X.509 証明書を使用して、Linux 上で IoT Edge デバイスを大規模に作成およびプロビジョニングする

DPS 個別登録を作成する

個別登録では、デバイスの ID 証明書の公開部分が渡され、デバイス上の証明書と照合されます。

1. Azure portal で、IoT Hub Device Provisioning Service のインスタンスに移動します。

2. [設定] の下の [登録の管理] を選択します。

3. [Add individual enrollment]\(個別登録の追加\) を選択し、登録を構成する次の手順を完了します。

   • メカニズム: [X.509] を選択します。

   • [プライマリ証明書の .pem ファイルまたは .cer ファイル]: デバイス ID 証明書からパブリック ファイルをアップロードします。 スクリプトを使用してテスト証明書を生成した場合は、次のファイルを選択します。

     <WRKDIR>\certs\iot-edge-device-identity-<name>.cert.pem

   • [IoT Hub のデバイス ID]: 必要に応じて、デバイス ID を指定します。 デバイス ID を使用して、個々のデバイスをモジュール展開のターゲットにすることができます。 デバイス ID を指定しない場合は、X.509 証明書内の共通名 (CN) が使用されます。

   • [IoT Edge デバイス]: [True] を選択して、その登録が IoT Edge デバイス用のものであることを宣言します。

   • [このデバイスを割り当てることができる IoT ハブを選択する]: デバイスの接続先になるリンクされた IoT ハブを選択します。 複数のハブを選択でき、デバイスは、選択した割り当てポリシーに従ってそれらのハブの 1 つに割り当てられます。

   • [デバイス ツインの初期状態]: 必要に応じて、デバイス ツインに追加するタグ値を追加します。 タグを使用して、デバイス グループを自動展開のターゲットにすることができます。 次に例を示します。

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. [保存] を選択します。

[登録を管理します] で、作成した登録の登録 ID を確認できます。 デバイスをプロビジョニングするときに使用できるので、メモします。

これで、このデバイスの登録が存在しているので、IoT Edge ランタイムによってインストール時にデバイスを自動的にプロビジョニングできます。

DPS グループ登録を作成する

グループ登録では、個々のデバイス ID 証明書の生成に使用された信頼する証明書チェーンから、中間証明書またはルート CA 証明書を使用します。

ルート証明書を確認する

登録グループを作成するときに、確認済みの証明書を使用することもできます。 ルート証明書の所有権があることを示すことによって、DPS で証明書を確認できます。 詳細については、X.509 CA 証明書の所有証明を行う方法に関するページを参照してください。

1. Azure portal で、IoT Hub Device Provisioning Service のインスタンスに移動します。

2. 左側のメニューから [証明書] を選択します。

3. [追加] を選択して新しい証明書を追加します。

4. 証明書のフレンドリ名を入力し、X.509 証明書の公開部分を表す .cer または .pem ファイルを参照します。

   デモ用の証明書を使用している場合は、<wrkdir>\certs\azure-iot-test-only.root.ca.cert.pem 証明書をアップロードします。

5. [保存] を選択します。

6. これで、その証明書が [証明書] ページに表示されます。 それを選択して証明書の詳細を開きます。

7. [確認コードを生成します] を選択した後、生成されたコードをコピーします。

8. 独自の CA 証明書を入手したか、デモ用の証明書を使用しているかにかかわらず、IoT Edge リポジトリに用意されている検証ツールを使用して、所有証明を確認することができます。 検証ツールでは、CA 証明書を使用して、指定された確認コードをサブジェクト名として持つ新しい証明書に署名します。

   New-CACertsVerificationCert "<verification code>"
   

9. Azure portal の同じ証明書詳細ページで、新しく生成された検証証明書をアップロードします。

10. [認証] を選択します。

登録グループを作成する

デバイス プロビジョニング サービスでの登録の詳細については、デバイス登録の管理方法に関するページをご覧ください。

1. Azure portal で、IoT Hub Device Provisioning Service のインスタンスに移動します。

2. [設定] の下の [登録の管理] を選択します。

3. [登録グループの追加] を選択し、登録を構成する以下の手順を完了します。

   • [グループ名]: このグループ登録の覚えやすい名前を入力します。

   • [構成証明の種類]: [Certificate] を選択します。

   • [IoT Edge デバイス]: [True] を選択します。 グループ登録の場合、すべてのデバイスを IoT Edge デバイスにする必要があります。そうしない場合、いずれも IoT Edge デバイスにすることはできません。

   • [証明書の種類]: [CA 証明書] を選択します。

   • [プライマリ証明書]: ドロップダウン リストからご利用の証明書を選択します。

   • [このデバイスを割り当てることができる IoT ハブを選択する]: デバイスの接続先になるリンクされた IoT ハブを選択します。 複数のハブを選択でき、デバイスは、選択した割り当てポリシーに従ってそれらのハブの 1 つに割り当てられます。

   • [デバイス ツインの初期状態]: 必要に応じて、デバイス ツインに追加するタグ値を追加します。 タグを使用して、デバイス グループを自動展開のターゲットにすることができます。 次に例を示します。

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. [保存] を選択します。

[登録を管理します] で、作成した登録の登録 ID を確認できます。 デバイスをプロビジョニングするときに使用できるので、メモします。

これで、これらのデバイスの登録が存在しているので、IoT Edge ランタイムによってインストール時にデバイスを自動的にプロビジョニングできます。

インストールは、数個のコマンドで実行できます。 ターミナルを開き、次のコマンドを実行します。

• 24.04:

  wget https://packages.microsoft.com/config/ubuntu/24.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

• 22.04:

  wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

• 20.04:

  wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

APT を使用したインストールは、少ないコマンドで実行できます。 ターミナルを開き、次のコマンドを実行します。

• 12 - ブックワーム (arm32v7):

  curl https://packages.microsoft.com/config/debian/12/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
  sudo apt install ./packages-microsoft-prod.deb
  

• 11 - Bullseye (arm32v7):

  curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
  sudo apt install ./packages-microsoft-prod.deb
  

インストールは、数個のコマンドで実行できます。 ターミナルを開き、次のコマンドを実行します。

• 9.x (amd64):

    wget https://packages.microsoft.com/config/rhel/9.0/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

• 8.x (amd64):

    wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

後のステップで、スナップ ストアから IoT Edge ランタイムをインストールします。 次のセクションに進みます。

Moby エンジンをインストールします。

sudo apt-get update; \
  sudo apt-get install moby-engine

Moby エンジンをインストールします。

sudo apt-get update; \
  sudo apt-get install moby-engine

Moby エンジンと CLI をインストールします。

sudo yum install moby-engine moby-cli

curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

IoT Edge には、Docker と IoT ID サービスへの依存関係があります。 次のコマンドを使って、依存関係をインストールします。

sudo snap install docker
sudo snap install azure-iot-identity

Docker スナップは Canonical によって提供され、運用シナリオでサポートされます。

1. 既存の Docker デーモンの構成ファイルを作成または編集します

   sudo nano /etc/docker/daemon.json
   

2. 例で示すように、既定のログ ドライバーを local ログ ドライバーに設定します。

      {
         "log-driver": "local"
      }
   

3. コンテナー エンジンを再起動して、変更を有効にします。

   sudo systemctl restart docker
   

現時点では、 local ログ ドライバーの設定は Docker スナップではサポートされていません。

(まだ最新の状態でない場合) 最新バージョンの IoT Edge と IoT ID サービス パッケージをインストールします。

• 22.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge
  

• 20.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge
  

(まだ最新の状態でない場合) 最新バージョンの IoT Edge と IoT ID サービス パッケージをインストールします。

sudo apt-get update; \
  sudo apt-get install aziot-edge

(まだ最新の状態でない場合) 最新バージョンの IoT Edge と IoT ID サービス パッケージをインストールします。

sudo yum install aziot-edge

スナップ ストアから IoT Edge をインストールします。

sudo snap install azure-iot-edge

スナップを接続する

既定では、スナップは依存関係がなく、信頼されておらず、厳密に制限されています。 そのため、インストールの後で、スナップを他のスナップやシステム リソースに接続する必要があります。 次のコマンドを使って、IoT ID サービスと IoT Edge スナップを相互に、およびシステム リソースと接続します。 始めるには、スナップを手動で接続する必要があります。 運用環境のデプロイでは、それらを自動的に接続するように構成して、プロビジョニングの作業量を減らすことができます。

#------------------------
#  IoT Identity Service
#------------------------

# Connect the Identity Service snap to the logging system
# and grant permission to query system info

sudo snap connect azure-iot-identity:log-observe
sudo snap connect azure-iot-identity:mount-observe
sudo snap connect azure-iot-identity:system-observe
sudo snap connect azure-iot-identity:hostname-control

# If using a TPM, enable TPM access

sudo snap connect azure-iot-identity:tpm

#------------
#  IoT Edge
#------------

# Connect to your /home directory to enable writing support bundles

sudo snap connect azure-iot-edge:home

# Connect to logging and grant permission to query system info

sudo snap connect azure-iot-edge:log-observe
sudo snap connect azure-iot-edge:mount-observe
sudo snap connect azure-iot-edge:system-observe
sudo snap connect azure-iot-edge:hostname-control
# Allow IoT Edge to connect to the /var/run/iotedge folder and use sockets

sudo snap connect azure-iot-edge:run-iotedge

# Connect IoT Edge to Docker

sudo snap connect azure-iot-edge:docker docker:docker-daemon

sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

IoT Edge デバイスで構成ファイルを開きます。

sudo nano /etc/aziot/config.toml

ファイルのプロビジョニング セクションを見つけます。 X.509 証明書を使用した DPS のプロビジョニング行をコメント解除し、すべてのプロビジョニング行がコメント アウトされていることを確認します。

# DPS provisioning with X.509 certificate
[provisioning]
source = "dps"
global_endpoint = "https://global.azure-devices-provisioning.net"
id_scope = "SCOPE_ID_HERE"

# Uncomment to send a custom payload during DPS registration
# payload = { uri = "PATH_TO_JSON_FILE" }

[provisioning.attestation]
method = "x509"
registration_id = "REGISTRATION_ID_HERE"

identity_cert = "DEVICE_IDENTITY_CERTIFICATE_HERE" # For example, "file:///var/aziot/device-id.pem"
identity_pk = "DEVICE_IDENTITY_PRIVATE_KEY_HERE"   # For example, "file:///var/aziot/device-id.key"

# auto_reprovisioning_mode = Dynamic

IoT Edge のスナップ インストールを使用する場合、テンプレート ファイルは /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.templateにあります。 テンプレート ファイルをホーム ディレクトリにコピーし、 config.toml名前を付けます。 次に例を示します。

cp /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template ~/config.toml

IoT Edge デバイスのホーム ディレクトリで構成ファイルを開きます。

nano ~/config.toml

ファイルのプロビジョニング セクションを見つけます。 X.509 証明書を使用して DPS プロビジョニングの行のコメントを解除し、他のプロビジョニング行がコメント アウトされていることを確認します。証明書ファイルの azure-iot-edge と azure-iot-identity snaps の両方からアクセスできる共有ディレクトリへのパスを使用します。 たとえば、/var/snap/azure-iot-identity/current/shared/ のようにします。

# DPS provisioning with X.509 certificate
[provisioning]
source = "dps"
global_endpoint = "https://global.azure-devices-provisioning.net"
id_scope = "SCOPE_ID_HERE"

# Uncomment to send a custom payload during DPS registration
# payload = { uri = "PATH_TO_JSON_FILE" }

[provisioning.attestation]
method = "x509"
registration_id = "REGISTRATION_ID_HERE"

identity_cert = "DEVICE_IDENTITY_CERTIFICATE_HERE" # For example, "file:///var/snap/azure-iot-identity/current/shared/device-id.pem"
identity_pk = "DEVICE_IDENTITY_PRIVATE_KEY_HERE"   # For example, "file:///var/snap/azure-iot-identity/current/shared/device-id.key"


# auto_reprovisioning_mode = Dynamic

sudo iotedge config apply

sudo snap set azure-iot-edge raw-config="$(cat ~/config.toml)"

デバイス プロビジョニング サービスで作成した個々の登録が使用されていることを確認します。 Azure portal で Device Provisioning Service インスタンスに移動します。 作成した個別登録の詳細を開きます。 登録の状態が 割り当てられ、デバイス ID が一覧表示されます。

デバイス プロビジョニング サービスで作成したグループ登録が使用されていることを確認します。 Azure portal で Device Provisioning Service インスタンスに移動します。 作成したグループ登録の登録の詳細を開きます。 [登録レコード] タブにアクセスして、そのグループに登録されているすべてのデバイスを表示します。