Migración de recursos IoT Hub a un nuevo certificado raíz TLS
Azure IoT Hub y Device Provisioning Service (DPS) usan certificados TLS que emite Baltimore CyberTrust Root, que expira en 2025. A partir de febrero de 2023, todos los centros de IoT de la nube global de Azure comenzaron a migrar a un nuevo certificado TLS que emite DigiCert Global Root G2.
Los efectos de la migración de certificados TLS en los centros de IoT incluyen:
- Cualquier dispositivo que no tenga DigiCert Global Root G2 en su almacén de certificados ya no podrá conectarse a Azure.
- La dirección IP del centro de IoT ha cambiado.
Escala de tiempo
A partir del 30 de septiembre de 2024, la migración se completó para todos los recursos de IoT Hub, IoT Central y Device Provisioning Service.
Pasos necesarios
Como parte de la migración, siga estos pasos:
Agregue los certificados DigiCert Global Root G2 y Microsoft RSA Root Certificate Authority 2017 a los dispositivos. Puede descargar todos estos certificados en los detalles de la entidad de certificación de Azure.
DigiCert Global Root G2 garantiza que los dispositivos se puedan conectar después de la migración. La entidad de certificación raíz de Microsoft RSA 2017 ayuda a evitar interrupciones futuras en caso de que DigiCert Global Root G2 se retire inesperadamente.
Para obtener más información sobre los procedimientos de certificados recomendados de IoT Hub, consulte Compatibilidad con TLS.
Asegúrese de que no ancla ningún certificado intermedio o de hoja y de que usa las raíces públicas para realizar la validación del servidor TLS.
IoT Hub y DPS de vez en cuando se acumulan sobre su entidad de certificación intermedia (CA). En estos casos, los dispositivos perderán la conectividad si buscan explícitamente una CA intermedia o un certificado de hoja. Pero los dispositivos que realizan la validación mediante las raíces públicas seguirán conectándose, independientemente de los cambios realizados en la CA intermedia.
Preguntas más frecuentes
Mis dispositivos usan la autenticación SAS/X.509/TPM. ¿Afecta esta migración a mis dispositivos?
La migración del certificado TLS no afecta a la forma en que IoT Hub autentica los dispositivos. Esta migración afecta a cómo los dispositivos autentican los puntos de conexión de IoT Hub y DPS.
IoT Hub y DPS presentan su certificado de servidor a los dispositivos y estos autentican ese certificado en la raíz para confiar su conexión a los puntos de conexión. Los dispositivos deben tener el nuevo certificado DigiCert Global Root G2 en sus almacenes de certificados de confianza para poder comprobar y conectarse a Azure después de esta migración.
Mis dispositivos usan los SDK de Azure IoT para conectarse. ¿Hay que hacer algo para que los SDK sigan funcionando con el nuevo certificado?
Depende.
- Sí, si usa el cliente de dispositivo Java V1. Este cliente empaqueta el certificado Baltimore Cybertrust Root junto con el SDK. Puede actualizar a Java V2 o agregar manualmente el certificado DigiCert Global Root G2 al código fuente.
- No, si usa los otros SDK de Azure IoT. La mayoría de los SDK de Azure IoT dependen del almacén de certificados del sistema operativo subyacente a fin de recuperar raíces de confianza para la autenticación del servidor durante el protocolo de enlace de TLS.
Mis dispositivos se conectan a una región soberana de Azure. ¿Todavía necesito actualizarlos?
No, este cambio solo afecta a la nube global de Azure. Las nubes soberanas no están incluidas en esta migración.
Uso IoT Central. ¿Es necesario actualizar mis dispositivos?
Sí, IoT Central usa IoT Hub y DPS en el back-end. La migración de TLS ha afectado a su solución y debe actualizar los dispositivos para mantener la conexión.
¿Cuándo puedo quitar el certificado Baltimore Cybertrust Root de mis dispositivos?
Puede quitar el certificado raíz de Baltimore ahora que se han completado todas las etapas de la migración. Desde el 30 de septiembre de 2024, ningún recurso de Azure IoT usa el certificado raíz de Baltimore.
Solución de problemas
Si tiene problemas generales de conectividad con IoT Hub, consulte estos recursos de solución de problemas:
- Patrones de conexión y reintento con SDK de dispositivo.
- Descripción y resolución de códigos de errores de Azure IoT Hub.
Si está viendo Azure Monitor después de migrar certificados, debe buscar un evento DeviceDisconnect seguido de otro DeviceConnect, tal como se muestra en la captura de pantalla siguiente:
Si el dispositivo se desconecta y no se vuelve a conectar después de la migración, pruebe los pasos siguientes:
Comprobar que la resolución DNS y la solicitud de protocolo de enlace se hayan completado sin errores.
Comprobar que el dispositivo tiene los certificados DigiCert Global Root G2 y Baltimore instalados en el almacén de certificados.
Usar la siguiente consulta de Kusto para identificar la actividad de conexión de los dispositivos. Para obtener más información, vea Información general del Lenguaje de consulta Kusto (KQL).
AzureDiagnostics | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS" | where Category == "Connections" | extend parsed_json = parse_json(properties_s) | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol) | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersionUse la pestaña Métricas del centro de IoT en Azure Portal para realizar un seguimiento del proceso de reconexión del dispositivo. Lo ideal es que no vea ningún cambio en los dispositivos antes y después de completar esta migración. Una métrica recomendada para ver es Connected Devices (Dispositivos conectados), pero puede usar cualquier gráfico que supervise activamente.