IoT Hub-resources migreren naar een nieuwe TLS-certificaathoofdmap
Azure IoT Hub en Device Provisioning Service (DPS; apparaatinrichtingsservice) gebruiken TLS-certificaten die zijn uitgegeven door Baltimore CyberTrust Root, wat in 2025 verloopt. Vanaf februari 2023 zijn alle IoT-hubs in de wereldwijde Azure-cloud begonnen met de migratie naar een nieuw TLS-certificaat dat is uitgegeven door de Global Root G2 van DigiCert.
De effecten van de tls-certificaatmigratie op uw IoT-hubs zijn onder andere:
- Elk apparaat dat niet beschikt over de DigiCert Global Root G2 in het certificaatarchief, kan geen verbinding meer maken met Azure.
- Het IP-adres van de IoT-hub is gewijzigd.
Tijdlijn
Vanaf 30 september 2024 is de migratie voltooid voor alle IoT Hub-, IoT Central- en Device Provisioning Service-resources.
Vereiste stappen
Voer de volgende stappen uit als onderdeel van de migratie:
Voeg de Algemene Basis-G2 van DigiCert en de Microsoft RSA-basiscertificaatautoriteit 2017-certificaten toe aan uw apparaten. U kunt al deze certificaten downloaden van de azure-certificeringsinstantiegegevens.
De Global Root G2 van DigiCert zorgt ervoor dat uw apparaten na de migratie verbinding kunnen maken. De Microsoft RSA Root Certificate Authority 2017 helpt toekomstige onderbrekingen te voorkomen als de Global Root G2 van DigiCert onverwacht buiten gebruik wordt gesteld.
Zie TLS-ondersteuning voor meer informatie over de aanbevolen certificaatprocedures van IoT Hub.
Zorg ervoor dat u geen tussenliggende of bladcertificaten vastzet en gebruik de openbare hoofdmappen om TLS-servervalidatie uit te voeren.
IoT Hub en DPS rollen af en toe over hun tussenliggende certificeringsinstantie (CA). In deze gevallen gaan uw apparaten geen verbinding meer als ze expliciet zoeken naar een tussenliggende CA of een certificaat met een leaf-certificaat. Apparaten die validatie uitvoeren met behulp van de openbare roots, blijven echter verbinding maken, ongeacht eventuele wijzigingen in de tussenliggende CA.
Veelgestelde vragen
Mijn apparaten maken gebruik van SAS/X.509/TPM-verificatie. Heeft deze migratie invloed op mijn apparaten?
Het migreren van het TLS-certificaat heeft geen invloed op de wijze waarop apparaten worden geverifieerd door IoT Hub. Deze migratie heeft wel invloed op de wijze waarop apparaten de IoT Hub- en DPS-eindpunten verifiëren.
IoT Hub en DPS presenteren hun servercertificaat aan apparaten en apparaten verifiëren dat certificaat aan de basis om hun verbinding met de eindpunten te vertrouwen. Apparaten moeten beschikken over de nieuwe DigiCert Global Root G2 in hun vertrouwde certificaatarchieven om na deze migratie te kunnen verifiëren en verbinding te kunnen maken met Azure.
Mijn apparaten gebruiken de Azure IoT SDK's om verbinding te maken. Moet ik iets doen om de SDK's te laten werken met het nieuwe certificaat?
Dat hangt ervan af.
- Ja, als u de Java V1-apparaatclient gebruikt. Deze client verpakt het Baltimore Cybertrust Root-certificaat samen met de SDK. U kunt een update uitvoeren naar Java V2 of het DigiCert Global Root G2-certificaat handmatig toevoegen aan uw broncode.
- Nee, als u de andere Azure IoT SDK's gebruikt. De meeste Azure IoT SDK's zijn afhankelijk van het certificaatarchief van het onderliggende besturingssysteem om vertrouwde basisbeginselen voor serververificatie op te halen tijdens de TLS-handshake.
Mijn apparaten maken verbinding met een onafhankelijke Azure-regio. Moet ik ze nog bijwerken?
Nee, alleen de globale Azure-cloud wordt beïnvloed door deze wijziging. Soevereine clouds zijn niet opgenomen in deze migratie.
Ik gebruik IoT Central. Moet ik mijn apparaten bijwerken?
Ja, IoT Central gebruikt zowel IoT Hub als DPS in de back-end. De TLS-migratie heeft invloed op uw oplossing en u moet uw apparaten bijwerken om de verbinding te onderhouden.
Wanneer kan ik de Baltimore Cybertrust Root van mijn apparaten verwijderen?
U kunt het Baltimore-basiscertificaat verwijderen nu alle fasen van de migratie zijn voltooid. Vanaf 30 september 2024 gebruiken geen Azure IoT-resources het Baltimore-basiscertificaat.
Problemen oplossen
Als u algemene verbindingsproblemen ondervindt met IoT Hub, bekijkt u deze bronnen voor probleemoplossing:
- Verbindings- en nieuwe patronen met apparaat-SDK's.
- Azure IoT Hub-foutcodes begrijpen en oplossen.
Als u Azure Monitor bekijkt na het migreren van certificaten, moet u zoeken naar een DeviceDisconnect-gebeurtenis gevolgd door een DeviceConnect-gebeurtenis, zoals wordt weergegeven in de volgende schermopname:
Als de verbinding met uw apparaat wordt verbroken, maar niet opnieuw verbinding maakt na de migratie, voert u de volgende stappen uit:
Controleer of uw DNS-resolutie en handshake-aanvraag zonder fouten zijn voltooid.
Controleer of het apparaat zowel het DigiCert Global Root G2-certificaat als het Baltimore-certificaat in het certificaatarchief heeft geïnstalleerd.
Gebruik de volgende Kusto-query om de verbindingsactiviteit voor uw apparaten te identificeren. Zie het overzicht van Kusto-querytaal (KQL) voor meer informatie.
AzureDiagnostics | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS" | where Category == "Connections" | extend parsed_json = parse_json(properties_s) | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol) | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersionGebruik het tabblad Metrische gegevens van uw IoT-hub in Azure Portal om het proces voor opnieuw verbinden van het apparaat bij te houden. In het ideale geval ziet u geen wijzigingen in uw apparaten voor en nadat u deze migratie hebt voltooid. Een aanbevolen metrische waarde om te bekijken is Verbonden apparaten, maar u kunt alle grafieken gebruiken die u actief bewaakt.