El proceso de Dispositivo FIDO A Bordo

El dispositivo FIDO a bordo es el proceso que:

  • Previene y aborda un dispositivo.

  • Configura automáticamente las credenciales para este dispositivo. El proceso FDO es un mecanismo automático a bordo que es disparado por la instalación en un dispositivo nuevo.

  • Habilita este dispositivo para conectar con seguridad e interactuar en la red.

Con FIDO Device Onboarding (FDO), puede realizar un embarque de dispositivo seguro añadiendo dispositivos nuevos en su arquitectura IoT. Esto incluye la configuración de dispositivo especificado que necesita ser confiado e integrado con el resto de los sistemas en ejecución. El proceso FDO es un mecanismo automático a bordo que es disparado por la instalación de un dispositivo nuevo.

El protocolo FDO realiza las siguientes tareas:

  • Resuelve la certeza y encadenamiento de propiedad a lo largo con la automatización necesaria para cargar seguridad en dispositivo en escala.

  • Realiza inicialización de dispositivo en el estado de manipulación de estado y vinculación de dispositivo posterior para su uso actual. Esto significa que el vínculo actual del dispositivo para un sistema de gestión sucede en el primer arranque del dispositivo sin requerir configuración manual en el dispositivo.

  • Admite la incorporación automatizada y segura de dispositivos, es decir, una instalación e incorporación sin intervención que no requiere personal especializado en la ubicación de borde. Una vez incorporado el dispositivo, la plataforma de administración puede conectarse a él y aplicar parches, actualizaciones y reversiones.

Con FDO usted podrá beneficiarse de lo siguiente:

  • FDO es una forma segura y sencilla de inscribir un dispositivo en una plataforma de administración. En lugar de integrar una configuración Kickstart en la imagen, FDO aplica las credenciales del dispositivo durante el primer arranque directamente a la imagen ISO.

  • FDO resuelve el problema de la vinculación tardía a un dispositivo, lo que permite compartir cualquier dato confidencial a través de un canal FDO seguro.

  • FDO identifica criptográficamente la identidad y la propiedad del sistema antes de registrarlo y transferirle la configuración y otros secretos. Esto permite a usuarios sin conocimientos técnicos iniciar el sistema.

Para crear una imagen del instalador simplificado de Fedora IoT e integrarla automáticamente, proporcione una confirmación de OSTree existente. La imagen simplificada resultante contiene una imagen sin procesar con la confirmación de OSTree implementada. Tras arrancar la imagen ISO del instalador simplificado, se aprovisiona un sistema Fedora IoT que puede usar en un disco duro o como imagen de arranque en una máquina virtual.

La Imagen del Proveedor simplificado de Fedora IoT está optimizada para la instalación automática en un dispositivo y admite tanto implementaciones en red como fuera de ella. Sin embargo, para implementaciones en red, solo admite el arranque UEFI HTTP.

El protocolo FDO se basa en los siguientes servidores:

Servidor de fabricación

  1. Genera las credenciales del dispositivo.

  2. Crea un comprobante de propiedad que se utiliza para establecer la propiedad del dispositivo, más adelante en el proceso.

  3. Vincula el dispositivo a una plataforma de administración específica.

Sistema de gestión de propietarios

  1. Recibe el comprobante de propiedad del servidor de fabricación y se convierte en el propietario del dispositivo asociado.

  2. Más adelante en el proceso, crea un canal seguro entre el dispositivo y el servidor de incorporación del propietario después de la autenticación del dispositivo.

  3. Utiliza el canal seguro para enviar la información requerida, como archivos y guiones para la automatización de la incorporación al dispositivo.

Servidor API de información de servicio

En función de la configuración del servidor API de Service-info y los módulos disponibles en el cliente, realiza los pasos finales de la incorporación en los dispositivos cliente de destino, como copiar claves y archivos SSH, ejecutar comandos, crear usuarios, cifrar discos, etc

Servidor rendezvous

  1. Obtiene el comprobante de propiedad del sistema de gestión del propietario y asigna el UUID del dispositivo a la IP del servidor del propietario. A continuación, el servidor Rendezvous asocia el UUID del dispositivo con una plataforma de destino e informa al dispositivo sobre el punto final del servidor de incorporación del propietario que debe usar.

  2. Durante el primer arranque, el servidor Rendezvous será el punto de contacto del dispositivo y lo dirigirá al propietario, para que éste y el propietario puedan establecer un canal seguro.

Cliente del dispositivo

Esto se instala en el dispositivo. El cliente del dispositivo realiza las siguientes acciones:

  1. Inicia las consultas a los múltiples servidores donde se ejecutará la automatización de incorporación.

  2. Utiliza protocolos TCP/IP para comunicarse con los servidores.

El siguiente diagrama representa el flujo de trabajo de incorporación del dispositivo FIDO: .Implementación de Fedora IoT en un entorno sin red

Incorporación de dispositivos FDO

Durante la inicialización del dispositivo, este se comunica con el servidor de fabricación para obtener las credenciales FDO, un conjunto de certificados y claves que se instalarán en el sistema operativo con el punto final (URL) del servidor Rendezvous. También obtiene el comprobante de propiedad, que se mantiene por separado en caso de que sea necesario cambiar la asignación de propietario.

  1. El dispositivo se pone en contacto con el servidor de fabricante

  2. El servidor de fabricación genera un Comprobante de Propiedad y las Credenciales del Dispositivo.

  3. El Comprobante de Propiedad se transfiere al servidor de incorporación del Propietario.

En la incorporación en el sitio, el dispositivo obtiene el punto final del servidor Rendezvous (URL) de sus credenciales del dispositivo y se comunica con el punto final del servidor Rendezvous para iniciar el proceso de incorporación, que lo redireccionará al sistema de administración del propietario, que está formado por el servidor de incorporación del propietario y el servidor de API de información de servicio.

  1. El servidor de incorporación del Propietario transfiere el Comprobante de Propiedad al servidor Rendezvous, que realiza un mapeo del comprobante de Propiedad al Propietario.

  2. El cliente del dispositivo lee las credenciales del dispositivo.

  3. El dispositivo cliente se conecta a la red.

  4. Después de conectarse a la red, el cliente del dispositivo se comunica con el servidor Rendezvous.

  5. El servidor Rendezvous envía la URL del punto final del propietario al cliente del dispositivo y registra el dispositivo.

  6. El cliente del dispositivo se conecta al servidor de incorporación del propietario compartido por el servidor Rendezvous.

  7. El dispositivo demuestra que es el dispositivo correcto firmando una declaración con una clave de dispositivo.

  8. El servidor de incorporación del propietario demuestra su exactitud al firmar una declaración con la última clave del comprobante del propietario.

  9. El servidor de incorporación del propietario transfiere la información del dispositivo al servidor API de información de servicio.

  10. El servidor API de información de servicio envía la configuración del dispositivo.

  11. El dispositivo está incorporado.

Want to help? Learn how to contribute to Fedora Docs