Migrera IoT Hub-resurser till en ny TLS-certifikatrot

Azure IoT Hub och Device Provisioning Service (DPS) använder TLS-certifikat som utfärdats av Baltimore CyberTrust Root, som upphör att gälla 2025. Från och med februari 2023 började alla IoT-hubbar i det globala Azure-molnet migrera till ett nytt TLS-certifikat utfärdat av DigiCert Global Root G2.

Effekterna av TLS-certifikatmigreringen på dina IoT-hubbar är:

• Alla enheter som inte har DigiCert Global Root G2 i certifikatarkivet kan inte längre ansluta till Azure.
• IP-adressen för IoT-hubben har ändrats.

Tidslinje

Från och med den 30 september 2024 är migreringen klar för alla IoT Hub-, IoT Central- och Device Provisioning Service-resurser.

Nödvändiga steg

Som en del av migreringen utför du följande steg:

1. Lägg till DigiCert Global Root G2 och Microsoft RSA Root Certificate Authority 2017-certifikaten på dina enheter. Du kan ladda ned alla dessa certifikat från azure-certifikatutfärdarinformationen.

   DigiCert Global Root G2 säkerställer att dina enheter kan ansluta efter migreringen. Microsoft RSA Root Certificate Authority 2017 hjälper till att förhindra framtida störningar om DigiCert Global Root G2 oväntat dras tillbaka.

   Mer information om IoT Hubs rekommenderade certifikatmetoder finns i TLS-stöd.

2. Kontrollera att du inte fäster några mellanliggande certifikat eller lövcertifikat och använder offentliga rötter för att utföra TLS-servervalidering.

   IoT Hub och DPS växlar ibland över sin mellanliggande certifikatutfärdare (CA). I dessa fall förlorar enheterna anslutningen om de uttryckligen letar efter en mellanliggande certifikatutfärdare eller lövcertifikat. Enheter som utför validering med hjälp av offentliga rötter fortsätter dock att ansluta oavsett ändringar i den mellanliggande certifikatutfärdarcertifikatutfärdarna.

Vanliga frågor och svar

Mina enheter använder SAS/X.509/TPM-autentisering. Påverkade migreringen mina enheter?

Migrering av TLS-certifikatet påverkar inte hur enheter autentiseras av IoT Hub. Den här migreringen påverkar hur enheter autentiserar IoT Hub- och DPS-slutpunkterna.

IoT Hub och DPS presenterar sitt servercertifikat för enheter och enheter autentiserar certifikatet mot roten för att kunna lita på anslutningen till slutpunkterna. Enheter måste ha den nya DigiCert Global Root G2 i sina betrodda certifikatarkiv för att kunna verifiera och ansluta till Azure efter den här migreringen.

Mina enheter använder Azure IoT SDK:er för att ansluta. Måste jag göra något för att SDK:erna ska fungera med det nya certifikatet?

Det beror på.

• Ja, om du använder Java V1-enhetsklienten. Den här klienten paketar Baltimore Cybertrust Root-certifikatet tillsammans med SDK:et. Du kan antingen uppdatera till Java V2 eller lägga till DigiCert Global Root G2-certifikatet manuellt i källkoden.
• Nej, om du använder de andra Azure IoT SDK:erna. De flesta Azure IoT SDK:er förlitar sig på det underliggande operativsystemets certifikatarkiv för att hämta betrodda rötter för serverautentisering under TLS-handskakningen.

Mina enheter ansluter till en nationell Azure-region. Behöver jag fortfarande uppdatera dem?

Nej, endast det globala Azure-molnet påverkas av den här ändringen. Nationella moln ingick inte i den här migreringen.

Jag använder IoT Central. Behöver jag uppdatera mina enheter?

Ja, IoT Central använder både IoT Hub och DPS i serverdelen. TLS-migreringen påverkade din lösning och du måste uppdatera dina enheter för att upprätthålla anslutningen.

När kan jag ta bort Baltimore Cybertrust Root från mina enheter?

Du kan ta bort Baltimore-rotcertifikatet nu när alla faser av migreringen är slutförda. Från och med den 30 september 2024 använder inga Azure IoT-resurser Baltimore-rotcertifikatet.

Felsöka

Om du har allmänna anslutningsproblem med IoT Hub kan du läsa följande felsökningsresurser:

• Anslutnings- och återförsöksmönster med enhets-SDK:er.
• Förstå och lösa felkoder för Azure IoT Hub.

Om du tittar på Azure Monitor efter att ha migrerat certifikat bör du leta efter en DeviceDisconnect-händelse följt av en DeviceConnect-händelse, vilket visas i följande skärmbild:

Om enheten kopplas från men inte återansluts efter migreringen kan du prova följande steg:

• Kontrollera att dns-matchningen och handskakningsbegäran har slutförts utan fel.

• Kontrollera att enheten har både DigiCert Global Root G2-certifikatet och Baltimore-certifikatet installerat i certifikatarkivet.

• Använd följande Kusto-fråga för att identifiera anslutningsaktivitet för dina enheter. Mer information finns i översikten över Kusto-frågespråk (KQL).

  AzureDiagnostics
  | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS"
  | where Category == "Connections"
  | extend parsed_json = parse_json(properties_s)
  | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol)
  | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersion
  

• Använd fliken Mått i din IoT-hubb i Azure Portal för att spåra enhetens återanslutningsprocess. Helst bör du inte se någon ändring i dina enheter före och efter att du har slutfört migreringen. Ett rekommenderat mått att titta på är Anslutna enheter, men du kan använda de diagram som du aktivt övervakar.