IoT Hub 리소스를 새 TLS 인증서 루트로 마이그레이션
Azure IoT Hub 및 DPS(Device Provisioning Service)는 2025년에 만료되는 Baltimore CyberTrust Root에서 발급한 TLS 인증서를 사용합니다. 2023년 2월부터 글로벌 Azure 클라우드의 모든 IoT Hub는 DigiCert Global Root G2에서 발급한 새 TLS 인증서로 마이그레이션하기 시작했습니다.
TLS 인증서 마이그레이션이 IoT Hub에 미치는 영향은 다음과 같습니다.
- 인증서 저장소에 DigiCert Global Root G2가 없는 디바이스는 더 이상 Azure에 연결할 수 없습니다.
- IoT Hub의 IP 주소가 변경되었습니다.
타임라인
2024년 9월 30일부터 모든 IoT Hub, IoT Central 및 Device Provisioning Service 리소스에 대한 마이그레이션이 완료됩니다.
필수 단계
마이그레이션의 일부로 다음 단계를 수행합니다.
디바이스에 DigiCert Global Root G2 및 Microsoft RSA Root Certificate Authority 2017 인증서를 추가합니다. Azure 인증 기관 세부 정보에서 이러한 인증서를 모두 다운로드할 수 있습니다.
DigiCert 글로벌 루트 G2는 마이그레이션 후에 디바이스가 연결할 수 있도록 합니다. Microsoft RSA Root Certificate Authority 2017은 DigiCert Global Root G2가 예기치 않게 사용 중지되는 경우 향후 중단을 방지하는 데 도움이 됩니다.
IoT Hub의 권장 인증서 사례에 대한 자세한 내용은 TLS 지원참조하세요.
중간 또는 리프 인증서를 고정하지 않고 공용 루트를 사용하여 TLS 서버 유효성 검사를 수행하는지 확인합니다.
IoT Hub 및 DPS는 때때로 중간 CA(인증 기관)를 롤오버합니다. 이러한 경우 디바이스는 중간 CA 또는 리프 인증서를 명시적으로 찾으면 연결이 끊어집니다. 그러나 공용 루트를 사용하여 유효성 검사를 수행하는 디바이스는 중간 CA에 대한 변경 사항에 관계없이 계속 연결됩니다.
자주 묻는 질문
내 디바이스는 SAS/X.509/TPM 인증을 사용합니다. 이 마이그레이션이 내 디바이스에 영향을 주나요?
TLS 인증서를 마이그레이션해도 IoT Hub에서 디바이스를 인증하는 방법에는 영향을 주지 않습니다. 이 마이그레이션은 디바이스가 IoT Hub 및 DPS 엔드포인트를 인증하는 방법에 영향을 줍니다.
IoT Hub 및 DPS는 디바이스에 서버 인증서를 제공하고 디바이스는 엔드포인트에 대한 연결을 신뢰하기 위해 루트에 대해 해당 인증서를 인증합니다. 디바이스는 이 마이그레이션 후에 Azure를 확인하고 연결할 수 있도록 신뢰할 수 있는 인증서 저장소에 새 DigiCert Global Root G2가 있어야 합니다.
내 디바이스는 Azure IoT SDK를 사용하여 연결합니다. SDK가 새 인증서로 계속 작동하도록 해야 하나요?
경우에 따라 다릅니다.
- 예, Java V1 디바이스 클라이언트를 사용하는 경우입니다. 이 클라이언트는 SDK와 함께 Baltimore Cybertrust Root 인증서를 패키지합니다. Java V2로 업데이트하거나 DigiCert Global Root G2 인증서를 소스 코드에 수동으로 추가할 수 있습니다.
- 아니요, 다른 Azure IoT SDK를 사용하는 경우입니다. 대부분의 Azure IoT SDK는 TLS 핸드셰이크 중에 서버 인증을 위해 신뢰할 수 있는 루트를 검색하기 위해 기본 운영 체제의 인증서 저장소를 사용합니다.
내 디바이스는 소버린 Azure 지역에 연결됩니다. 그래도 업데이트해야 하나요?
아니요, 글로벌 Azure 클라우드 만 이 변경의 영향을 받습니다. 소버린 클라우드는 이 마이그레이션에 포함되지 않았습니다.
IoT Central을 사용합니다. 내 디바이스를 업데이트해야 하나요?
예, IoT Central은 백 엔드에서 IoT Hub와 DPS를 모두 사용합니다. TLS 마이그레이션은 솔루션에 영향을 미쳤으며 연결을 유지하려면 디바이스를 업데이트해야 합니다.
언제 내 디바이스에서 Baltimore Cybertrust Root를 제거할 수 있나요?
이제 마이그레이션의 모든 단계가 완료되었으므로 Baltimore 루트 인증서를 제거할 수 있습니다. 2024년 9월 30일부터 Azure IoT 리소스는 Baltimore 루트 인증서를 사용하지 않습니다.
문제 해결
IoT Hub에 일반적인 연결 문제가 발생하는 경우 다음 문제 해결 리소스를 확인하세요.
인증서를 마이그레이션한 후 Azure Monitor를 관찰하는 경우 다음 스크린샷과 같이 DeviceDisconnect 이벤트와 DeviceConnect 이벤트를 찾아야 합니다.
디바이스 연결이 끊어졌지만 마이그레이션 후 다시 연결되지 않는 경우 다음 단계를 시도합니다.
DNS 확인 및 핸드셰이크 요청이 오류 없이 완료되었는지 확인합니다.
디바이스에 DigiCert Global Root G2 인증서와 Baltimore 인증서가 모두 인증서 저장소에 설치되어 있는지 확인합니다.
다음 Kusto 쿼리를 사용하여 디바이스에 대한 연결 작업을 식별합니다. 자세한 내용은 KQL(Kusto 쿼리 언어) 개요를 참조하세요.
AzureDiagnostics | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS" | where Category == "Connections" | extend parsed_json = parse_json(properties_s) | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol) | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersionAzure Portal IoT 허브의 메트릭 탭을 사용하여 디바이스 다시 연결 프로세스를 추적합니다. 이 마이그레이션을 완료하기 전과 후에 디바이스에 변경 내용이 표시되지 않는 것이 가장 좋습니다. 한 가지 권장되는 메트릭은 연결된 디바이스이지만 적극적으로 모니터링하는 차트를 사용할 수 있습니다.