Добавить сертификат в edge

Обновлено: 03.07.2024

Все устройства IoT Edge используют сертификаты для создания безопасных соединений между средой выполнения и любыми модулями, работающими на устройстве. Устройства IoT Edge, работающие как шлюзы, используют те же сертификаты и для подключения к нижестоящим устройствам.

Установка рабочих сертификатов

При первой установке IoT Edge и подготовке устройства это устройство настраивается с использованием временных сертификатов, что позволяет протестировать службу. Срок действия этих временных сертификатов истекает через 90 дней, или его можно сбросить, перезапустив компьютер. После перехода в рабочий сценарий или при необходимости создать устройство шлюза необходимо предоставить собственные сертификаты. В этой статье демонстрируются действия по установке сертификатов на устройства IoT Edge.

Дополнительные сведения о различных типах сертификатов и их ролях см. в статье Описание использования сертификатов в Azure IoT Edge.

Термин "корневой ЦС", используемый в этой статье, относится к общедоступному сертификату центра наиболее высокого уровня в цепочке сертификатов для вашего решения IoT. Не нужно использовать корневой сертификат синдицированного центра сертификации, или корневой центр сертификации вашей организации. Во многих случаях фактически это открытый сертификат промежуточного ЦС.

Предварительные требования

Устройство IoT Edge.

Если устройство IoT Edge не настроено, вы можете создать его на виртуальной машине Azure. Выполните действия, описанные в одном из кратких руководств, чтобы создать виртуальное устройство Linux или создать виртуальное устройство Windows.

Наличие сертификата корневого центра сертификации (ЦС), будь то самозаверяющего или приобретенного у одного из доверенных коммерческих центров сертификации, таких как Baltimore, VeriSign, DigiCert или GlobalSign.

Если у вас еще нет корневого центра сертификации, но вы хотите испытать функции IoT Edge, для которых требуются рабочие сертификаты (например, сценарии шлюза), можно создать демонстрационные сертификаты для тестирования функций устройства IoT Edge.

Создание рабочих сертификатов

Следует использовать собственный центр сертификации для создания следующих файлов:

  • Корневой ЦС
  • Сертификат ЦС устройства
  • Закрытый ключ ЦС устройства

В этой статье мы будем называть корневым ЦС не ЦС самого верхнего уровня для организации. Это центр сертификации самого верхнего уровня для сценария IoT Edge, который используется модулем центра IoT Edge, пользовательскими модулями и всеми подчиненными устройствами для установления отношений доверия между собой.

В настоящее время ограничение в libiothsm запрещает использование сертификатов, срок действия которых истекает 1 января 2038 г. или после этой даты.

Чтобы увидеть пример этих сертификатов, рассмотрите сценарии создания демонстрационных сертификатов в статье Управление тестовыми сертификатами ЦС для примеров и учебников.

Установка сертификатов на устройстве

Установите цепочку сертификатов на устройстве IoT Edge и настройте среду выполнения IoT Edge для обращения к новым сертификатам.

Скопируйте три файла сертификатов и ключей на устройство IoT Edge.

Если вы использовали примеры сценариев для создания демонстрационных сертификатов, три файла сертификата и ключа находятся по следующим путям:

  • Сертификат ЦС устройства: <WRKDIR>\certs\iot-edge-device-MyEdgeDeviceCA-full-chain.cert.pem
  • Закрытый ключ ЦС устройства: <WRKDIR>\private\iot-edge-device-MyEdgeDeviceCA.key.pem
  • Корневой ЦС: <WRKDIR>\certs\azure-iot-test-only.root.ca.cert.pem

Для перемещения файлов сертификатов можно использовать службу, например хранилище ключей Azure, или функцию, такую как протокол защищенного копирования. Если вы создали сертификаты на самом устройстве IoT Edge, этот шаг можно пропустить и использовать путь к рабочему каталогу.

При использовании IoT Edge для Linux в Windows необходимо использовать ключ SSH, расположенный в файле id_rsa Azure IoT Edge, для проверки подлинности передачи файлов между операционной системой узла и виртуальной машиной Linux. IP-адрес виртуальной машины Linux можно запросить с помощью команды Get-EflowVmAddr . Затем SCP с проверкой подлинности можно выполнить с помощью следующей команды:

Настройка IoT Edge с помощью новых сертификатов

Откройте файл конфигурации управляющей программы безопасности IoT Edge: /etc/iotedge/config.yaml

Убедитесь, что у пользователя iotedge есть разрешения на чтение каталога, содержащего сертификаты.

Если вы ранее использовали на устройстве другие сертификаты для IoT Edge, перед запуском или перезапуском IoT Edge удалите файлы в следующих двух каталогах:

  • /var/lib/iotedge/hsm/certs
  • /var/lib/iotedge/hsm/cert_keys

Перезапустите IoT Edge.

Откройте файл конфигурации управляющей программы безопасности IoT Edge: C:\ProgramData\iotedge\config.yaml

Если вы ранее использовали на устройстве другие сертификаты для IoT Edge, перед запуском или перезапуском IoT Edge удалите файлы в следующих двух каталогах:

  • C:\ProgramData\iotedge\hsm\certs
  • C:\ProgramData\iotedge\hsm\cert_keys

Перезапустите IoT Edge.

Откройте файл конфигурации управляющей программы безопасности IoT Edge: /etc/aziot/config.toml

Найдите параметр trust_bundle_cert в начале файла. Раскомментируйте эту строку и укажите файловый URI сертификата корневого ЦС на устройстве.

Найдите раздел [edge_ca] в файле config.toml. Раскомментируйте строки в этом разделе и укажите пути URI файлов для сертификата и файлов ключей на устройстве IoT Edge.

Убедитесь, что у службы предоставлены разрешения на чтение каталогов, содержащих сертификаты и ключи.

  • Владельцами файла закрытого ключа должны быть пользователи группы aziotks.
  • Владельцами файлов сертификатов должны быть пользователи группы aziotcs.

Если ваш сертификат доступен только для чтения, то есть вы создали его и не хотите, чтобы служба IoT Edge сменила его, установите для файла закрытого ключа разрешения 0440, а для файла сертификата — 0444. Если вы создали исходные файлы, а затем настроили службу сертификатов для смены сертификата в будущем, задайте для файла закрытого ключа разрешения 0660, а для файла сертификата — 0664.

Если вы ранее использовали на устройстве другие сертификаты для IoT Edge, удалите файлы в следующем каталоге. IoT Edge воссоздаст их с помощью нового сертификата ЦС, который вы указали.

Примените изменения конфигурации.

Настройка времени существования сертификата

IoT Edge автоматически создает сертификаты на устройстве в нескольких случаях, в том числе:

  • Если вы не предоставляете собственные рабочие сертификаты при установке и подготовке IoT Edge, диспетчер безопасности IoT Edge автоматически создает сертификат ЦС устройства. Этот самозаверяющий сертификат предназначен только для сценариев разработки и тестирования, а не для рабочей среды. Срок действия этого сертификата истекает через 90 дней.
  • Диспетчер безопасности IoT Edge также создает сертификат ЦС рабочей нагрузки, подписанный сертификатом ЦС устройства.

Дополнительные сведения о функциях различных сертификатов на устройстве IoT Edge см. в статье Описание использования сертификатов в Azure IoT Edge.

Для этих двух автоматически создаваемых сертификатов имеется возможность установки флага в файле конфигурации, чтобы указать количество дней существования сертификатов.

Существует третий автоматически создаваемый сертификат, который создается диспетчером безопасности IoT Edge, — сертификат сервера центра IoT Edge. Время существования этого сертификата всегда составляет 90 дней, но он автоматически обновляется до истечения срока действия. Автоматически созданное значение времени существования центра сертификации, заданное в файле конфигурации, не влияет на этот сертификат.

После истечения срока действия через указанное число дней IoT Edge необходимо перезапустить, чтобы повторно создать сертификат ЦС устройства. Сертификат ЦС устройства не будет продлен автоматически.

Чтобы настроить истечение срока действия сертификата, отличное от 90 дней по умолчанию, добавьте значение в днях в секцию certificates файла config.

В настоящее время ограничение в libiothsm запрещает использование сертификатов, срок действия которых истекает 1 января 2038 г. или после этой даты.

Удалите содержимое папки hsm , чтобы удалить ранее созданные сертификаты.

  • /var/lib/iotedge/hsm/certs
  • /var/lib/iotedge/hsm/cert_keys

Перезапустите службу IoT Edge.

Подтвердите настройку времени существования.

Проверьте выходные данные в секции production readiness: certificates, где указывается количество дней до истечения срока действия автоматически создаваемых сертификатов ЦС устройства.

Чтобы настроить истечение срока действия сертификата, отличное от 90 дней по умолчанию, добавьте значение в днях в секцию certificates файла config.

В настоящее время ограничение в libiothsm запрещает использование сертификатов, срок действия которых истекает 1 января 2038 г. или после этой даты.

Удалите содержимое папки hsm , чтобы удалить ранее созданные сертификаты.

  • C:\ProgramData\iotedge\hsm\certs
  • C:\ProgramData\iotedge\hsm\cert_keys

Перезапустите службу IoT Edge.

Подтвердите настройку времени существования.

Проверьте выходные данные в секции production readiness: certificates, где указывается количество дней до истечения срока действия автоматически создаваемых сертификатов ЦС устройства.

Чтобы настроить срок действия сертификата, отличный от 90 дней по умолчанию, добавьте значение в днях в секцию Сертификат ЦС Edge (быстрый запуск) файла конфигурации.

Удалите содержимое папок certd и keyd , чтобы удалить ранее созданные сертификаты: /var/lib/aziot/certd/certs /var/lib/aziot/keyd/keys

Примените изменения конфигурации.

Подтвердите настройку времени существования.

Проверьте выходные данные в секции production readiness: certificates, где указывается количество дней до истечения срока действия автоматически создаваемых сертификатов ЦС устройства.

Дальнейшие действия

Установка сертификатов на устройстве IoT Edge является необходимым этапом перед развертыванием решения в рабочей среде. Узнайте больше о том, как подготовиться к развертыванию решения IoT Edge в рабочей среде.

Цифровые сертификаты привязывают удостоверение пользователя или компьютера к паре ключей, которую можно использовать для шифрования и подписания цифровой информации. Сертификаты выдаются центром сертификации (ЦС), подтверждающим удостоверение владельца сертификата, и обеспечивают безопасную связь клиента с веб-сайтами и службами.

В Windows 10 Mobile сертификаты применяются преимущественно для следующих целей:

  • Создание безопасного канала между телефоном и веб-сервером или службой с использованием протокола SSL.
  • Проверка подлинности пользователя на обратном прокси-сервере, используемом для включения Microsoft Exchange ActiveSync (EAS) для электронной почты.
  • Установка и лицензирование приложений (из Microsoft Store или настраиваемого сайта распространения организации).

В Windows10 версии 1607, если у вас есть несколько сертификатов, подготовленных на устройстве, а в подготовленном профиле Wi-Fi отсутствуют строгие критерии фильтрации, то при подключении к сети Wi-Fi могут наблюдаться сбои сетевого подключения. Подробнее об этой известной проблеме в версии 1607

Установка сертификатов с помощью Microsoft Edge

Сертификат можно разместить на веб-сайте и сделать доступным для пользователей посредством URL-адреса, перейдя по которому на устройстве, они смогут скачать сертификат. Когда пользователь заходит на страницу и касается сертификата, сертификат открывается на устройстве. Пользователь может проверить сертификат, и в случает подтверждения сертификат устанавливается на устройство с Windows 10 Mobile.

Установка сертификатов с помощью электронной почты

Установка сертификатов с помощью системы управления мобильными устройствами (MDM)

Не используйте SCEP для сертификатов шифрования для S/MIME. Для поддержки S/MIME в Windows 10 Mobile необходимо использовать профиль сертификата PFX. Инструкции по созданию профиля сертификат PFX в Microsoft Intune см. в разделе Разрешение доступа к ресурсам компании с помощью Microsoft Intune.

Процесс установки сертификатов с помощью MDM

Сервер MDM создает первоначальный запрос на регистрацию сертификата, который содержит пароль вызова, URL-адрес сервера SCEP и другие связанные с регистрацией параметры.

Политика преобразовывается в запрос OMA DM и отправляется на устройство.

Сертификат доверенного ЦС устанавливается непосредственно во время запроса MDM.

Устройство принимает запрос на регистрацию сертификата.

Устройство создает пару из закрытого и открытого ключей.

Устройство подключается к предоставленной MDM-сервером точке доступа в Интернете.

Сервер MDM создает сертификат, подписанный соответствующим ЦС, и возвращает его на устройство.

Устройство поддерживает функцию ожидания, которая позволяет провести на стороне сервера дополнительную проверку перед выдачей сертификата. В этом случае устройству отправляется состояние ожидания. Устройство периодически связывается с сервером с учетом заданных параметров количества и периода повторений. Повторные попытки прекращаются в любом из следующих случаев:

  • Сертификат успешно получен от сервера
  • Сервер возвращает ошибку
  • Число повторных попыток достигло предварительно настроенного ограничения

Сертификат установлен на устройство. Браузер, Wi-Fi, VPN, электронная почта и другие основные приложения имеют доступ к этому сертификату.

в этой статье приведены комплексные инструкции по автоподготовке одного или нескольких Windows IoT Edge устройств с помощью сертификатов X. 509. Вы можете автоматически подготовить Azure IoT Edge устройства с помощью службы подготовки устройств к добавлению в центр Интернета вещей Azure (DPS). Если вы не знакомы с процессом автоматической подготовки, ознакомьтесь с обзором подготовки , прежде чем продолжить.

Поддержка Azure IoT Edge с контейнерами Windows будет прекращена начиная с Azure IoT Edge версии 1.2.

Рекомендуется использовать новый метод для запуска IoT Edge на устройствах Windows, Azure IoT Edge для Linux в Windows.

если вы хотите использовать Azure IoT Edge для Linux на Windows, можно выполнить действия, описанные в соответствующем руководстве.

Для этого необходимо выполнить следующие задачи:

  1. Создание сертификатов и ключей.
  2. Создание отдельной регистрации для одного устройства или группы регистрации для набора устройств.
  3. Установка среды выполнения IoT Edge и регистрация устройства в Центре Интернета вещей.

Применение сертификатов X.509 в качестве механизма аттестации позволяет легко масштабировать производство и упростить подготовку устройств к работе. Сертификаты X.509 обычно организованы в цепочки доверия. Начиная с самозаверяющего или доверенного корневого сертификата каждый сертификат в цепочке подписывает следующий сертификат, который находится на более низком уровне. Этот шаблон создает делегированную цепочку доверия от корневого сертификата к каждому промежуточному сертификату и, наконец, сертификату, установленному на устройстве.

Предварительные требования

Облачные ресурсы

  • Активный центр Интернета вещей
  • Экземпляр службы подготовки устройств центра Интернета вещей в Azure, связанный с центром Интернета вещей
    • Если у вас нет экземпляра службы подготовки устройств, вы можете выполнить инструкции из раздела Создание новой службы подготовки устройств для центра Интернета вещей и связать центр Интернета вещей и службу подготовки устройств в кратком руководстве по службе подготовки устройств центра Интернета вещей.
    • После запуска службы подготовки устройств скопируйте значение области идентификаторов на странице Обзор. Это значение используется при настройке среды выполнения IoT Edge.

    Установка IoT Edge

    физическое или виртуальное Windows устройство, которое должно быть IoT Edgeным устройством.

    Создание сертификатов удостоверений устройств

    Сертификат удостоверения устройства — это конечный сертификат, который подключается через цепочку доверенных сертификатов к верхнему сертификату центра сертификации X.509. В сертификате удостоверения устройства должно быть задано общее имя (CN), равное ИДЕНТИФИКАТОРу устройства, которое должно иметь устройство в центре Интернета вещей.

    Сертификаты удостоверений устройств используются только для подготовки устройства IoT Edge и проверки подлинности устройства в Центре Интернета вещей Azure. Это не сертификаты для подписи, в отличие от сертификатов ЦС, которые устройство IoT Edge предоставляет модулям или конечным устройствам для проверки. Дополнительные сведения см. в разделе об использовании сертификатов Azure IoT Edge.

    После создания сертификата удостоверения устройства необходимо два файла: CER или PEM, который содержит открытую часть сертификата, и CER или PEM с закрытым ключом сертификата. Если вы планируете использовать групповую регистрацию в DPS, вам также потребуется открытая часть промежуточного или корневого сертификата ЦС в той же цепочке сертификатов доверия.

    Чтобы настроить автоматическую подготовку с помощью X.509, вам потребуются следующие файлы:

    • Сертификат удостоверения устройства и сертификат его закрытого ключа. Сертификат удостоверения устройства отправляется в DPS при создании отдельной регистрации. Закрытый ключ передается в среду выполнения IoT Edge.
    • Полный сертификат цепочки, который должен содержать, по крайней мере, удостоверение устройства и промежуточные сертификаты. Полный сертификат цепочки передается в среду выполнения IoT Edge.
    • Промежуточный или корневой сертификат ЦС из цепочки доверия сертификатов. Этот сертификат отправляется в службу DPS, если вы создаете групповую регистрацию.

    В настоящее время ограничение в libiothsm запрещает использование сертификатов, срок действия которых истекает с 1 января 2038 г.

    Использование тестовых сертификатов (необязательно)

    Если у вас нет доступного центра сертификации для создания новых сертификатов удостоверений и вы хотите испытать этот сценарий, репозиторий Azure IoT Edge в Git содержит сценарии, которые можно использовать для создания тестовых сертификатов. Эти сертификаты предназначены только для тестирования разработки и не должны использоваться в рабочей среде.

    Чтобы создать тестовые сертификаты, выполните действия, описанные в статье Создание демонстрационных сертификатов для тестирования функций устройств IoT Edge. Заполните два необходимых раздела, чтобы настроить скрипты создания сертификатов и создать корневой сертификат ЦС. Затем выполните действия по созданию сертификата удостоверения устройства. По завершении у вас должны быть следующие цепочки сертификатов и пары ключей:

    • <WRKDIR>\certs\iot-edge-device-identity-<name>-full-chain.cert.pem
    • <WRKDIR>\private\iot-edge-device-identity-<name>.key.pem

    Создание регистрации в Службе подготовки устройств к добавлению в Центр Интернета вещей

    Используйте созданные сертификаты и ключи для создания регистрации в DPS для одного или нескольких устройств IoT Edge.

    Если вы хотите подготавливать одно устройство IoT Edge, создайте отдельную регистрацию. Если необходимо подготовить несколько устройств, выполните действия по созданию регистрации группы DPS.

    При регистрации в Службе подготовки устройств к добавлению в Центр Интернета вещей есть возможность объявить Первоначальное состояние двойника устройства. В двойнике устройства можно задать теги для группировки устройств по любой требуемой для решения метрике, например по региону, среде, расположению или типу устройства. Эти теги используются для создания автоматических развертываний.

    Дополнительные сведения о регистрациях в службе подготовки устройств см. в разделе Управление регистрацией устройств.

    Создание индивидуальной регистрации DPS

    Отдельные регистрации принимают открытую часть сертификата удостоверения устройства и сопоставляют ее с сертификатом на устройстве.

    Действия, описанные в этой статье, относятся к портал Azure, но можно также создать отдельные регистрации с помощью Azure CLI. Дополнительные сведения см. в разделе az iot dps enrollment. В команде интерфейса командной строки с помощью флага edge-enabled укажите, что регистрация предназначена для устройства IoT Edge.

    В портал Azureперейдите к своему экземпляру службы подготовки устройств для центра Интернета вещей.

    В разделе Параметры выберите Управление регистрациями.

    Выберите Добавить отдельную регистрацию и выполните следующие действия для настройки регистрации.

    Механизм: выберите X.509.

    Файл первичного сертификата PEM или CER: отправьте открытый файл из сертификата удостоверения устройства. Если вы использовали сценарии для создания тестового сертификата, выберите следующий файл:

    Идентификатор устройства в Центре Интернета вещей: если необходимо, укажите идентификатор устройства. Идентификаторы устройств можно использовать, чтобы указать отдельное устройство для развертывания модуля. Если не указать идентификатор устройства, используется общее имя (CN) в сертификате X.509.

    Устройство IoT Edge: выберите значение True, чтобы указать, что это регистрация устройства IoT Edge.

    Выберите центры Интернета вещей, которым может быть назначено это устройство: выберите связанный центр Интернета вещей, к которому вы хотите подключить устройство. Можно выбрать несколько центров, и устройство будет назначено одному из них в соответствии с выбранной политикой распределения.

    Начальное состояние двойника устройства: при желании добавьте значение тега в двойник устройства. Теги можно использовать для указания групп устройств для автоматического развертывания. Пример.

    В разделе Управление регистрациями можно просмотреть идентификатор регистрации для только что созданной регистрации. Запишите его, так как его можно использовать при подготовке устройства.

    После создания регистрации для устройства среда выполнения IoT Edge может автоматически подготавливать устройство во время установки.

    Создание групповой регистрации в DPS

    Для групповых регистраций используется промежуточный или корневой сертификат ЦС из цепочки сертификатов доверия, используемой для создания отдельных сертификатов удостоверений устройств.

    Проверка корневого сертификата

    При создании группы регистрации у вас есть возможность использовать проверенный сертификат. Вы можете проверить сертификат с помощью DPS, доказав, что владеете корневым сертификатом. Дополнительные сведения см. в разделе Проверка владения для сертификатов ЦС X.509.

    В портал Azureперейдите к своему экземпляру службы подготовки устройств для центра Интернета вещей.

    Выберите Сертификаты в меню слева.

    Выберите Добавить, чтобы добавить новый сертификат.

    Введите понятное имя для сертификата, а затем перейдите к CER-или PEM-файлу, который представляет открытую часть сертификата X.509.

    Если вы используете демонстрационные сертификаты, отправьте сертификат <wrkdir>\certs\azure-iot-test-only.root.ca.cert.pem .

    Теперь сертификат должен быть указан на странице Сертификаты. Выберите его, чтобы открыть сведения о сертификате.

    Выберите Создать код проверки и скопируйте созданный код.

    Если вы предоставили свой собственный сертификат ЦС или используете демонстрационные сертификаты, вы можете воспользоваться средством проверки, предоставленным в репозитории IoT Edge, чтобы проверить подтверждение владения. Средство проверки использует сертификат ЦС для подписывания нового сертификата с предоставленным кодом проверки в качестве имени субъекта.

    На той же странице сведений о сертификате на портале Azure отправьте только что созданный сертификат проверки.

    Создание группы регистрации

    Дополнительные сведения о регистрациях в службе подготовки устройств см. в разделе Управление регистрацией устройств.

    Действия, описанные в этой статье, относятся к портал Azure, но вы также можете создавать групповые регистрации с помощью Azure CLI. Дополнительные сведения см. в разделе az iot dps enrollment-group. В команде интерфейса командной строки с помощью флага edge-enabled укажите, что регистрация предназначена для устройств IoT Edge. Для групповой регистрации все устройства должны быть устройствами IoT Edge — или вы не сможете зарегистрировать ни одно из них.

    В портал Azureперейдите к своему экземпляру службы подготовки устройств для центра Интернета вещей.

    В разделе Параметры выберите Управление регистрациями.

    Выберите Добавить группу регистрации и выполните следующие действия для настройки регистрации:

    Имя группы: укажите запоминающееся имя для этой группы регистрации.

    Тип аттестации: выберите Сертификат.

    Устройство IoT Edge: выберите True. Для групповой регистрации все устройства должны быть устройствами IoT Edge — или вы не сможете зарегистрировать ни одно из них.

    Тип сертификата. Выберите сертификат ЦС.

    Основной сертификат. Выберите свой сертификат из раскрывающегося списка.

    Выберите центры Интернета вещей, которым может быть назначено это устройство: выберите связанный центр Интернета вещей, к которому вы хотите подключить устройство. Можно выбрать несколько центров, и устройство будет назначено одному из них в соответствии с выбранной политикой распределения.

    Начальное состояние двойника устройства: при желании добавьте значение тега в двойник устройства. Теги можно использовать для указания групп устройств для автоматического развертывания. Пример.

    В разделе Управление регистрациями можно просмотреть идентификатор регистрации для только что созданной регистрации. Запишите его, так как его можно использовать при подготовке устройств.

    Теперь, когда для этих устройств существует регистрация, среда выполнения IoT Edge может автоматически подготавливать устройства во время установки.

    Установка Edge Интернета вещей

    в этом разделе вы подготовите Windowsную виртуальную машину или физическое устройство для IoT Edge. После этого устанавливается IoT Edge.

    Служба Azure IoT Edge использует среду выполнения контейнера, совместимую с OCI. Значок Кита, модуль на основе значок Кита, включается в сценарий установки, что означает отсутствие дополнительных действий по установке подсистемы.

    Чтобы установить среду выполнения IoT Edge, выполните следующие действия.

    Откройте сеанс PowerShell от имени администратора.

    Используйте сеанс PowerShell для AMD64, а не PowerShell (x86). Чтобы узнать, какой тип сеанса используется, выполните следующую команду:

    Выполните команду Deploy-IoTEdge, которая выполняет следующие задачи:

    • проверяет, что ваша Windowsная машина находится в поддерживаемой версии
    • Включение функции контейнеров
    • Скачивает модуль значок Кита и среду выполнения IoT Edge

    Перезапустите устройство, если отобразится соответствующий запрос.

    Когда вы устанавливаете IoT Edge на устройство, можно указать дополнительные параметры для изменения установки, том числе сделать следующее.

    Подробные сведения об этих дополнительных параметрах см. в статье Скрипты PowerShell для IoT Edge с контейнерами Windows.

    Предоставление облачного удостоверения устройству

    После установки среды выполнения на устройстве настройте на нем сведения, которые он использует для подключения к службе подготовки устройств и центру Интернета вещей.

    Подготовьте следующие сведения:

    • Значение области идентификаторов DPS. Вы можете узнать это значение на странице обзора в экземпляре DPS на портале Azure.
    • Файл цепочки сертификатов удостоверений устройств на устройстве.
    • Файл ключа удостоверений устройств на устройстве.

    Откройте окно PowerShell с правами администратора. Не забудьте использовать сеанс AMD64 PowerShell при установке IoT Edge, а не PowerShell (x86).

    Команда Initialize-IoTEdge настраивает среду выполнения IoT Edge на вашем компьютере. Команда по умолчанию выполняет подготовку вручную с контейнерами Windows, поэтому используйте флаг -DpsX509 для автоматической подготовки с использованием проверки подлинности с сертификатом X.509.

    Замените значения заполнителей для scope_id , identity cert chain path и identity key path соответствующими значениями из экземпляра DPS и путей к файлам на устройстве.

    Добавьте -RegistrationId paste_registration_id_here параметр, если вы хотите задать идентификатор устройства, отличный от имени CN сертификата удостоверения.

    В файле конфигурации сертификат и сведения о ключе хранятся в виде URI файлов. Однако команда Initialize-IoTEdge обрабатывает этот шаг форматирования, чтобы можно было указать абсолютный путь к сертификату и файлам ключей на устройстве.

    Проверка установки

    Если среда выполнения запущена успешно, можете перейти в Центр Интернета вещей и начать развертывание модулей IoT Edge на устройстве.

    Вы можете проверить, была ли использована отдельная регистрация, созданная в службе подготовки устройств. Перейдите к экземпляру службы подготовки устройств в портал Azure. Откройте сведения о регистрации для созданной индивидуальной регистрации. Обратите внимание, что регистрация имеет состояние назначено и указан идентификатор устройства.

    Чтобы убедиться, что IoT Edge установлена и запущена успешно, выполните следующие команды на устройстве.

    Проверьте состояние службы IoT Edge.

    Проверьте журналы службы.

    Просмотрите список запущенных модулей.

    Дальнейшие действия

    Процесс регистрации в службе подготовки устройств позволяет одновременно задать идентификатор устройства и теги двойникаа устройства при подготовке нового устройства. Эти значения можно использовать для указания отдельных устройств или групп устройств с помощью автоматического управления устройствами. См. дополнительные сведения о развертывании и мониторинге модулей IoT Edge с поддержкой масштабирования с помощью портала Azure или Azure CLI.

    Читайте также: