Sdílet prostřednictvím

Migrace prostředků služby IoT Hub na nový kořenový certifikát TLS

  • Článek

Služby Azure IoT Hub a Device Provisioning Service (DPS) využívají certifikáty TLS vystavené certifikační autoritou Baltimore CyberTrust Root, jejichž platnost vyprší v roce 2025. Od února 2023 začaly všechny centra IoT v globálním cloudu Azure migrovat na nový certifikát TLS vydaný globálním kořenovým adresářem DigiCert G2.

Mezi účinky migrace certifikátů TLS do vašich center IoT patří:

  • Jakékoli zařízení, které nemá v úložišti certifikátů globálního kořenového adresáře DigiCert G2, se už nemůže připojit k Azure.
  • IP adresa centra IoT se změnila.

Časová osa

Od 30. září 2024 se migrace dokončí pro všechny prostředky služby IoT Hub, IoT Central a Device Provisioning Service.

Požadované kroky

V rámci migrace proveďte následující kroky:

  1. Přidejte do zařízení certifikáty DigiCert Global Root G2 a Microsoft RSA Root Certificate Authority 2017. Všechny tyto certifikáty si můžete stáhnout z podrobností certifikační autority Azure.

    Globální kořenový adresář DigiCert G2 zajišťuje, že se vaše zařízení po migraci budou moct připojit. Microsoft RSA Root Certificate Authority 2017 pomáhá zabránit budoucím přerušením v případě neočekávaně vyřazeného globálního kořenového adresáře DigiCert G2.

    Další informace o doporučených postupech certifikátů služby IoT Hub najdete v tématu Podpora protokolu TLS.

  2. Ujistěte se, že připnete žádné zprostředkující nebo listové certifikáty a že k ověření serveru TLS používáte veřejné kořeny.

    IoT Hub a DPS občas převádějí zprostředkující certifikační autoritu (CA). V těchto případech vaše zařízení ztratí připojení, pokud explicitně hledají zprostředkující certifikační autoritu nebo listový certifikát. Zařízení, která provádí ověření pomocí veřejných kořenových certifikátů, se ale budou dál připojovat bez ohledu na všechny změny zprostředkující certifikační autority.

Nejčastější dotazy

Moje zařízení používají ověřování SAS/X.509/TPM. Ovlivnila tato migrace moje zařízení?

Migrace certifikátu TLS nemá vliv na způsob ověřování zařízení službou IoT Hub. Tato migrace má vliv na to, jak zařízení ověřují koncové body IoT Hubu a DPS.

IoT Hub a DPS prezentují certifikát serveru zařízením a zařízení tento certifikát ověřují vůči kořenovému adresáři, aby důvěřovaly připojení ke koncovým bodům. Zařízení musí mít v úložištích důvěryhodných certifikátů nový globální kořenový adresář DigiCert G2, aby bylo možné po této migraci ověřit a připojit se k Azure.

Moje zařízení k připojení používají sady SDK Azure IoT. Musím udělat něco, aby sady SDK fungovaly s novým certifikátem?

To záleží na okolnostech.

  • Ano, pokud používáte klienta zařízení Java V1. Tento klient zabalí certifikát Baltimore Cybertrust Root spolu se sadou SDK. Můžete buď aktualizovat na Javu V2, nebo ručně přidat globální kořenový certifikát DigiCert G2 do zdrojového kódu.
  • Ne, pokud používáte jiné sady SDK Azure IoT. Většina sad SDK Azure IoT spoléhá na úložiště certifikátů základního operačního systému k načtení důvěryhodných kořenových certifikátů pro ověřování serveru během metody handshake protokolu TLS.

Moje zařízení se připojují k suverénní oblasti Azure. Musím je pořád aktualizovat?

Ne, tato změna ovlivní jenom globální cloud Azure. V této migraci nebyly zahrnuty suverénní cloudy.

Používám IoT Central. Musím aktualizovat svoje zařízení?

Ano, IoT Central používá IoT Hub i DPS v back-endu. Migrace protokolu TLS ovlivnila vaše řešení a potřebujete aktualizovat zařízení, aby se zachovalo připojení.

Kdy můžu ze svých zařízení odebrat kořenový adresář Baltimore Cybertrust?

Kořenový certifikát Baltimore teď můžete odebrat, když jsou všechny fáze migrace dokončené. Od 30. září 2024 žádné prostředky Azure IoT nepoužívají kořenový certifikát Baltimore.

Odstraňování potíží

Pokud máte obecné problémy s připojením ke službě IoT Hub, projděte si tyto zdroje informací o řešení potíží:

Pokud sledujete Azure Monitor po migraci certifikátů, měli byste vyhledat událost DeviceDisconnect následovanou událostí DeviceConnect, jak je znázorněno na následujícím snímku obrazovky:

Snímek obrazovky s protokoly Služby Azure Monitor zobrazující události DeviceDisconnect a DeviceConnect

Pokud se zařízení po migraci odpojí, ale po migraci se znovu nepřipojí, zkuste následující kroky:

  • Zkontrolujte, jestli se váš požadavek na překlad DNS a požadavek handshake dokončil bez jakýchkoli chyb.

  • Ověřte, že má zařízení nainstalovaný certifikát DigiCert Global Root G2 i certifikát Baltimore v úložišti certifikátů.

  • Pomocí následujícího dotazu Kusto identifikujte aktivitu připojení pro vaše zařízení. Další informace najdete v přehledu dotazovací jazyk Kusto (KQL).

    AzureDiagnostics
| where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS"
| where Category == "Connections"
| extend parsed_json = parse_json(properties_s)
| extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol)
| distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersion

  • Pomocí karty Metriky centra IoT na webu Azure Portal můžete sledovat proces opětovného připojení zařízení. V ideálním případě byste neměli v zařízeních před dokončením této migrace a po dokončení této migrace vidět žádné změny. Jednou z doporučených metrik pro sledování je Připojená zařízení, ale můžete použít grafy, které aktivně monitorujete.