Solicitar Demonstração

Guia de Gerenciamento de Dispositivos IoT

Guia completo para gerenciar dispositivos IoT com o PKIGuardian.

Índice

Visão Geral

O PKIGuardian oferece gerenciamento abrangente de certificados de dispositivos IoT com suporte a múltiplos protocolos e fluxos de provisionamento automatizados.

Funcionalidades Principais

  • Provisionamento Zero-Touch — Cadastro por QR code e NFC
  • Múltiplos Protocolos — LoRaWAN, CoAP, EST-over-CoAP, CMP
  • Atestação TPM — Identidade de dispositivo baseada em hardware
  • Grupos de Dispositivos — Gerenciamento de certificados baseado em políticas
  • Renovação Automática — Ciclo de vida de certificado orientado por políticas
  • Operações em Campo — Cadastro offline com o aplicativo móvel MAUI

Tipos de Dispositivo

Tipos de Dispositivo Suportados

1. Dispositivos LoRaWAN

Dispositivos sem fio de longo alcance e baixa potência usando protocolo LoRaWAN.

Casos de Uso: Sensores, medidores, rastreadores
Uso do Certificado: Autenticação de dispositivo com Join Server
Funcionalidades:

  • Gerenciamento de DevEUI
  • Configuração de AppKey/AppEUI
  • Integração com Join Server
  • Ativação Over-the-Air (OTAA)

2. Dispositivos CoAP

Dispositivos com Protocolo de Aplicação Restrito para IoT.

Casos de Uso: Sensores IoT leves, atuadores
Uso do Certificado: DTLS para comunicação segura
Funcionalidades:

  • Cadastro EST-over-CoAP
  • Configuração DTLS
  • Descoberta de recursos
  • Suporte ao mecanismo Observe

3. Dispositivos TPM

Dispositivos com Módulo de Plataforma Confiável para atestação de hardware.

Casos de Uso: IoT industrial, gateways de borda, infraestrutura crítica
Uso do Certificado: Identidade de dispositivo baseada em hardware
Funcionalidades:

  • Validação de certificado EK (Chave de Endosso)
  • Gerenciamento de AIK (Chave de Identidade de Atestação)
  • Atestação de plataforma
  • Verificação de boot seguro

4. Dispositivos IoT Genéricos

Dispositivos IoT padrão sem requisitos de protocolo específicos.

Casos de Uso: Dispositivos IoT de propósito geral
Uso do Certificado: Autenticação TLS/mTLS
Funcionalidades:

  • Cadastro de certificado padrão
  • Suporte a protocolos personalizados
  • Configuração flexível

Provisionamento Zero-Touch

Visão Geral

O Provisionamento Zero-Touch (ZTP) permite que dispositivos se cadastrem automaticamente sem configuração manual.

Métodos de Cadastro

Cadastro por QR Code

Interface Web:

  1. Acesse IoT e Dispositivos > Provisionamento Zero-Touch
  2. Clique em + Novo Cadastro
  3. Preencha as informações do dispositivo:
    • ID do Dispositivo
    • Tipo de Dispositivo
    • Grupo do Dispositivo
  4. Gere o QR code
  5. Exiba ou imprima o QR code
  6. Escaneie com a câmera do dispositivo ou o aplicativo MAUI

CLI:

# Gerar QR code de cadastro
pkiguardian iot zerotouch generate-qr \
  --device-id "sensor-001" \
  --type lorawan \
  --group "sensores-campo" \
  --output cadastro-sensor-001.png

# Visualizar QR code no terminal (ASCII)
pkiguardian iot zerotouch generate-qr \
  --device-id "sensor-001" \
  --format ascii

Cadastro por Tag NFC

Interface Web:

  1. Gere as credenciais de cadastro (mesmo processo do QR code)
  2. Clique em Gerar Tag NFC
  3. Use um aplicativo de gravação NFC para gravar os dados na tag NFC
  4. Encoste o dispositivo na tag NFC para cadastrar

Aplicativo MAUI:

  1. Acesse Dispositivos > Cadastro em Campo
  2. Preencha as informações do dispositivo
  3. Toque em Gravar para NFC
  4. Aproxime a tag NFC do dispositivo
  5. A tag é programada com os dados de cadastro

Cadastro Manual

Para dispositivos sem capacidade de QR/NFC:

Interface Web:

  1. Acesse IoT e Dispositivos > Provisionamento Zero-Touch
  2. Clique em Cadastro Manual
  3. Preencha as informações completas do dispositivo
  4. Gere as credenciais de cadastro
  5. Configure manualmente o dispositivo com as credenciais

Fluxo de Cadastro

1. Gerar Solicitação de Cadastro
   ↓
2. Criar QR Code / Tag NFC
   ↓
3. Dispositivo Escaneia / Lê a Tag
   ↓
4. Dispositivo Contata Endpoint de Cadastro
   ↓
5. Validar Informações do Dispositivo
   ↓
6. (Opcional) Aprovação Manual
   ↓
7. Emitir Certificado do Dispositivo
   ↓
8. Dispositivo Recebe Certificado
   ↓
9. Dispositivo Ativo e Operacional

Fluxo de Aprovação

Configure os requisitos de aprovação:

Interface Web:

  1. Acesse IoT e Dispositivos > Grupos de Dispositivos
  2. Selecione o grupo
  3. Edite a Política do Grupo
  4. Defina Aprovação de Cadastro: Automática, Manual ou Dupla

Tipos de Aprovação:

  • Automática: Dispositivos cadastrados automaticamente
  • Manual: Requer aprovação do administrador
  • Dupla: Aprovação automática para dispositivos conhecidos, manual para novos

Aprovando Cadastros:

  1. Acesse IoT e Dispositivos > Cadastros Pendentes
  2. Revise os detalhes da solicitação de cadastro
  3. Verifique as informações do dispositivo
  4. Clique em Aprovar ou Rejeitar

Grupos de Dispositivos e Políticas

Criando Grupos de Dispositivos

Os grupos de dispositivos permitem aplicar políticas de certificado a múltiplos dispositivos.

Interface Web:

  1. Acesse IoT e Dispositivos > Grupos de Dispositivos
  2. Clique em + Criar Grupo
  3. Preencha as informações do grupo:
    • Nome: Nome descritivo do grupo
    • Descrição: Finalidade do grupo
    • Grupo Pai: Hierarquia opcional
  4. Configure a Política do Grupo:
    • Período de validade do certificado
    • Janela de renovação
    • Protocolos permitidos
    • Renovação automática habilitada
  5. Salve o grupo

CLI:

# Criar grupo de dispositivos
pkiguardian iot groups create "sensores-campo" \
  --description "Sensores ambientais externos" \
  --policy politica.json

# Exemplo de politica.json
{
  "certificateValidity": "P365D",  // 365 dias
  "renewalWindow": "P30D",         // Renovar 30 dias antes da expiração
  "autoRenewal": true,
  "allowedProtocols": ["lorawan", "coap"],
  "requireApproval": false
}

Políticas de Grupo

Validade do Certificado:

  • Define por quanto tempo os certificados de dispositivo são válidos
  • Formato: duração ISO 8601 (ex.: P365D para 365 dias)
  • Valores típicos: P90D (3 meses), P365D (1 ano), P730D (2 anos)

Janela de Renovação:

  • Quando a renovação automática deve começar
  • Formato: duração ISO 8601 antes da expiração
  • Valores típicos: P7D, P30D, P60D

Renovação Automática:

  • Habilitar/desabilitar renovação automática de certificado
  • Recomendado: Habilitado para dispositivos em produção
  • Desabilitar para: Desenvolvimento, testes

Restrições de Protocolo:

  • Limitar quais protocolos os dispositivos podem usar
  • Opções: LoRaWAN, CoAP, CMP, EST, Genérico

Requisitos de Aprovação:

  • Controlar aprovações de cadastro e renovação
  • Opções: Nenhuma, Cadastro, Renovação, Ambas

Atribuindo Dispositivos a Grupos

Interface Web:

  1. Acesse IoT e Dispositivos > Dashboard de Dispositivos
  2. Selecione dispositivos (checkbox)
  3. Clique em Ações em Massa > Atribuir ao Grupo
  4. Selecione o grupo de destino
  5. Confirme a atribuição

CLI:

# Atribuir único dispositivo
pkiguardian iot device assign \
  --device-id "sensor-001" \
  --group "sensores-campo"

# Atribuir múltiplos dispositivos
pkiguardian iot device assign \
  --device-ids "sensor-001,sensor-002,sensor-003" \
  --group "sensores-campo"

# Atribuir por filtro
pkiguardian iot device list --type lorawan --format json | \
  jq -r '.devices[].id' | \
  xargs -I {} pkiguardian iot device assign --device-id {} --group "dispositivos-lorawan"

Gerenciamento por Protocolo

Gerenciamento de Dispositivos LoRaWAN

Visualizando Dispositivos LoRaWAN:

Interface Web: Acesse IoT e Dispositivos > Dispositivos LoRaWAN

CLI:

pkiguardian iot device list --type lorawan --format table

Configurando o Join Server:

# Definir endpoint do Join Server
pkiguardian iot lorawan config set-join-server \
  --url "https://join-server.example.com" \
  --auth-token "<token>"

# Ver configuração do Join Server
pkiguardian iot lorawan config show

Gerenciando Chaves do Dispositivo:

# Gerar nova AppKey
pkiguardian iot lorawan device gen-appkey \
  --device-id "lorawan-001"

# Rotacionar AppKey
pkiguardian iot lorawan device rotate-appkey \
  --device-id "lorawan-001" \
  --notify-device true

# Exportar credenciais do dispositivo
pkiguardian iot lorawan device export-credentials \
  --device-id "lorawan-001" \
  --output credenciais.json

Gerenciamento de Dispositivos CoAP

Visualizando Dispositivos CoAP:

Interface Web: Acesse IoT e Dispositivos > Dispositivos CoAP

Cadastro EST-over-CoAP:

# Configurar endpoint EST-over-CoAP
pkiguardian iot coap config set-est-endpoint \
  --url "coaps://est.example.com:5684/.well-known/est"

# Testar endpoint EST
pkiguardian iot coap config test-est

Configuração DTLS:

# Configurar DTLS
pkiguardian iot coap config set-dtls \
  --version "1.2" \
  --cipher-suites "TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8" \
  --psk-mode false

# Ver configuração DTLS
pkiguardian iot coap config show-dtls

Atestação TPM

Iniciando a Atestação:

Interface Web:

  1. Acesse IoT e Dispositivos > Atestação TPM
  2. Selecione o dispositivo
  3. Clique em Solicitar Atestação
  4. Visualize o resultado da atestação

CLI:

# Solicitar atestação
pkiguardian iot attestation request --device-id "dispositivo-tpm-001"

# Verificar atestação
pkiguardian iot attestation verify --device-id "dispositivo-tpm-001"

# Ver relatório de atestação
pkiguardian iot attestation report \
  --device-id "dispositivo-tpm-001" \
  --format json

Componentes da Atestação:

  • Certificado EK: Certificado de Chave de Endosso do fabricante do TPM
  • Certificado AIK: Chave de Identidade de Atestação para atestação de plataforma
  • Valores PCR: Valores do Registro de Configuração da Plataforma
  • Log de Eventos: Eventos da sequência de boot

Política de Atestação:

{
  "requiredPcrBanks": ["SHA256"],
  "trustedEkIssuers": [
    "CN=Microsoft TPM Root Certificate Authority 2014"
  ],
  "minTpmVersion": "2.0",
  "allowSimulator": false
}

Ciclo de Vida do Certificado

Renovação Automática de Certificado

Configurar Renovação Automática:

Interface Web:

  1. Acesse IoT e Dispositivos > Grupos de Dispositivos
  2. Selecione o grupo
  3. Habilite Renovação Automática na política
  4. Defina a Janela de Renovação (ex.: 30 dias antes da expiração)
  5. Salve

Como Funciona:

  1. Trabalho em segundo plano verifica diariamente certificados expirando
  2. Quando o certificado entra na janela de renovação, a renovação é acionada
  3. Novo certificado é gerado
  4. Dispositivo é notificado (se online)
  5. Certificado antigo permanece válido até a expiração
  6. Dispositivo busca o novo certificado na próxima comunicação

Renovação Manual de Certificado

Interface Web:

  1. Acesse IoT e Dispositivos > Dashboard de Dispositivos
  2. Encontre o dispositivo
  3. Clique no dispositivo para ver os detalhes
  4. Clique em Renovar Certificado
  5. Confirme a renovação

CLI:

# Renovar certificado do dispositivo
pkiguardian iot device renew --device-id "sensor-001"

# Renovação emergencial (forçar imediatamente)
pkiguardian iot device renew \
  --device-id "sensor-001" \
  --emergency \
  --validity "P90D"

Revogação de Certificado

Quando Revogar:

  • Dispositivo comprometido
  • Dispositivo desativado
  • Chave privada exposta
  • Dispositivo roubado ou perdido

Interface Web:

  1. Acesse IoT e Dispositivos > Dashboard de Dispositivos
  2. Encontre o dispositivo
  3. Clique no dispositivo para ver os detalhes
  4. Clique em Revogar Certificado
  5. Selecione o motivo de revogação
  6. Adicione comentários
  7. Confirme a revogação

CLI:

# Revogar certificado do dispositivo
pkiguardian iot device revoke \
  --device-id "sensor-001" \
  --reason key-compromise \
  --comment "Dispositivo reportado como roubado"

# Revogar e desativar dispositivo
pkiguardian iot device revoke \
  --device-id "sensor-001" \
  --reason cessation-of-operation \
  --deactivate-device

Monitoramento e Alertas

Monitoramento de Saúde dos Dispositivos

Dashboard na Interface Web: Acesse IoT e Dispositivos > Dashboard de Dispositivos

Métricas:

  • Total de dispositivos
  • Dispositivos ativos (comunicaram nas últimas 24h)
  • Dispositivos inativos
  • Linha do tempo de expiração de certificados
  • Taxa de sucesso de cadastro
  • Taxa de aprovação/reprovação de atestação

CLI:

# Obter resumo de saúde dos dispositivos
pkiguardian iot health summary

# Listar dispositivos inativos
pkiguardian iot health inactive --days 7

# Verificar expiração de certificados
pkiguardian iot health expiring --days 30

Alertas e Notificações

Alertas Configuráveis:

  • Certificado do dispositivo expirando em breve
  • Dispositivo sem comunicação (timeout)
  • Falha na atestação
  • Falhas de cadastro
  • Renovação de certificado falhou

Configurar Alertas:

Interface Web:

  1. Acesse Configurações > Notificações
  2. Habilite Alertas de Dispositivos IoT
  3. Configure os limites:
    • Aviso de expiração de certificado: 30 dias
    • Timeout de dispositivo: 7 dias
    • Atestação com falha: imediato
  4. Selecione os canais de notificação:
    • E-mail
    • Slack/Teams (via ChatOps)
    • SMS (via integração)
    • Webhook

CLI:

# Configurar alerta
pkiguardian config set iot.alerts.certificate-expiry 30
pkiguardian config set iot.alerts.device-timeout 7

Boas Práticas

Segurança

  1. Use TPM quando disponível — Segurança baseada em hardware
  2. Habilite atestação — Verifique a integridade do dispositivo
  3. Validade curta do certificado — 90–180 dias para dispositivos IoT
  4. Habilite renovação automática — Evite interrupção do serviço
  5. Monitore atividade dos dispositivos — Detecte dispositivos comprometidos
  6. Revogue imediatamente — Não atrase a revogação de dispositivos comprometidos

Operacional

  1. Agrupe dispositivos logicamente — Por localização, tipo ou criticidade
  2. Use nomenclatura descritiva — Inclua localização/finalidade no ID do dispositivo
  3. Documente metadados do dispositivo — Armazene informações adicionais nas notas do dispositivo
  4. Teste o processo de cadastro — Verifique antes da implantação em massa
  5. Planeje para dispositivos offline — Use validade maior para dispositivos offline
  6. Monitore expiração de certificados — Configure alertas com antecedência

Escalabilidade

  1. Cadastros em lote — Use a CLI para operações em massa
  2. Automatize com APIs — Integre com sistemas de provisionamento de dispositivos
  3. Use grupos de dispositivos — Gerencie políticas em escala
  4. Otimize a janela de renovação — Distribua renovações para evitar picos
  5. Archive dispositivos antigos — Remova dispositivos desativados

Conformidade

  1. Audite cadastros de dispositivos — Rastreie quem cadastrou qual dispositivo
  2. Documente finalidades dos dispositivos — Mantenha inventário de dispositivos
  3. Retenha logs de dispositivos — Mantenha trilha de auditoria para conformidade
  4. Atestação regular — Verificação periódica de integridade
  5. Relatórios do ciclo de vida de certificados — Gere relatórios de conformidade

Solução de Problemas

Consulte o Guia de Solução de Problemas para problemas comuns de dispositivos IoT.

Próximos Passos

  • Guia de Análises — Monitore análises de dispositivos IoT
  • CLI — Primeiros Passos — Automatize operações IoT
  • MAUI — Primeiros Passos — Cadastro em campo com o aplicativo móvel

Última Atualização: Maio de 2026 | Versão: Phase 12

Relacionados

Primeiros Passos — Interface Web

Bem-vindo à Interface Web do PKIGuardian! Este guia irá ajudá-lo a começar a usar a interface web.

Ler mais

Primeiros Passos — CLI

Bem-vindo à Interface de Linha de Comando do PKIGuardian! Este guia irá ajudá-lo a instalar e usar

Ler mais

Primeiros Passos — Aplicativo Móvel MAUI

Bem-vindo ao PKIGuardian MAUI! Este guia irá ajudá-lo a instalar e usar o aplicativo móvel para iOS

Ler mais