Kontakt
+49 2554 9130 00
info@welotec.com

0 Min. Lesedauer

Azure IoT-Gerätebereitstellung mit TPM (DPS)

Marcel Kämmerling

Veröffentlicht am 22 Oct, 2021

Azure IoT Device Provisioning with TPM (DPS)

3 einfache Schritte zur Verwendung von Welotec Edge Gateways

Wenn es um die Einführung und Bereitstellung von IoT-Geräten im Feld geht, stehen Kunden oft vor einer Reihe von Herausforderungen. Eine davon ist die Tatsache, dass Sie in den meisten Situationen einen qualifizierten Techniker vor Ort benötigen, der Probleme analysieren und lösen kann, die aufgrund unerwarteter Bedingungen auftreten können. Angenommen, Sie haben einen gut qualifizierten und erfahrenen Techniker, der Ihre Geräte bereitstellt, sprechen wir immer noch von einem Menschen und nicht von einer fehlerfreien Maschine. So oder so besteht also die Möglichkeit, dass aufgrund menschlicher Interaktionen etwas schief geht, abgesehen davon, dass Sie ein höheres Risiko haben, irgendwie kompromittiert zu werden.

Wenn Sie dies in verschiedenen Bereitstellungsumgebungen und Szenarien durchdenken, können Sie sich noch mehr Herausforderungen wie die oben genannten vorstellen.

Der Device Provisioning Service (DPS)

Um diese Herausforderungen zu bewältigen, bietet Microsoft einen Dienst namens „Device Provisioning Service“ (DPS) an, der sich um Ihre Rollout-Herausforderungen vor Ort kümmert.

Mit dem DPS können Sie:

  • Registrieren Sie Ihre Geräte
  • Verbinden und Weiterleiten Ihrer Geräte an einen bestimmten IoT Hub
  • Geben Sie Ihre Registrierungsszenarien und -einstellungen an
  • Stellen Sie Ihre Docker-basierten Anwendungen in der IoT Edge-Runtime bereit

Der Dienst selbst muss nur einmal für Ihre gesamte IoT-Umgebung konfiguriert werden und kann basierend auf Geo-Standorten, Verkehrsrouting und vielem mehr mit verschiedenen IoT-Hubs verbunden werden. Sobald Sie Ihre Instanz des DPS eingerichtet haben, können Sie sie anhand der global eindeutigen Scope-ID identifizieren. Im Allgemeinen bietet der Dienst eine Just-in-Time-Bereitstellung, ohne jedes einzelne Gerät einzeln zu berühren. Es spielt also eigentlich keine Rolle, ob Sie zehn, Hunderte oder sogar Millionen von Geräten bereitstellen möchten. Der Bereitstellungsprozess ist derselbe und skaliert mit Ihrer Infrastruktur und der Anzahl der Geräte.

Das DPS bietet zwei Möglichkeiten für Bereitstellungsszenarien:

  • Individuelle Anmeldung
  • Gruppenanmeldung

Die Gruppenregistrierung unterstützt keine TPM-Bestätigung und wird daher in diesem Dokument nicht behandelt.

Individuelle Anmeldung

Individuelle Registrierungen dienen dazu, ein Gerät mit bestimmten Einstellungen vorzudefinieren, noch bevor Sie es in den Einsatz bringen. Als Nachweismechanismen können Sie zwischen x509-Zertifikaten, SAS-Token oder TPM wählen.
Da TPM für den Kunden zwar der sicherste Weg, damit aber auch der anspruchsvollste ist, haben wir bei Welotec bei der Implementierung unserer IoT Edge Gateways genau auf diesen Umstand geachtet.

Azure Device Provisioning Service (DPS) mit TPM Weitere Informationen finden Sie auf der Azure-Website: https://docs.microsoft.com/de-de/azure/iot-dps [/caption]

Vertrauenswürdiges Plattformmodul (TPM)

Bevor wir beginnen, klären wir ein paar Dinge über das Trusted Platform Module (TPM). Im Allgemeinen ist das TPM ein Hardwarechip, der Teil des Mainboards von Welotec Edge Gateways ist. Das TPM kann für den sicheren Start verwendet werden, sicherheitsrelevante Daten wie Schlüssel, Zertifikate und vieles mehr speichern. Bei Bereitstellungsszenarien, insbesondere bei Azure DPS, sind nur die Registrierungs-ID sowie der Endorsement-Key (EK) relevant. Die Registrierungs-ID ist eine alphanumerische Zeichenfolge und wird vom TPM selbst bereitgestellt. Der Endorsement-Key wird während des Herstellungsprozesses erstellt und ist für ein TPM eindeutig. Er besteht aus zwei Teilen, einem öffentlichen und einem privaten Teil. Wie üblich, aber am wichtigsten, wird der private Teil niemals außerhalb des TPM angezeigt. Dies führt dazu, dass das TPM-Modul oft als eine Art „Hardware-Anker“ oder „Hardware-Sicherheitsanker“ behandelt wird.

Weitere Informationen finden Sie auf der Azure-Website: https://docs.microsoft.com/de-de/azure/iot-dps/concepts-tpm-attestation

Bereitstellung von Edge Gateways

Wenn wir über die Bereitstellung von IoT-Geräten sprechen – genauer gesagt über die „automatische Bereitstellung“, spielen in diesem Konzept verschiedene Rollen eine Rolle. Je nachdem, wo Sie und Ihr Unternehmen in Bezug auf die Rollen angesiedelt sind, sollten verschiedene Vorgänge Ihnen gehören oder anderen überlassen werden. Wenn Sie sich jedoch einen realen Anwendungsfall ansehen, sind dieses Konzept und seine Grenzen und Verantwortlichkeiten nicht so einfach anzuwenden. Daher haben wir die Bereitstellungsdienste implementiert, um unseren Kunden höchste Flexibilität, Benutzerfreundlichkeit und Sicherheit zu bieten.

Für die Bestätigung mit TPM benötigen Sie drei Werte:

  • DPS Scope-ID - globale ID
  • Öffentlicher Teil von EK - gerätespezifisch
  • Registrierungs-ID - Gerätespezifisch

Wir können die Edge Gateways mit einer vordefinierten Konfiguration an den Kunden ausliefern, die beispielsweise seine DPS Scope-ID enthält. Alternativ können Sie diese natürlich auch selbst platzieren.

  • DPS Scope-ID - erledigt

Anschließend möchten Sie den relevanten öffentlichen Teil des EK und die Registrierungs-ID aus Ihrem TPM extrahieren.
Führen Sie hierzu erneut nur einen einzigen Befehl aus. Der Befehl holt die Daten von Ihrem TPM, sodass Sie diese problemlos in Azure einfügen können.

  • Öffentlicher Teil von EK - erledigt
  • Registrier-ID - fertig

Der nächste und letzte Schritt besteht darin, eine individuelle Registrierung für Ihr neues Gerät zu erstellen. Sie können direkt angeben, welchen Device-Twin-Status es haben soll, welche Module bereitgestellt werden sollen und mit welchem ​​IoT Hub sich das Gerät verbinden soll. Nachdem dies erledigt ist, verbindet sich Ihr Gerät mit dem DPS, erhält die richtigen Bereitstellungsparameter, verbindet sich mit dem IoT Hub, holt zugewiesene Module (z. B. Container für die Azure Edge Runtime) ab und nimmt den Betrieb auf.

Die 3 Schritte, die Sie brauchen

  1. DPS Scope-ID festlegen
  2. Extrahieren von Registrierungsdaten aus TPM
  3. Registrierung erstellen

Zusammenfassung:

Wenn bei Ihrem Rollout Sicherheit, Authentizität und Flexibilität wichtig sind, ist die DPS-Bereitstellung mithilfe der TPM-Bestätigung eine gute Entscheidung. Das mag im ersten Schritt schwierig klingen, aber wie Sie sehen, muss es das nicht sein. Erfahren Sie mehr über Azure IoT Edge .

Azure IoT Edge-Gerät

Weitere Informationen zu den Azure IoT Edge Appliances EG500 und EG600 finden Sie hier. Wenn Sie weitere Informationen zu Edge Computing, IoT Hub und IoT Central mit Azure benötigen, nehmen Sie bitte Kontakt mit uns auf.

Experte

Marcel Kämmerling

Technischer Vertriebsingenieur bei Welotec GmbH

Mit einem Bachelor of Engineering von der Hochschule Emden/Leer nutzt er sein Fachwissen in den Bereichen Digitalisierung und Edge Computing, um maßgeschneiderte Lösungen für Kunden zu entwickeln und eine effiziente digitale Transformation voranzutreiben. Marcel verfügt über umfangreiche Erfahrung in den Bereichen Hardware- und Softwarelösungen, agile Produkttests und technische Beratung. Mit Leidenschaft für die Ausbildung der nächsten Generation spielt er eine Schlüsselrolle bei der Erweiterung des technischen Wissens seines Teams und seiner Partner.

Verwandte Produkte

EG500 Mk2 Starters

EG500 Mk2 Starters

€1.061,15

EG600 Mk2 Starterpaket

EG600 Mk2 Starterpaket

€2.100,00

EG400 Mk2

EG400 Mk2

€530,00

EG500-Serie

EG500-Serie

€750,00

EG500 Mk2

EG500 Mk2

€860,00

EG500 Mk2 Headless

EG500 Mk2 Headless

€760,00

EG600 Mk2-Serie

EG600 Mk2-Serie

€869,00

EG800 Serie

EG800 Serie

€1.640,00

VergeLink Box basierend auf der EG500-Serie

VergeLink Box basierend auf der EG500-Serie