Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Operazioni di Azure IoT usa TLS per crittografare tutte le comunicazioni. Questo articolo descrive come gestire i certificati per le comunicazioni esterne, ad esempio l'autenticazione di server OPC UA esterni.
Per informazioni sulla gestione dei certificati per le comunicazioni interne, inclusi l'autorità emittente autofirmata predefinita e l'uso di un'autorità emittente CA personalizzata, vedere Usare la propria autorità emittente.
Prerequisiti
- Un'istanza di Operazioni di Azure IoT distribuita con impostazioni sicure. Per distribuire Operazioni di Azure IoT con impostazioni sicure, seguire la procedura descritta in Deploy Operazioni di Azure IoT in un cluster di produzione. Se in precedenza hai distribuito Operazioni di Azure IoT con impostazioni di test, devi prima abilitare le impostazioni sicure.
Gestire i certificati per le comunicazioni esterne
Le operazioni di Azure IoT usano Azure Key Vault come soluzione di gestione delle credenziali sul cloud e utilizzano l'estensione dell'archivio segreti di Azure Key Vault per Kubernetes per sincronizzare i segreti dal cloud e archiviarli sul perimetro come segreti di Kubernetes.
Importante
Anche se le operazioni IoT di Azure usano certificati per proteggere le comunicazioni esterne, questi certificati vengono archiviati come segreti in Azure Key Vault. Quando si aggiunge un certificato ad Azure Key Vault, assicurarsi di aggiungerlo come segreto, non come risorsa certificato.
Configurare le autorizzazioni di Azure Key Vault
Per utilizzare l'esperienza delle operazioni per creare segreti nell'insieme di credenziali delle chiavi, l'utente necessita delle autorizzazioni del ruolo Responsabile segreti dell'insieme di credenziali delle chiavi a livello di risorsa in Azure.
In un ambiente di test o sviluppo usare la procedura seguente per assegnare il ruolo Key Vault Secrets Officer all'utente a livello di gruppo di risorse in cui vengono distribuite l'istanza di Operazioni di Azure IoT e l'istanza di Azure Key Vault:
Per trovare il nome del gruppo di risorse, passare all'interfaccia utente Web dell'esperienza operativa , passare alla pagina Istanze e trovare l'istanza di Operazioni IoT di Azure. Il nome del gruppo di risorse viene visualizzato nel campo Gruppo di risorse.
Passare al portale di Azure e quindi passare al gruppo di risorse in cui vengono distribuite l'istanza di Operazioni di Azure IoT e l'istanza di Azure Key Vault.
Suggerimento
Usare la casella di ricerca nella parte superiore del portale di Azure per trovare rapidamente il gruppo di risorse digitando il nome.
Selezionare Controllo di accesso (IAM) dal menu a sinistra. Quindi selezionare + Aggiungi > assegnazione di ruolo.
Nella scheda Ruolo selezionare Key Vault Secrets Officer nell'elenco dei ruoli e quindi selezionare Avanti.
Nella scheda Membri, selezionare Utente, gruppo o entità servizio, selezionare Seleziona membri, selezionare l'utente a cui si vuole assegnare il ruolo di Responsabile dei segreti di Key Vault dell'insieme di credenziali delle chiavi e quindi selezionare Avanti.
Selezionare Rivedi e assegna per completare l'assegnazione di ruolo.
In un ambiente di produzione seguire le procedure consigliate per proteggere Azure Key Vault usato con le operazioni IoT di Azure. Per altre informazioni, vedere Procedure consigliate per l'uso di Azure Key Vault.
Aggiungere e usare i certificati
I connettori usano l'esperienza di gestione dei certificati per configurare l'autenticazione dell'applicazione in server esterni. Ad esempio, il connettore per OPC UA usa i certificati nell'elenco di attendibilità per autenticare l'identità del server OPC UA a cui si connette.
Quando si distribuiscono le operazioni IoT di Azure con impostazioni sicure, è possibile iniziare ad aggiungere certificati ad Azure Key Vault e sincronizzarli con il cluster Kubernetes da usare nell'elenco Attendibilità e negli archivi dell'elenco Autorità di certificazione per le connessioni esterne. Ogni connettore ha un proprio elenco di attendibilità per archiviare i certificati dei server esterni a cui considera attendibili e si connette.
È possibile gestire i certificati per le comunicazioni esterne usando l'interfaccia utente Web dell'esperienza operativa o l'interfaccia della riga di comando di Azure:
Per gestire i certificati per le comunicazioni esterne, seguire questa procedura:
Accedere all'esperienza di Operazioni di Azure IoT e selezionare il proprio sito e l'istanza di Operazioni di Azure IoT.
Nel pannello di navigazione sinistro selezionare Dispositivi.
Selezionare Gestisci certificati e segreti.
Nella pagina Certificati e segreti selezionare Aggiungi nuovo certificato.
È possibile aggiungere un nuovo certificato in due modi:
Caricare il certificato: carica un certificato per aggiungere come segreto ad Azure Key Vault e sincronizzare automaticamente il cluster usando l'estensione dell'archivio segreto.
- Visualizzare i dettagli del certificato dopo il caricamento, per assicurarsi di disporre del certificato corretto prima di aggiungere Azure Key Vault e sincronizzare il cluster.
- Usare un nome intuitivo in modo da poter riconoscere facilmente il segreto che rappresenta il proprio segreto in futuro.
- Selezionare l'archivio certificati appropriato per il connettore che usa il certificato. Ad esempio, elenco di attendibilità OPC UA.
Annotazioni
Il caricamento del certificato non aggiunge il segreto ad Azure Key Vault e si sincronizza con il cluster, è necessario selezionare Applica per applicare le modifiche.
Aggiungi da Azure Key Vault: aggiungere un segreto esistente dall'insieme di credenziali delle chiavi di Azure da sincronizzare con il cluster.
Annotazioni
Assicurarsi di selezionare il segreto che contiene il certificato da sincronizzare con il cluster. Se si seleziona un segreto che non è il certificato corretto, la connessione non riesce.
Usando la visualizzazione elenco è possibile gestire i certificati sincronizzati. È possibile visualizzare tutti i certificati sincronizzati e l'archivio certificati in cui è sincronizzato:
È anche possibile eliminare i certificati sincronizzati. Quando si elimina un certificato sincronizzato, esso viene eliminato solo dal cluster Kubernetes e non viene eliminato il riferimento segreto contenuto in Azure Key Vault. È necessario eliminare manualmente il secret del certificato dal Key Vault.
Aggiungere certificati come segreti ad Azure Key Vault
Se si usa l'esperienza operativa per selezionare i certificati esistenti aggiunti in precedenza ad Azure Key Vault, assicurarsi che i segreti siano in un formato e una codifica supportati dalle operazioni di Azure IoT.
Per aggiungere un segreto del certificato PEM ad Azure Key Vault, è possibile usare un comando simile all'esempio seguente:
az keyvault secret set \
--vault-name <your-key-vault-name> \
--name my-cert-pem \
--file ./my-cert.pem \
--encoding hex \
--content-type 'application/x-pem-file'
Per aggiungere un segreto certificato DER binario ad Azure Key Vault, è possibile usare un comando simile all'esempio seguente:
az keyvault secret set \
--vault-name <your-key-vault-name> \
--name my-cert-der \
--file ./my-cert.der \
--encoding hex \
--content-type 'application/pkix-cert'