die Identitätsregistrierung in IoT Hub speichert nur Geräteidentitäten, um einen sicheren Zugriff auf den IoT-Hub zu ermöglichen. Sie speichert Geräte-IDs und Schlüssel, die als Sicherheitsanmeldeinformationen verwendet werden, sowie ein Aktiviert/Deaktiviert-Kennzeichen, mit dem Sie den Zugriff für ein einzelnes Gerät deaktivieren können.
Beim Registrieren eines Geräts wählen Sie dessen Authentifizierungsmethode aus. IoT Hub unterstützt drei Methoden für die Geräteauthentifizierung:
Symmetrischer Schlüssel - Das ist die einfachste Option für Schnellstartszenarios.
Wenn Sie ein Gerät registrieren, können Sie Schlüssel bereitstellen. Andernfalls generiert IoT Hub Schlüssel für Sie. Das Gerät und der IoT-Hub verfügen über eine Kopie des symmetrischen Schlüssels, der verglichen werden kann, wenn das Gerät eine Verbindung herstellt.
X.509, selbstsigniert
Wenn Ihr Gerät über ein selbstsigniertes X.509-Zertifikat verfügt, müssen Sie IoT Hub eine Version des Zertifikats für die Authentifizierung bereitstellen. Wenn Sie ein Gerät registrieren, laden Sie einen Fingerabdruck des Zertifikats hoch, bei dem es sich um einen Hash des X.509-Zertifikats des Geräts handelt. Beim Herstellen einer Verbindung präsentiert das Gerät sein Zertifikat, und der IoT-Hub kann das Zertifikat anhand des von ihm bekannten Hashs überprüfen. Weitere Informationen finden Sie unter Authentifizieren von Identitäten mit X.509-Zertifikaten.
X.509, durch Zertifizierungsstelle signiert - Diese Option wird für Produktionsszenarios empfohlen.
Wenn Ihr Gerät über ein durch eine Zertifizierungsstelle signiertes X.509-Zertifikat verfügt, laden Sie vor der Registrierung des Geräts ein Zertifikat einer Stamm- oder Zwischenzertifizierungsstelle (ZS) in die Signaturkette in IoT Hub hoch. Das Gerät verfügt über ein X.509-Zertifikat bei der verifizierten X.509-Zertifizierungsstelle in der Zertifikatvertrauenskette. Beim Herstellen einer Verbindung präsentiert das Gerät seine vollständige Zertifikatkette, und der IoT-Hub kann das Zertifikat überprüfen, da ihm die X.509-Zertifizierungsstelle bekannt ist. Mehrere Geräte können sich bei derselben verifizierten X.509-Zertifizierungsstelle authentifizieren. Weitere Informationen finden Sie unter Authentifizieren von Identitäten mit X.509-Zertifikaten.
Hinzufügen eines Geräts
Erstellen einer Geräteidentität im IoT Hub
Navigieren Sie im Azure-Portal zu Ihrem IoT Hub.
Wählen Sie Geräteverwaltung>Geräte aus.
Wählen Sie Gerät hinzufügen aus, um Ihrem IoT-Hub ein Gerät hinzuzufügen.
Geben Sie in Gerät erstellen die Informationen für Ihre neue Geräteidentität an:
Parameter Abhängiger Parameter Wert Geräte-ID Geben Sie einen Namen für Ihr neues Gerät an. Authentifizierungstyp Wählen Sie Symmetrischer Schlüssel, X.509, selbstsigniert oder X.509, durch Zertifizierungsstelle signiert aus. Schlüssel automatisch generieren Aktivieren Sie für die Authentifizierung mit einem symmetrischen Schlüssel dieses Kontrollkästchen, damit IoT Hub Schlüssel für Ihr Gerät generiert. Deaktivieren Sie alternativ dieses Kontrollkästchen, und stellen Sie primäre und sekundäre Schlüssel für Ihr Gerät bereit. Primärer Fingerabdruck und Sekundärer Fingerabdruck Stellen Sie für die Authentifizierung mit X.509, selbstsigniert den Hash des Fingerabdrucks aus den primären und sekundären Zertifikaten des Geräts bereit. Wichtig
Diese Geräte-ID ist unter Umständen in den Protokollen sichtbar, die für den Kundensupport und die Problembehandlung erfasst werden. Stellen Sie also sicher, dass Sie beim Benennen keine sensiblen Informationen verwenden.
Wählen Sie Speichern.
Abrufen der Geräte-Verbindungszeichenfolge
Bei Beispielen und Testszenarios stellt die Verwendung der Authentifizierung mit symmetrischen Schlüsseln und das Herstellen einer Verbindung mit der Verbindungszeichenfolge eines Geräts die am häufigsten verwendete Verbindungsmethode dar. Die Verbindungszeichenfolge eines Geräts enthält den Namen des IoT-Hubs, den Namen des Geräts und die Authentifizierungsinformationen des Geräts.
Informationen zu anderen Methoden zum Verbinden von Geräten, insbesondere für die X.509-Authentifizierung, finden Sie unter Gerät-SDKs in Azure IoT Hub.
Führen Sie die folgenden Schritte aus, um die Verbindungszeichenfolge eines Geräts abzurufen.
Das Azure-Portal stellt Verbindungszeichenfolgen lediglich für Geräte bereit, die die Authentifizierung mit symmetrischen Schlüsseln verwenden.
Navigieren Sie im Azure-Portal zu Ihrem IoT Hub.
Wählen Sie Geräteverwaltung>Geräte aus.
Wählen Sie im Bereich Geräte Ihr Gerät aus der Liste aus.
Kopieren Sie den Wert der primären Verbindungszeichenfolge.
Die Schlüssel und Verbindungszeichenfolgen werden standardmäßig maskiert, weil sie vertrauliche Informationen sind. Wenn Sie auf das Augensymbol klicken, werden sie angezeigt. Sie können allerdings über die Kopierschaltfläche kopiert werden, ohne die Maskierung aufheben zu müssen.
Geräte mit der Authentifizierung mit symmetrischen Schlüsseln weisen eine Verbindungszeichenfolge eines Geräts mit dem folgenden Muster auf:
HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;SharedAccessKey=<PRIMARY_OR_SECONDARY_KEY>
Geräte mit der Authentifizierung mit „X.509, selbstsigniert“ oder „X.509, durch Zertifizierungsstelle signiert“ verwenden für die Authentifizierung in der Regel keine Verbindungszeichenfolgen eines Geräts. Sollte das dennoch der Fall sein, weise ihre Verbindungszeichenfolgen das folgende Muster auf:
HostName=<IOT_HUB_NAME>;DeviceId=<DEVICE_NAME>;x509=true
Deaktivieren oder Löschen eines Geräts
Wenn Sie ein Gerät in der Identitätsregistrierung Ihres IoT-Hubs behalten, aber verhindern möchten, dass es eine Verbindung herstellt, können Sie seinen Status in Deaktiviert ändern.
Navigieren Sie im Azure-Portal zu Ihrem IoT Hub.
Wählen Sie Geräteverwaltung>Geräte aus.
Wählen Sie im Bereich Geräte Ihr Gerät aus der Liste aus.
Auf der Seite „Gerätedetails“ können Sie die Geräteregistrierung deaktivieren oder löschen.
Legen Sie den Parameter Verbindung mit IoT Hub aktivieren auf Deaktivieren fest, um zu verhindern, dass ein Gerät eine Verbindung herstellt.
Wählen Sie Löschen aus, um ein Gerät vollständig aus der Identitätsregistrierung Ihres IoT-Hubs zu entfernen.
Weitere Tools zum Verwalten von Geräteidentitäten
Sie können unter anderem die folgenden Tools oder Schnittstellen verwenden, um die IoT Hub-Identitätsregistrierung zu verwalten:
PowerShell-Befehle: Informationen zum Verwalten von Geräteidentitäten finden Sie im Befehlssatz Az.IotHub.
Visual Studio Code: Die Azure IoT Hub-Erweiterung für Visual Studio Code enthält die Funktionen für die Identitätsregistrierung.
REST-API: Informationen zum Verwalten von Geräteidentitäten finden Sie unter Dienst-APIs von IoT Hub.