Creación y aprovisionamiento de dispositivos IoT Edge a escala en Linux mediante certificados X.509

2025-06-10

Se aplica a: IoT Edge 1.5

Importante

IoT Edge 1.5 LTS es la versión compatible. IoT Edge 1.4 LTS finaliza su ciclo de vida el 12 de noviembre de 2024. Si está usando una versión anterior, consulte Actualización de IoT Edge.

En este artículo se proporcionan instrucciones paso a paso para el aprovisionamiento automático de uno o varios dispositivos IoT Edge linux con certificados X.509. Aprovisione automáticamente dispositivos de Azure IoT Edge con el servicio de aprovisionamiento de dispositivos de Azure IoT Hub (DPS). Si no está familiarizado con el aprovisionamiento automático, revise la visión general del aprovisionamiento antes de continuar.

Estos son los pasos para aprovisionar dispositivos IoT Edge mediante certificados X.509:

Generar certificados y claves.
Cree una inscripción individual para un único dispositivo o una inscripción de grupo para un conjunto de dispositivos.
Instalar el entorno de ejecución de IoT Edge y registrar el dispositivo con IoT Hub.

Los certificados X.509 permiten escalar la producción y simplificar el aprovisionamiento de dispositivos. Normalmente, los certificados X.509 están organizados en una cadena de certificados de confianza. La cadena comienza con un certificado raíz autofirmado o de confianza, y cada certificado de la cadena firma el siguiente certificado inferior. Este patrón crea una cadena de confianza delegada desde el certificado raíz a través de cada certificado intermedio al certificado final de dispositivo de bajada instalado en un dispositivo.

Sugerencia

Si el dispositivo tiene un módulo de seguridad de hardware (HSM) como TPM 2.0, almacene las claves X.509 de forma segura en el HSM. Aprenda a implementar el aprovisionamiento sin intervención táctil a escala en este plano técnico con el ejemplo iotedge-tpm2cloud .

Requisitos previos

Recursos en la nube

Un centro de IoT activo.
Una instancia de IoT Hub Device Provisioning Service en Azure que esté vinculada a IoT Hub.
- Si no tiene una instancia de Device Provisioning Service, puede seguir las instrucciones de las secciones Creación de una instancia de IoT Hub Device Provisioning Service y Vínculo al centro de IoT y a Device Provisioning Service del inicio rápido de IoT Hub Device Provisioning Service.
- Cuando tenga la instancia del servicio de aprovisionamiento de dispositivo en ejecución, copie el valor de Ámbito de id. de la página de información general. Use este valor cuando configure el entorno de ejecución de IoT Edge.

Requisitos del dispositivo

Use un dispositivo Linux físico o virtual como dispositivo IoT Edge.

Generación de los certificados de identidad del dispositivo

El certificado de identidad del dispositivo es un certificado de dispositivo de nivel inferior que se conecta mediante una cadena de certificados de confianza con el certificado de la entidad de certificación X.509 (CA) superior. El nombre común (CN) del certificado de identidad del dispositivo debe estar establecido en el id. de dispositivo que quiere que tenga el dispositivo en el centro de IoT.

Los certificados de identidad del dispositivo solo se usan para aprovisionar al dispositivo IoT Edge y autenticarlo con Azure IoT Hub. Estos certificados no son certificados de firma. Los certificados de autoridad de certificación que el dispositivo IoT Edge presenta a los módulos o dispositivos aguas abajo se utilizan para la verificación. Para obtener más información, consulte los detalles de uso de los certificados de Azure IoT Edge.

Después de crear el certificado de identidad del dispositivo, tiene dos archivos: un .cer archivo o .pem con la parte pública del certificado y un .cer archivo o .pem con la clave privada. Si usa la inscripción de grupos en DPS, también necesita la parte pública de un certificado de entidad de certificación raíz o intermedio en la misma cadena de certificados de confianza.

Necesita estos archivos para configurar el aprovisionamiento automático con X.509:

El certificado de identidad del dispositivo y su certificado de clave privada. El certificado de identidad de dispositivo se carga en DPS si crea una inscripción individual. La clave privada se pasa al entorno de ejecución de Azure IoT Edge.
Un certificado de cadena completa con al menos la identidad del dispositivo y los certificados intermedios. La cadena de certificados completa se pasa al entorno de ejecución de Azure IoT Edge.
Un certificado intermedio o raíz de entidad de certificación de la cadena de certificados de confianza. Este certificado se carga en DPS si crea una inscripción de grupo.

Uso de certificados de prueba (opcional)

Si no tiene una entidad de certificación para crear nuevos certificados de identidad y desea probar este escenario, use los scripts del repositorio git de Azure IoT Edge para generar certificados de prueba. Use estos certificados solo para pruebas de desarrollo. No los use en producción.

Para crear certificados de prueba, siga los pasos descritos en Creación de certificados de demostración para probar las características de dispositivo IoT Edge. Complete las dos secciones necesarias para configurar los scripts de generación de certificados y crear un certificado de entidad de certificación raíz. A continuación, siga los pasos para crear un certificado de identidad del dispositivo. Cuando termine, tendrá el siguiente par de claves y cadena de certificados:

<WRKDIR>/certs/iot-edge-device-identity-<name>-full-chain.cert.pem
<WRKDIR>/private/iot-edge-device-identity-<name>.key.pem

Necesita ambos certificados en el dispositivo IoT Edge. Si usa la inscripción individual en DPS, cargue el archivo .cert.pem. Si usa la inscripción de grupos en DPS, cargue también un certificado de ENTIDAD de certificación raíz o intermedio en la misma cadena de certificados de confianza. Si utiliza certificados de demostración, use el certificado <WRKDIR>/certs/azure-iot-test-only.root.ca.cert.pem para el registro de grupos.

Crear una inscripción de DPS

Use las claves y los certificados generados para crear una inscripción en DPS para uno o varios dispositivos IoT Edge.

Si desea aprovisionar un único dispositivo IoT Edge, cree una inscripción individual. Si necesita aprovisionar varios dispositivos, siga los pasos para crear una inscripción de grupo de DPS.

Al crear una inscripción en DPS, tiene la oportunidad de declarar un Estado inicial de dispositivo gemelo. En el dispositivo gemelo, puede establecer etiquetas para agrupar dispositivos por cualquier métrica que necesite en su solución, como la región, el entorno, la ubicación o el tipo de dispositivo. Estas etiquetas se usan para crear implementaciones automáticas.

Para más información sobre las inscripciones en Device Provisioning Service, vea Administración de inscripciones de dispositivos.

Inscripción individual
Inscripción de grupo

Creación de una inscripción individual de DPS

Las inscripciones individuales usan la parte pública del certificado de identidad de un dispositivo y la asocian con el certificado del dispositivo.

Sugerencia

Los pasos de este artículo son para Azure Portal, pero también puede crear inscripciones individuales mediante la CLI de Azure. Para más información, consulte az iot dps enrollment. Como parte del comando de la CLI, use la marca edge-enabled para especificar que la inscripción es para un dispositivo de IoT Edge.

En Azure Portal, vaya a la instancia de IoT Hub Device Provisioning Service.
En Configuración, seleccione Administrar inscripciones.
Seleccione Add individual enrollment (Agregar inscripción individual) y, a continuación, complete los pasos siguientes para configurar la inscripción:
- Mecanismo: Seleccione X.509.
- Certificado principal .pem o .cer archivo: cargue el archivo público desde el certificado de identidad del dispositivo. Si usó los scripts para generar un certificado de prueba, elija el siguiente archivo:
  
  <WRKDIR>\certs\iot-edge-device-identity-<name>.cert.pem
- Id. de dispositivo IoT Hub: Si lo desea, proporcione un identificador para el dispositivo. Puede usar identificadores de dispositivo para dirigirse a un dispositivo individual para la implementación del módulo. Si no especifica un id. de dispositivo, se usa el nombre común (CN) en el certificado X. 509.
- Dispositivo IoT Edge: seleccione True para declarar que la inscripción es para un dispositivo IoT Edge.
- Seleccione los centros de IoT a los que se puede asignar este dispositivo: elija la instancia de IoT Hub vinculada a la que quiere conectar el dispositivo. Puede elegir varios centros y el dispositivo se asignará a uno de ellos según la directiva de asignación seleccionada.
- Estado inicial de dispositivo gemelo: agregue un valor de etiqueta para que se agregue al dispositivo gemelo, si lo desea. Puede usar etiquetas para los grupos de dispositivos de destino de la implementación automática. Por ejemplo:
```
{
    "tags": {
       "environment": "test"
    },
    "properties": {
       "desired": {}
    }
}
```
Seleccione Guardar.

En Administrar inscripciones, puede ver el Id. de registro de la inscripción que acaba de crear. Anótelo, ya que puede usarlo para aprovisionar el dispositivo.

Ahora que existe una inscripción para este dispositivo, el entorno de ejecución de Azure IoT Edge puede aprovisionar automáticamente el dispositivo durante la instalación.

Creación de una inscripción de grupo de DPS

Las inscripciones de grupo usan un certificado de CA raíz o intermedio de la cadena de certificados de confianza que se usó para generar los certificados de identidad del dispositivo individuales.

Comprobación del certificado raíz

Al crear un grupo de inscripción, tiene la opción de usar un certificado comprobado. Puede comprobar un certificado con DPS al probar que tiene la propiedad del certificado raíz. Para obtener más información, consulte Realización de una prueba de posesión de certificados de entidad de certificación X.509.

En Azure Portal, vaya a la instancia de IoT Hub Device Provisioning Service.
Seleccione Certificados en el menú de la izquierda.
Seleccione Agregar para agregar un certificado nuevo.
Escriba un nombre descriptivo para el certificado y después busque el archivo .cer o .pem que representa la parte pública del certificado X.509.

Si usa los certificados de demostración, cargue el certificado <wrkdir>\certs\azure-iot-test-only.root.ca.cert.pem.
Seleccione Guardar.
Ahora, el certificado debe aparecer en la página Certificados. Selecciónelo para abrir los detalles del certificado.
Seleccione Generar código de comprobación y, a continuación, copie el código generado.
Tanto si proporcionó su propio certificado de CA como si usa los certificados de demostración, puede usar la herramienta de comprobación incluida en el repositorio de IoT Edge para realizar la prueba de posesión. La herramienta de comprobación usa el certificado de CA para firmar un nuevo certificado que tiene el código de comprobación especificado como nombre de asunto.
```
New-CACertsVerificationCert "<verification code>"
```
En la misma página de detalles del certificado en Azure Portal, cargue el certificado de comprobación recién generado.
Seleccione Comprobar.

Creación del grupo de inscripción

Para más información sobre las inscripciones en Device Provisioning Service, vea Administración de inscripciones de dispositivos.

Sugerencia

Los pasos de este artículo son para Azure Portal, pero también puede crear inscripciones de grupo mediante la CLI de Azure. Para más información, consulte az iot dps enrollment-group. Como parte del comando de la CLI, use la marca edge-enabled para especificar que la inscripción es para dispositivos de IoT Edge. En el caso de una inscripción de grupo, todos los dispositivos deben ser dispositivos IoT Edge, o bien ninguno puede serlo.

En Azure Portal, vaya a la instancia de IoT Hub Device Provisioning Service.
En Configuración, seleccione Administrar inscripciones.
Seleccione Add enrollment group (Agregar grupo de inscripción) y, a continuación, complete los pasos siguientes para configurar la inscripción:
- Nombre de grupo: proporcione un nombre fácil de recordar para esta inscripción de grupo.
- Tipo de atestación: Seleccione Certificado.
- Dispositivo IoT Edge: Seleccione True. En el caso de una inscripción de grupo, todos los dispositivos deben ser dispositivos IoT Edge, o bien ninguno puede serlo.
- Tipo de certificado: seleccione Certificado de CA.
- Certificado principal: elija el certificado en la lista desplegable.
- Seleccione los centros de IoT a los que se puede asignar este dispositivo: elija la instancia de IoT Hub vinculada a la que quiere conectar el dispositivo. Puede elegir varios centros y el dispositivo se asignará a uno de ellos según la directiva de asignación seleccionada.
- Estado inicial de dispositivo gemelo: agregue un valor de etiqueta para que se agregue al dispositivo gemelo, si lo desea. Puede usar etiquetas para los grupos de dispositivos de destino de la implementación automática. Por ejemplo:
```
{
    "tags": {
       "environment": "test"
    },
    "properties": {
       "desired": {}
    }
}
```
Seleccione Guardar.

En Administrar inscripciones, puede ver el Id. de registro de la inscripción que acaba de crear. Anótelo, porque puede usarlo para aprovisionar los dispositivos.

Ahora que existe una inscripción para estos dispositivos, el entorno de ejecución de Azure IoT Edge puede aprovisionar los dispositivos durante la instalación de forma automática.

Instalación de IoT Edge

En esta sección, preparará su máquina virtual Linux o dispositivo físico para IoT Edge. A continuación, instalará IoT Edge.

Ejecute los comandos siguientes para agregar el repositorio de paquetes y luego agregue la clave de firma de paquetes de Microsoft a la lista de claves de confianza.

Importante

El 30 de junio de 2022, Raspberry Pi OS Stretch se retiró de la lista de soporte técnico del sistema operativo de nivel 1. Para evitar posibles vulnerabilidades de seguridad, actualice el sistema operativo host a Bullseye.

Para los sistemas operativos de plataforma compatibles con nivel 2, los paquetes de instalación están disponibles en versiones de Azure IoT Edge. Consulte los pasos de instalación en Instalación sin conexión o instalación de versión específica (opcional).

La instalación se puede realizar con unos pocos comandos. Abra un terminal y ejecute los comandos siguientes:

24.04:

wget https://packages.microsoft.com/config/ubuntu/24.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

22.04:

wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

20.04:

wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

La instalación con APT puede realizarse con unos pocos comandos. Abra un terminal y ejecute los comandos siguientes:

12 - Bookworm (arm32v7):

curl https://packages.microsoft.com/config/debian/12/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
sudo apt install ./packages-microsoft-prod.deb

11 - Bullseye (arm32v7):

curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
sudo apt install ./packages-microsoft-prod.deb

Sugerencia

Si ha dado una contraseña a la cuenta "raíz" durante la instalación del sistema operativo, no necesita "sudo" y puede ejecutar el comando anterior empezando por "apt".

La instalación se puede realizar con unos pocos comandos. Abra un terminal y ejecute los comandos siguientes:

9.x (amd64):

  wget https://packages.microsoft.com/config/rhel/9.0/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
  sudo yum localinstall packages-microsoft-prod.rpm
  rm packages-microsoft-prod.rpm

8.x (amd64):

  wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
  sudo yum localinstall packages-microsoft-prod.rpm
  rm packages-microsoft-prod.rpm

Para obtener más información sobre las versiones del sistema operativo, consulte Plataformas compatibles con Azure IoT Edge.

Nota:

Los paquetes de software de Azure IoT Edge están sujetos a los términos de licencia que se encuentran cada paquete (usr/share/doc/{package-name} o el directorio LICENSE). Lea los términos de licencia antes de usar un paquete. La instalación y el uso de un paquete constituyen la aceptación de estos términos. Si no acepta los términos de licencia, no utilice ese paquete.

Instalación de un motor del contenedor

Azure IoT Edge utiliza un runtime de contenedor compatible con OCI. En los escenarios de producción, se recomienda utilizar el motor de Moby. El motor de Moby es el motor de contenedor admitido oficialmente con IoT Edge. Las imágenes de contenedor de Docker CE/EE son totalmente compatibles con el entorno de ejecución de Moby. Si usa acoples de Ubuntu Core, el acople de Docker se atenderá mediante Canonical y se admitirá en escenarios de producción.

Instale el motor de Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Instale el motor de Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Instale el motor de Moby y la CLI.

sudo yum install moby-engine moby-cli

Sugerencia

Si se producen errores al instalar el motor del contenedor Moby, compruebe la compatibilidad con Moby del kernel de Linux. Algunos fabricantes de dispositivos incrustados distribuyen imágenes de dispositivos que contienen kernels de Linux personalizados sin las características necesarias para la compatibilidad del motor del contenedor. Ejecute el siguiente comando, que usa el script check-config suministrado por Moby, para comprobar la configuración del kernel:

curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

En la salida del script, compruebe que todos los elementos que figuran en Generally Necessary y Network Drivers estén habilitados. Si faltan características, puede habilitarlas si vuelve a generar el kernel a partir del origen y selecciona los módulos asociados para incluirlos en el archivo .config de kernel adecuado. Igualmente, si usa un generador de configuración de kernel como defconfig o menuconfig, busque y habilite las características correspondientes y vuelva a generar el kernel como corresponda. Después de implementar el kernel recién modificado, vuelva a ejecutar el script check-config para comprobar que todas las características necesarias se habilitaron correctamente.

IoT Edge tiene dependencias en Docker e IoT Identity Service. Instale todas las dependencias escribiendo los siguientes comandos:

sudo snap install docker
sudo snap install azure-iot-identity

El acoplamiento de Docker es compatible con Canonical y se admite en escenarios de producción.

De manera predeterminada, el motor del contenedor no establece límites de tamaño de registro de contenedor. Con el tiempo, esta situación puede provocar que el dispositivo se rellene con registros y se agote el espacio en disco. Sin embargo, puede configurar el registro para que se muestre localmente, aunque es opcional. Para más información sobre la configuración de registro, consulte Preparación para implementar la solución de IoT Edge en producción.

En los pasos siguientes se muestra cómo configurar el contenedor para que use el localcontrolador de registro como mecanismo de registro.

Ubuntu / Debian / RHEL
Ajuste de Ubuntu Core

Crear o editar el archivo de configuración de daemons de Docker existente
```
sudo nano /etc/docker/daemon.json
```
Establezca el controlador de registro predeterminado en el controlador de registro local, tal como se muestra en el ejemplo.
```
   {
      "log-driver": "local"
   }
```
Reinicie el motor de contenedores para que se apliquen los cambios.
```
sudo systemctl restart docker
```

Instalación del entorno de ejecución de IoT Edge

El servicio IoT Edge proporciona y mantiene los estándares de seguridad en el dispositivo IoT Edge. El servicio se inicia en cada arranque e inicia el resto del entorno de ejecución de IoT Edge para arrancar el dispositivo.

Nota:

A partir de la versión 1.2, el servicio de identidad de Azure IoT controla el aprovisionamiento y la administración de identidades para IoT Edge y para otros componentes de dispositivo que necesitan comunicarse con IoT Hub.

Los pasos de esta sección representan el proceso habitual para instalar la versión más reciente de IoT Edge en un dispositivo que tenga conexión a Internet. Si necesita instalar una versión específica, como una versión preliminar, o debe instalarse mientras está sin conexión, siga los pasos de instalación de la versión sin conexión o específica más adelante en este artículo.

Sugerencia

Si ya tiene un dispositivo IoT Edge que ejecuta una versión anterior y quiere actualizar a la versión más reciente, siga los pasos descritos en Actualización de IoT Edge. Las versiones más recientes son suficientemente diferentes de las versiones anteriores de IoT Edge para que sean necesarios pasos específicos para la actualización.

Instale la versión más reciente de IoT Edge y el paquete de servicio de identidad de IoT (si aún no está actualizado):

22.04:

sudo apt-get update; \
   sudo apt-get install aziot-edge

20.04:

sudo apt-get update; \
   sudo apt-get install aziot-edge

Instale la versión más reciente de IoT Edge y el paquete de servicio de identidad de IoT (si aún no está actualizado):

sudo apt-get update; \
  sudo apt-get install aziot-edge

Instale la versión más reciente de IoT Edge y el paquete de servicio de identidad de IoT (si aún no está actualizado):

sudo yum install aziot-edge

Instale IoT Edge desde el almacén de ajuste:

sudo snap install azure-iot-edge

Conectar ajuste

De manera predeterminada, los ajustes están libres de dependencias, no son de confianza y están estrictamente confinados. Por lo tanto, los ajustes deben estar conectados a otros ajustes y recursos del sistema después de la instalación. Use los siguientes comandos para conectar los ajustes de IoT Identity Service e IoT Edge entre sí y a los recursos del sistema. Para empezar, los ajustes deben conectarse manualmente. En el caso de las implementaciones de producción, se pueden configurar para conectarse automáticamente para reducir la carga de trabajo de aprovisionamiento.

#------------------------
#  IoT Identity Service
#------------------------

# Connect the Identity Service snap to the logging system
# and grant permission to query system info

sudo snap connect azure-iot-identity:log-observe
sudo snap connect azure-iot-identity:mount-observe
sudo snap connect azure-iot-identity:system-observe
sudo snap connect azure-iot-identity:hostname-control

# If using a TPM, enable TPM access

sudo snap connect azure-iot-identity:tpm

#------------
#  IoT Edge
#------------

# Connect to your /home directory to enable writing support bundles

sudo snap connect azure-iot-edge:home

# Connect to logging and grant permission to query system info

sudo snap connect azure-iot-edge:log-observe
sudo snap connect azure-iot-edge:mount-observe
sudo snap connect azure-iot-edge:system-observe
sudo snap connect azure-iot-edge:hostname-control
# Allow IoT Edge to connect to the /var/run/iotedge folder and use sockets

sudo snap connect azure-iot-edge:run-iotedge

# Connect IoT Edge to Docker

sudo snap connect azure-iot-edge:docker docker:docker-daemon

Aprovisionamiento del dispositivo con su identidad de nube

Después de instalar el entorno de ejecución en el dispositivo, configure el dispositivo con la información que usa para conectarse al servicio de aprovisionamiento de dispositivos e IoT Hub.

Asegúrese de que tiene la siguiente información:

El valor de Ámbito de id. del DPS. Obtenga este valor en la página de información general de la instancia de DPS en Azure Portal.
El archivo de cadena de certificados de identidad del dispositivo en el dispositivo.
El archivo de clave de identidad del dispositivo en el dispositivo.

Cree un archivo de configuración para el dispositivo en función del archivo de plantilla que se incluye con la instalación de IoT Edge.

Ubuntu / Debian / RHEL
Ajuste de Ubuntu Core

sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

Abra el archivo de configuración en el dispositivo IoT Edge.

sudo nano /etc/aziot/config.toml

Busque la sección Provisioning (Aprovisionamiento) del archivo. Quite la marca de comentario de las líneas para el aprovisionamiento de DPS con certificado X.509 y asegúrese de que todas las demás líneas de aprovisionamiento estén comentadas.

# DPS provisioning with X.509 certificate
[provisioning]
source = "dps"
global_endpoint = "https://global.azure-devices-provisioning.net"
id_scope = "SCOPE_ID_HERE"

# Uncomment to send a custom payload during DPS registration
# payload = { uri = "PATH_TO_JSON_FILE" }

[provisioning.attestation]
method = "x509"
registration_id = "REGISTRATION_ID_HERE"

identity_cert = "DEVICE_IDENTITY_CERTIFICATE_HERE" # For example, "file:///var/aziot/device-id.pem"
identity_pk = "DEVICE_IDENTITY_PRIVATE_KEY_HERE"   # For example, "file:///var/aziot/device-id.key"

# auto_reprovisioning_mode = Dynamic

Si usa una instalación instantánea de IoT Edge, el archivo de plantilla se encuentra en /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template. Copie el archivo de plantilla en el directorio de inicio y asígnelo el nombre config.toml. Por ejemplo:

cp /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template ~/config.toml

Abra el archivo de configuración en el directorio principal en el dispositivo IoT Edge.

nano ~/config.toml

Busque la sección Provisioning (Aprovisionamiento) del archivo. Quite las marcas de comentario de las líneas de aprovisionamiento de DPS con el certificado X.509 y asegúrese de que cualquier otra línea de aprovisionamiento esté comentada. Use la ruta de acceso al directorio compartido al que se puede acceder tanto azure-iot-edge como azure-iot-identity snaps para los archivos de certificado. Por ejemplo, /var/snap/azure-iot-identity/current/shared/.

# DPS provisioning with X.509 certificate
[provisioning]
source = "dps"
global_endpoint = "https://global.azure-devices-provisioning.net"
id_scope = "SCOPE_ID_HERE"

# Uncomment to send a custom payload during DPS registration
# payload = { uri = "PATH_TO_JSON_FILE" }

[provisioning.attestation]
method = "x509"
registration_id = "REGISTRATION_ID_HERE"

identity_cert = "DEVICE_IDENTITY_CERTIFICATE_HERE" # For example, "file:///var/snap/azure-iot-identity/current/shared/device-id.pem"
identity_pk = "DEVICE_IDENTITY_PRIVATE_KEY_HERE"   # For example, "file:///var/snap/azure-iot-identity/current/shared/device-id.key"


# auto_reprovisioning_mode = Dynamic

Actualice el valor de id_scope con el ID de ámbito que copió de la instancia de DPS.
Escriba un registration_id para el dispositivo, que es el identificador que tiene el dispositivo en IoT Hub. El identificador de registro debe coincidir con el nombre común (CN) del certificado de identidad.
Actualice los valores de identity_cert y identity_pk con la información del certificado y el dispositivo.

Puede proporcionar el valor del certificado de identidad como un URI de archivo, o bien se puede emitir dinámicamente mediante EST o una entidad de certificación local. Quite la marca de comentario solo una línea, en función del formato que use.

Puede proporcionar el valor de clave privada de identidad como un URI de archivo o un URI PKCS#11. Quite la marca de comentario solo una línea, en función del formato que use.

Si usa algún URI PKCS#11, busque la sección PKCS#11 en el archivo de configuración y escriba la información de configuración de PKCS#11.

Para más información sobre los certificados, consulte Administración de certificados de IoT Edge.

Para obtener más información sobre las opciones de configuración de aprovisionamiento, consulte Configuración del dispositivo IoT Edge.
Opcionalmente, busque la sección del modo de reaprovisionamiento automático del archivo. Use el parámetro auto_reprovisioning_mode para configurar el comportamiento de reaprovisionamiento del dispositivo. Dynamic: Vuelva a aprovisionar cuando el dispositivo detecte que se puede haber movido de un centro de IoT a otro. Este es el valor predeterminado. AlwaysOnStartup: volver a aprovisionar cuando se reinicia el dispositivo o un bloqueo hace que los daemons se reinicien. OnErrorOnly: el reaprovisionamiento del dispositivo nunca se desencadena automáticamente. Cada modo tiene una reserva de reaprovisionamiento de dispositivo implícita si el dispositivo no se puede conectar a IoT Hub durante el aprovisionamiento de identidad debido a errores de conectividad. Para más información, consulte Conceptos sobre el reaprovisionamiento de dispositivos de IoT Hub.
Opcionalmente, quite el comentario del parámetro payload para especificar la ruta de acceso a un archivo JSON local. El contenido del archivo se envía a DPS como datos adicionales cuando el dispositivo se registra. Esto es útil para la asignación personalizada. Por ejemplo, si desea asignar los dispositivos en función de un identificador de modelo de IoT Plug and Play sin intervención humana.
Guarde y cierre el archivo.

Aplique los cambios de configuración realizados en IoT Edge.

Ubuntu / Debian / RHEL
Ajuste de Ubuntu Core

sudo iotedge config apply

sudo snap set azure-iot-edge raw-config="$(cat ~/config.toml)"

Comprobación de instalación correcta

Si el entorno de ejecución se inicia correctamente, vaya a IoT Hub e inicie la implementación de módulos de IoT Edge en el dispositivo.

Inscripción individual
Inscripción de grupo

Compruebe que se usa la inscripción individual que creó en el servicio de aprovisionamiento de dispositivos. Vaya a su instancia del servicio de aprovisionamiento de dispositivos en el portal de Azure. Abra los detalles de la inscripción para la inscripción individual que ha creado. El estado de la inscripción está asignado y se muestra el id. de dispositivo.

Ejecute estos comandos en el dispositivo para comprobar que IoT Edge está instalado y en ejecución.

Compruebe el estado del servicio IoT Edge.

sudo iotedge system status

Vea los registros de servicio.

sudo iotedge system logs

Enumere los módulos en ejecución.

sudo iotedge list

Pasos siguientes

El proceso de inscripción del servicio de aprovisionamiento de dispositivos le permite establecer el identificador de dispositivo y las etiquetas de dispositivo gemelo al aprovisionar un nuevo dispositivo. Use estos valores para dirigirse a dispositivos individuales o grupos de dispositivos con la administración automática de dispositivos. Aprenda a implementar y supervisar módulos de IoT Edge a escala mediante Azure Portal o mediante la CLI de Azure.

Compartir a través de

Creación y aprovisionamiento de dispositivos IoT Edge a escala en Linux mediante certificados X.509

Requisitos previos

Recursos en la nube

Requisitos del dispositivo

Generación de los certificados de identidad del dispositivo

Uso de certificados de prueba (opcional)

Crear una inscripción de DPS

Creación de una inscripción individual de DPS

Instalación de IoT Edge

Instalación de un motor del contenedor

Instalación del entorno de ejecución de IoT Edge

Aprovisionamiento del dispositivo con su identidad de nube

Comprobación de instalación correcta

Pasos siguientes

Comentarios

Recursos adicionales