Migrieren von IoT Hub-Ressourcen zu einem neuen TLS-Stammzertifikat
Azure IoT Hub und IoT Hub Device Provisioning Service (DPS) verwenden vom Zertifikat „Baltimore CyberTrust Root“ ausgestellte TLS-Zertifikate. Dieses Zertifikat läuft 2025 ab. Ab Februar 2023 begannen alle IoT-Hubs in der globalen Azure-Cloud zu einem neuen TLS-Zertifikat zu migrieren, das von DigiCert Global Root G2 ausgestellt wird.
Die Auswirkungen der TLS-Zertifikatsmigration auf Ihre IoT-Hubs umfassen:
- Geräte ohne DigiCert Global Root G2 im Zertifikatspeicher können keine Verbindung mehr mit Azure herstellen.
- Die IP-Adresse des IoT-Hubs hat sich geändert.
Zeitachse
Ab dem 30. September 2024 ist die Migration für alle IoT Hub-, IoT Central- und Device Provisioning Service-Ressourcen abgeschlossen.
Erforderliche Schritte
Führen Sie im Rahmen der Migration die folgenden Schritte aus:
Fügen Sie Ihren Geräten die Zertifikate „DigiCert Global Root G2“ und „Microsoft RSA Root Certificate Authority 2017“ hinzu. Sie können alle diese Zertifikate unter Details zur Azure-Zertifizierungsstelle herunterladen.
Das DigiCert Global Root G2 stellt sicher, dass Ihre Geräte nach der Migration eine Verbindung herstellen können. Mit „Microsoft RSA Root Certificate Authority 2017“ können Sie zukünftige Unterbrechungen verhindern, falls „DigiCert Global Root G2“ unerwartet eingestellt wird.
Weitere Informationen zu den empfohlenen Zertifikatpraktiken von IoT Hub finden Sie unter TLS-Unterstützung.
Stellen Sie sicher, dass Sie keine Zwischenzertifikate oder untergeordneten Zertifikate anheften und dass Sie die öffentlichen Stammzertifikate verwenden, um die TLS-Servervalidierung durchzuführen.
IoT Hub und DPS führen gelegentlich ein Rollover ihrer Zwischenzertifizierungsstelle (ZS) durch. In diesen Fällen geht die Konnektivität Ihrer Geräte verloren, wenn diese explizit nach einer Zwischenzertifizierungsstelle oder einem untergeordneten Zertifikat suchen. Geräte, die die Validierung mithilfe der öffentlichen Stammzertifikate durchführen, stellen jedoch unabhängig von Änderungen an der Zwischenzertifizierungsstelle weiterhin eine Verbindung her.
Häufig gestellte Fragen
Meine Geräte verwenden die SAS-/X.509-/TPM-Authentifizierung. Hat sich diese Migration auf meine Geräte ausgewirkt?
Die Migration des TLS-Zertifikats hat keinen Einfluss darauf, wie Geräte von IoT Hub authentifiziert werden. Diese Migration wirkt sich darauf aus, wie Geräte die IoT Hub- und DPS-Endpunkte authentifizieren.
IoT Hub und DPS legen ihr Serverzertifikat Geräten vor, und Geräte authentifizieren dieses Zertifikat mithilfe des Stammzertifikats, um ihre Verbindung mit den Endpunkten als vertrauenswürdig einzustufen. Das neue DigiCert Global Root G2-Zertifikat muss in den vertrauenswürdigen Zertifikatspeichern von Geräten vorhanden sein, damit sie nach dieser Migration eine Überprüfung durchführen und eine Verbindung mit Azure herstellen können.
Meine Geräte verwenden die Azure IoT SDKs, um eine Verbindung herzustellen. Muss ich etwas tun, damit die SDKs mit dem neuen Zertifikat funktionieren?
Das ist unterschiedlich.
- Ja, sofern Sie den Java V1-Geräteclient verwenden. Dieser Client packt das Baltimore Cybertrust Root-Zertifikat zusammen mit dem SDK. Sie können entweder auf Java V2 aktualisieren oder Ihrem Quellcode manuell das DigiCert Global Root G2-Zertifikat hinzufügen.
- Nein, sofern Sie die anderen Azure IoT SDKs verwenden. Die meisten Azure IoT SDKs verwenden den Zertifikatspeicher des zugrunde liegenden Betriebssystems, um während des TLS-Handshakes vertrauenswürdige Stammzertifikate für die Serverauthentifizierung abzurufen.
Meine Geräte stellen eine Verbindung mit einer unabhängigen Azure-Region her. Muss ich sie trotzdem aktualisieren?
Nein. Nur die globale Azure-Cloud ist von dieser Änderung betroffen. Sovereign Clouds waren in dieser Migration nicht enthalten.
Ich verwende Azure IoT Central. Muss ich meine Geräte aktualisieren?
Ja. IoT Central verwendet sowohl IoT Hub als auch DPS im Back-End. Die TLS-Migration hat sich auf Ihre Lösung ausgewirkt, und Sie müssen Ihre Geräte aktualisieren, um die Verbindung aufrechtzuerhalten.
Wann kann ich den Baltimore Cybertrust-Stamm von meinen Geräten entfernen?
Sie können das Baltimore-Stammzertifikat entfernen, nun da alle Phasen der Migration abgeschlossen sind. Ab dem 30. September 2024 verwenden keine Azure IoT-Ressourcen das Baltimore-Stammzertifikat.
Problembehandlung
Informationen zu allgemeinen Konnektivitätsproblemen bei IoT Hub finden Sie in den folgenden Ressourcen zur Problembehandlung:
- Verbindungs- und Wiederholungsmuster bei Geräte-SDKs
- Grundlegendes und Beheben von Azure IoT Hub-Fehlern
Wenn Sie Azure Monitor nach der Migration von Zertifikaten überprüfen, sollten Sie wie im folgenden Screenshot gezeigt nach einem DeviceDisconnect-Ereignis gefolgt von einem DeviceConnect-Ereignis suchen:
Wenn Ihr Gerät getrennt wird, die Verbindung nach der Migration aber nicht wiederherstellt, führen Sie die folgenden Schritte aus:
Überprüfen Sie, ob Ihre DNS-Auflösung und die Handshake-Anforderung ohne Fehler abgeschlossen wurden.
Vergewissern Sie sich, dass auf dem Gerät sowohl das DigiCert Global Root G2-Zertifikat als auch das Baltimore-Zertifikat im Zertifikatspeicher installiert sind.
Verwenden Sie die folgende Kusto-Abfrage, um die Verbindungsaktivität für Ihre Geräte zu identifizieren. Weitere Informationen finden Sie unter Kusto Query Language (KQL) – Übersicht.
AzureDiagnostics | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS" | where Category == "Connections" | extend parsed_json = parse_json(properties_s) | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol) | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersion
Verwenden Sie die Registerkarte Metriken Ihres IoT-Hubs im Azure-Portal, um den Prozess zur Wiederherstellung der Geräteverbindung nachzuverfolgen. Im Idealfall sollte vor und nach Abschluss dieser Migration keine Änderung bei Ihren Geräten angezeigt werden. Eine Metrik, die Sie überprüfen sollten, ist Verbundene Geräte. Sie können jedoch jedes Diagramm verwenden, das Sie aktiv überwachen.