Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure IoT Einsatz verwendet TLS zum Verschlüsseln aller Kommunikationen. In diesem Artikel wird beschrieben, wie Zertifikate für externe Kommunikationen verwaltet werden, z. B. die Authentifizierung externer OPC UA-Server.
Informationen zum Verwalten von Zertifikaten für die interne Kommunikation, einschließlich des selbstsignierten Standardherausgebers und der Bereitstellung Ihres eigenen Ca-Ausstellers, finden Sie unter "Bring your own issuer".
Voraussetzungen
- Eine Instanz von Azure IoT Einsatz, die mit sicheren Einstellungen bereitgestellt wurde. Um Azure IoT Einsatz mit sicheren Einstellungen bereitzustellen, führen Sie die Schritte in Deploy Azure IoT Einsatz in einem Produktionscluster aus. Wenn Sie zuvor Azure IoT Einsatz mit Testeinstellungen bereitgestellt haben, müssen Sie zuerst enable secure settings.
Verwalten von Zertifikaten für externe Kommunikation
Azure IoT Einsatz verwendet Azure Key Vault als verwaltete Tresorlösung in der Cloud und verwendet die Azure Key Vault-Speichererweiterung für Kubernetes , um die geheimen Schlüssel aus der Cloud zu synchronisieren und sie als Kubernetes-Geheimnisse am Edge zu speichern.
Von Bedeutung
Obwohl Azure IoT Einsatz Zertifikate zum Sichern der externen Kommunikation verwendet, werden diese Zertifikate als geheime Schlüssel im Azure Key Vault gespeichert. Wenn Sie einem Azure Key Vault ein Zertifikat hinzufügen, müssen Sie es als geheime Ressource und nicht als Zertifikatressource hinzufügen.
Konfigurieren von Azure Key Vault-Berechtigungen
Um die Benutzeroberfläche für Vorgänge zum Erstellen von Geheimnissen im Schlüsseltresor zu nutzen, benötigen Benutzer Berechtigungen vom Typ Geheimnisbeauftragter für Schlüsseltresore auf Ressourcenebene in Azure.
Verwenden Sie in einer Test- oder Entwicklungsumgebung die folgenden Schritte, um Ihrem Benutzer die Rolle " Key Vault Secrets Officer " auf Ressourcengruppenebene zuzuweisen, in der die Azure IoT Einsatz-Instanz und die Azure Key Vault-Instanz bereitgestellt werden:
Um den Namen der Ressourcengruppe zu finden, wechseln Sie zur Web-Ui für Vorgänge , wechseln Sie zur Seite " Instanzen ", und suchen Sie Ihre Azure IoT Einsatz-Instanz. Der Ressourcengruppenname wird im Ressourcengruppenfeld angezeigt.
Wechseln Sie zum Azure-Portal , und wechseln Sie dann zu der Ressourcengruppe, in der Ihre Azure IoT Einsatz-Instanz und Azure Key Vault-Instanz bereitgestellt werden.
Tipp
Verwenden Sie das Suchfeld oben im Azure-Portal, um die Ressourcengruppe schnell zu finden, indem Sie den Namen eingeben.
Wählen Sie im linken Menü die Zugriffssteuerung (IAM) aus. Wählen Sie dann +Hinzufügen > Rollenzuweisung hinzufügen aus.
Wählen Sie auf der Registerkarte " Rolle " in der Liste der Rollen " Key Vault Secrets Officer " und dann "Weiter" aus.
Wählen Sie auf der Registerkarte " Mitglieder " die Option "Benutzer", "Gruppe" oder "Dienstprinzipal" aus, wählen Sie " Mitglieder auswählen", wählen Sie den Benutzer aus, dem Sie die Rolle " Key Vault Secrets Officer " zuweisen möchten, und wählen Sie dann "Weiter" aus.
Wählen Sie Überprüfen + Zuweisen, um die Rollenvergabe abzuschließen.
Befolgen Sie in einer Produktionsumgebung bewährte Methoden, um den Azure Key Vault zu schützen, den Sie mit Azure IoT Einsatz verwenden. Weitere Informationen finden Sie unter Bewährte Methoden für die Verwendung von Azure Key Vault.
Hinzufügen und Verwenden von Zertifikaten
Connectors verwenden die Zertifikatverwaltungsumgebung, um die Anwendungsauthentifizierung für externe Server zu konfigurieren. Beispielsweise verwendet der Connector für OPC UA Zertifikate in der Vertrauensliste, um die Serveridentität der OPC UA-Server zu authentifizieren, mit denen es eine Verbindung herstellt.
Wenn Sie Azure IoT Einsatz mit sicheren Einstellungen bereitstellen, können Sie mit dem Hinzufügen von Zertifikaten zu Azure Key Vault beginnen und sie mit dem Kubernetes-Cluster synchronisieren, der in den Listenspeichern für Vertrauensstellungslisten und Ausstellerlisten für externe Verbindungen verwendet werden soll. Jeder Connector verfügt über eine eigene Vertrauensliste, um die Zertifikate der externen Server zu speichern, denen er vertraut und eine Verbindung herstellt.
Sie können Zertifikate für die externe Kommunikation entweder über die Betriebsoberfläche im Web oder über die Azure CLI verwalten:
Führen Sie die folgenden Schritte aus, um Zertifikate für die externe Kommunikation zu verwalten:
Wechseln Sie zur Azure IoT Einsatz-Umgebung, und wählen Sie Ihre Website und Azure IoT Einsatz-Instanz aus.
Wählen Sie im linken Navigationsbereich Geräte aus.
Wählen Sie unter "Zertifikate und geheime Schlüssel verwalten" aus.
Wählen Sie auf der Seite "Zertifikate und Geheime Schlüssel" die Option " Neues Zertifikat hinzufügen" aus.
Sie können ein neues Zertifikat auf zwei Arten hinzufügen:
Zertifikat hochladen: Lädt ein Zertifikat hoch, um es als geheimer Schlüssel zum Azure Key Vault hinzuzufügen und automatisch mit dem Cluster mithilfe der Erweiterung für den geheimen Speicher zu synchronisieren.
- Zeigen Sie die Zertifikatdetails nach dem Hochladen an, um sicherzustellen, dass Sie über das richtige Zertifikat verfügen, bevor Sie Azure Key Vault hinzufügen und zum Cluster synchronisieren.
- Verwenden Sie einen intuitiven Namen, damit Sie erkennen können, welches Geheimnis Ihr Geheimnis in Zukunft darstellt.
- Wählen Sie den entsprechenden Zertifikatspeicher für den Connector aus, der das Zertifikat verwendet. Beispiel: OPC UA-Vertrauensliste.
Hinweis
Durch das einfache Hochladen des Zertifikats wird der geheime Schlüssel nicht zu Azure Key Vault hinzugefügt und mit dem Cluster synchronisiert, sie müssen "Anwenden" auswählen, damit die Änderungen angewendet werden.
Aus Azure Key Vault hinzufügen: Fügen Sie einen vorhandenen geheimen Schlüssel aus dem Azure Key Vault hinzu, der mit dem Cluster synchronisiert werden soll.
Hinweis
Stellen Sie sicher, dass Sie den geheimen Schlüssel auswählen, der das Zertifikat enthält, das Sie mit dem Cluster synchronisieren möchten. Wenn Sie einen geheimen Schlüssel auswählen, der nicht das richtige Zertifikat ist, schlägt die Verbindung fehl.
Mithilfe der Listenansicht können Sie die synchronisierten Zertifikate verwalten. Sie können alle synchronisierten Zertifikate anzeigen und mit welchem Zertifikatspeicher sie synchronisiert wird:
Sie können auch synchronisierte Zertifikate löschen. Wenn Sie ein synchronisiertes Zertifikat löschen, löscht es nur das synchronisierte Zertifikat aus dem Kubernetes-Cluster und löscht nicht den enthaltenen geheimen Verweis aus Azure Key Vault. Sie müssen den geheimen Zertifikatschlüssel manuell aus dem Schlüsseltresor löschen.
Hinzufügen von Zertifikaten als geheime Schlüssel zu Azure Key Vault
Wenn Sie die Betriebserfahrung verwenden, um vorhandene Zertifikate auszuwählen, die zuvor azure Key Vault hinzugefügt wurden, stellen Sie sicher, dass die geheimen Schlüssel in einem Format und einer Codierung vorliegen, die von Azure IoT Einsatz unterstützt wird.
Um einen geheimen PEM-Zertifikatschlüssel zu Azure Key Vault hinzuzufügen, können Sie einen Befehl wie das folgende Beispiel verwenden:
az keyvault secret set \
--vault-name <your-key-vault-name> \
--name my-cert-pem \
--file ./my-cert.pem \
--encoding hex \
--content-type 'application/x-pem-file'
Um einen binären DER-Zertifikatschlüssel zu Azure Key Vault hinzuzufügen, können Sie einen Befehl wie das folgende Beispiel verwenden:
az keyvault secret set \
--vault-name <your-key-vault-name> \
--name my-cert-der \
--file ./my-cert.der \
--encoding hex \
--content-type 'application/pkix-cert'