我正在部署边缘模块以进行协议转换并使用证书来保护通信。
证书当前放置在模块容器中,当证书更改时,需要重新构建和重新部署模块。
我正在寻找更好的解决方案,例如 azure key vault,以从中提取证书并避免重建/重新部署过程。
人们是否知道这样的选项和实施细节?
【问题讨论】:
标签: azure-iot-edge
IoT Edge 守护程序有一个 API,用于获取链接到守护程序 config.yaml 中配置的 CA 证书的服务器证书。它将配置的主机名字段设置为服务器证书的 CN 字段。
这是 Edge Hub 用来为其 TLS 获取证书的 API。
不幸的是,没有很好的客户端库可以与这个 API 交互。但是,这是一个已发布的 Swagger 文件,它定义了可用于以您选择的语言生成客户端的 API。
招摇定义:https://github.com/Azure/iotedge/blob/master/edgelet/api/workloadVersion_2019_01_30.yaml#L177
Edge Hub 实际上使用这个 swagger 定义来生成一个 C# 客户端来接收其证书。该代码位于 IoT Edge 代码库的 utils 程序集中。 https://github.com/Azure/iotedge/tree/master/edge-util/src/Microsoft.Azure.Devices.Edge.Util/edged(尚未为此创建 nuget 包,但稍作工作,您应该能够使用此 API)。
Edge Hub 在此处使用此代码:https://github.com/Azure/iotedge/blob/master/edge-hub/src/Microsoft.Azure.Devices.Edge.Hub.Service/CertificateRenewal.cs
【讨论】: