Migrer les ressources IoT Hub vers une nouvelle racine de certificat TLS
Azure IoT Hub et le service DPS (Device Provisioning Service) utilisent des certificats TLS émis par le certificat Baltimore CyberTrust Root, qui expire en 2025. À partir de février 2023, tous les hubs IoT dans le cloud Azure mondial ont commencé à migrer vers un nouveau certificat TLS émis par DigiCert Global Root G2.
Les effets de la migration du certificat TLS sur vos hubs IoT sont les suivants :
- Tout appareil qui ne dispose pas du certificat DigiCert Global Root G2 dans son magasin de certificats ne peut plus se connecter à Azure.
- L’adresse IP du hub IoT a changé.
Durée
Depuis le 30 septembre 2024, la migration est terminée pour toutes les ressources des services IoT Hub, IoT Central et Device Provisioning.
Étapes requises
Dans le cadre de la migration, effectuez les étapes suivantes :
Ajoutez les certificats DigiCert Global Root G2 et Microsoft RSA Root Certificate Authority 2017 sur vos appareils. Vous pouvez télécharger tous ces certificats à partir de la page de détails de l’autorité de certification Azure.
Le certificat DigiCert Global Root G2 garantit que vos appareils peuvent se connecter après la migration. Le certificat Microsoft RSA Root Certificate Authority 2017 permet d’éviter les interruptions futures en cas de mise hors service non planifiée du DigiCert Global Root G2.
Pour plus d’informations sur les pratiques de certification recommandées par IoT Hub, consultez Prise en charge de TLS.
Assurez-vous que vous n’épinglez pas de certificats intermédiaires ou feuilles et que vous utilisez les racines publiques pour effectuer la validation du serveur TLS.
IoT Hub et DPS remplacent occasionnellement leur autorité de certification intermédiaire. Dans ces cas, vos appareils perdront la connectivité s’ils recherchent explicitement une autorité de certification ou un certificat feuille intermédiaire. Toutefois, les appareils qui effectuent la validation à l’aide des racines publiques continueront de se connecter, quelles que soient les modifications apportées à l’autorité de certification intermédiaire.
Forum aux questions
Mes appareils utilisent l’authentification SAS/X.509/TPM. Cette migration a-t-elle affecté mes appareils ?
La migration du certificat TLS n’affecte pas la façon dont les appareils sont authentifiés par IoT Hub. Cette migration affecte la façon dont les appareils authentifient les points de terminaison IoT Hub et DPS.
IoT Hub et DPS présentent leur certificat de serveur aux appareils, et les appareils l’authentifient par rapport à la racine afin d’approuver leur connexion aux points de terminaison. Les appareils doivent disposer du nouveau certificat DigiCert Global Root G2 dans leurs magasins de certificats approuvés pour pouvoir être vérifiés et se connecter à Azure après cette migration.
Mes appareils utilisent les kits de développement logiciel (SDK) Azure IoT pour se connecter. Dois-je faire quelque chose pour que les kits de développement logiciel (SDK) continuent à fonctionner avec le nouveau certificat ?
Cela dépend.
- Oui, si vous utilisez l’appareil Java V1 client. Ce client crée un package pour le certificat Baltimore Cybertrust Root et le kit de développement logiciel (SDK). Vous pouvez effectuer une mise à jour vers Java V2 ou ajouter manuellement le certificat DigiCert Global Root G2 à votre code source.
- Non, si vous utilisez les autres kits de développement logiciel (SDK) Azure IoT. La plupart des Kits de développement logiciel (SDK) Azure IoT s’appuient sur le magasin de certificats du système d’exploitation sous-jacent pour récupérer des racines approuvées pour l’authentification du serveur pendant l’établissement d’une liaison TLS.
Mes appareils se connectent à une région Azure souveraine. Dois-je quand même les mettre à jour ?
Non, seul le cloud Azure global est affecté par cette modification. Les clouds souverains n’étaient pas inclus dans cette migration.
J’utilise IoT Central. Dois-je mettre à jour mes appareils ?
Oui, IoT Central utilise à la fois IoT Hub et DPS dans le back-end. La migration TLS a affecté votre solution et vous devez mettre à jour vos appareils pour maintenir la connexion.
Quand puis-je supprimer le certificat Baltimore Cybertrust Root de mes appareils ?
Vous pouvez supprimer le certificat racine Baltimore maintenant que toutes les étapes de la migration sont terminées. Depuis le 30 septembre 2024, aucune ressource Azure IoT n’utilise le certificat racine Baltimore.
Résolution des problèmes
Si vous rencontrez des problèmes de connectivité généraux avec IoT Hub, consultez ces ressources de résolution des problèmes suivantes :
- Modèles de connexion et de nouvelle tentative avec les Kits de développement logiciel (SDK) d’appareil.
- Comprendre et résoudre les codes d’erreur Azure IoT Hub.
Si vous regardez Azure Monitor après la migration de certificats, vous devez rechercher un événement DeviceDisconnect suivi d’un événement DeviceConnect, comme illustré dans la capture d’écran suivante :
Si votre appareil se déconnecte, mais ne se reconnecte pas après la migration, essayez les étapes suivantes :
Vérifiez que votre résolution DNS et votre requête d’établissement de liaison se sont terminées sans erreur.
Vérifiez que le certificat DigiCert Global Root G2 et le certificat Baltimore sont installés sur l’appareil dans le magasin de certificats.
Utilisez la requête Kusto suivante pour identifier l’activité de connexion pour vos appareils. Pour en savoir plus, consultez Vue d’ensemble du langage de requête Kusto (KQL).
AzureDiagnostics | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS" | where Category == "Connections" | extend parsed_json = parse_json(properties_s) | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol) | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersionUtilisez l’onglet Métriques de votre hub IoT dans le Portail Azure pour suivre le processus de reconnexion de l’appareil. Dans l’idéal, vous ne devriez voir aucun changement dans vos appareils avant et après avoir effectué cette migration. L’une des métriques recommandées à surveiller est Appareils connectés, mais vous pouvez utiliser les graphiques que vous surveillez activement.