Migrace prostředků služby IoT Hub na nový kořenový certifikát TLS

Služby Azure IoT Hub a Device Provisioning Service (DPS) využívají certifikáty TLS vystavené certifikační autoritou Baltimore CyberTrust Root, jejichž platnost vyprší v roce 2025. Od února 2023 se budou všechna centra IoT v globálním cloudu Azure migrovat na nové certifikáty TLS vystavené certifikační autoritou DigiCert Global Root G2.

Měli byste začít plánovat účinky migrace center IoT na nový certifikát TLS:

  • Jakékoli zařízení, které nemá v úložišti certifikátů globální kořen DigiCert G2, se nebude moct připojit k Azure.
  • IP adresa centra IoT se změní.

Časová osa

Migrace služby IoT Hub je hotová s výjimkou center, která už byla schválena pro rozšíření. Pokud zjistíte, že vaše centrum IoT používá certifikát Baltimore bez smlouvy s produktovým týmem, vaše centrum se migruje bez dalšího upozornění.

Po migraci všech ioT Hubů služba DPS provede migraci mezi 15. lednem a 30. zářím 2024.

Pro každé centrum IoT se smlouvou o rozšíření můžete očekávat následující:

  • Jeden až dva týdny před migrací: Vlastníci předplatného každého centra IoT obdrží e-mailové oznámení, které je informuje o datu migrace. Toto oznámení se nevztahuje na centra, která se ručně migrují.
  • Den migrace: Centrum IoT přepne svůj certifikát TLS do globálního kořenového adresáře DigiCert G2, což vede k žádnému výpadku centra IoT. IoT Hub nevynucuje opětovné připojení zařízení.
  • Následující migrace: Vlastníci předplatného obdrží oznámení, že se centrum IoT migrovalo. Zařízení se pokusí znovu připojit na základě vlastní logiky opakování, v jakém okamžiku si vyžádají a obdrží nový certifikát serveru ze služby IoT Hub a znovu se připojují pouze v případě, že důvěřují globálnímu kořenovému adresáři Digicert G2.

Požádat o prodloužení

Od srpna 2023 se proces žádosti o rozšíření pro IoT Hub a IoT Central zavře. Pokud zjistíte, že vaše centrum IoT používá certifikát Baltimore bez smlouvy o rozšíření zavedené s produktovým týmem, bude vaše centrum migrováno bez dalšího upozornění.

Požadované kroky

Pokud se chcete připravit na migraci, proveďte následující kroky:

  1. Uchovávejte root Baltimore CyberTrust v důvěryhodném kořenovém úložišti vašich zařízení. Přidejte do zařízení certifikáty DigiCert Global Root G2 a Microsoft RSA Root Certificate Authority 2017. Všechny tyto certifikáty si můžete stáhnout z podrobností certifikační autority Azure.

    Je důležité mít na zařízeních všechny tři certifikáty, dokud se nedokončí migrace IoT Hubu a DPS. Udržování kořenového adresáře Baltimore CyberTrust zajišťuje, že vaše zařízení zůstanou připojená, dokud nedojde k migraci, a přidáním globálního kořenového adresáře DigiCert G2 zajistíte, že se vaše zařízení po migraci hladce přepne a znovu připojí. Microsoft RSA Root Certificate Authority 2017 pomáhá zabránit budoucím přerušením v případě neočekávaně vyřazeného globálního kořenového adresáře DigiCert G2.

    Další informace o doporučených postupech certifikátů služby IoT Hub najdete v tématu Podpora protokolu TLS.

  2. Ujistěte se, že připnete žádné zprostředkující nebo listové certifikáty a že k ověření serveru TLS používáte veřejné kořeny.

    IoT Hub a DPS občas převádějí zprostředkující certifikační autoritu (CA). V těchto případech vaše zařízení ztratí připojení, pokud explicitně hledají zprostředkující certifikační autoritu nebo listový certifikát. Zařízení, která provádí ověření pomocí veřejných kořenových certifikátů, se ale budou dál připojovat bez ohledu na všechny změny zprostředkující certifikační autority.

Další informace o tom, jak otestovat, jestli jsou vaše zařízení připravená na migraci certifikátů TLS, najdete v blogovém příspěvku Azure IoT TLS: Kritické změny jsou téměř tady.

Kontrola stavu migrace centra IoT

Pokud chcete zjistit, jestli se centrum IoT migrovalo nebo ne, zkontrolujte aktivní kořen certifikátu pro centrum.

  1. Na webu Azure Portal přejděte do svého centra IoT.

  2. V části Automatizace v navigační nabídce vyberte Exportovat šablonu.

  3. Počkejte, až se šablona vygeneruje, a pak v šabloně JSON přejděte na vlastnost resources.properties.features . Pokud je rootCertificateV2 uveden jako funkce, vaše centrum se migrovalo na DigiCert Global G2.

Nejčastější dotazy

Moje zařízení používají ověřování SAS/X.509/TPM. Ovlivní tato migrace moje zařízení?

Migrace certifikátu TLS nemá vliv na způsob ověřování zařízení službou IoT Hub. Tato migrace má vliv na to, jak zařízení ověřují koncové body IoT Hubu a DPS.

IoT Hub a DPS prezentují certifikát serveru zařízením a zařízení tento certifikát ověřují vůči kořenovému adresáři, aby důvěřovaly připojení ke koncovým bodům. Zařízení budou muset mít v úložištích důvěryhodných certifikátů nový globální kořenový adresář DigiCert G2, aby bylo možné po této migraci ověřit a připojit se k Azure.

Moje zařízení k připojení používají sady SDK Azure IoT. Musím udělat něco, aby sady SDK fungovaly s novým certifikátem?

To záleží na okolnostech.

  • Ano, pokud používáte klienta zařízení Java V1. Tento klient zabalí certifikát Baltimore Cybertrust Root spolu se sadou SDK. Můžete buď aktualizovat na Javu V2, nebo ručně přidat globální kořenový certifikát DigiCert G2 do zdrojového kódu.
  • Ne, pokud používáte jiné sady SDK Azure IoT. Většina sad SDK Azure IoT spoléhá na úložiště certifikátů základního operačního systému k načtení důvěryhodných kořenových certifikátů pro ověřování serveru během metody handshake protokolu TLS.

Bez ohledu na použitou sadu SDK důrazně doporučujeme, aby všichni zákazníci před migrací ověřili svá zařízení, jak je popsáno v části ověření v blogovém příspěvku o protokolu TLS Azure IoT: Kritické změny jsou téměř tady.

Moje zařízení se připojují k suverénní oblasti Azure. Musím je pořád aktualizovat?

Ne, tato změna ovlivní jenom globální cloud Azure. Suverénní cloudy nejsou součástí této migrace.

Používám IoT Central. Musím aktualizovat svoje zařízení?

Ano, IoT Central používá IoT Hub i DPS v back-endu. Migrace protokolu TLS bude mít vliv na vaše řešení a potřebujete aktualizovat zařízení, aby se zachovalo připojení.

Aplikaci můžete migrovat z kořenového adresáře Baltimore CyberTrust do rootu DigiCert Global G2 podle vlastního plánu. Doporučujeme následující postup:

  1. Ponechte na svém zařízení root Baltimore CyberTrust, dokud se období přechodu nedokončí 30. září 2024 (nutné k zabránění přerušení připojení).
  2. Kromě kořenového adresáře Baltimore se ujistěte, že je do důvěryhodného kořenového úložiště přidán globální kořen DigiCert G2.
  3. Ujistěte se, že nepřipnete žádné zprostředkující nebo listové certifikáty a používáte veřejné kořeny k ověření serveru TLS.
  4. V aplikaci IoT Central najdete nastavení kořenové certifikace v části Nastavení> Aplication>Baltimore Cybertrust Migration.
    1. Výběrem možnosti DigiCert Global G2 Root migrujte do nového kořenového adresáře certifikátu.
    2. Kliknutím na Uložit zahájíte migraci.
    3. V případě potřeby můžete migrovat zpět do kořenového adresáře Baltimore tak, že vyberete Baltimore CyberTrust Root a uložíte změny. Tato možnost je dostupná do 15. srpna 2023 a pak bude zakázaná.

Jak dlouho bude trvat, než se moje zařízení znovu připojí?

Chování opětovného připojení zařízení může ovlivnit několik faktorů.

Zařízení jsou nakonfigurovaná tak, aby vrátila připojení v určitém intervalu. Výchozí hodnota v sadách Azure IoT SDK je vrátit se každých 45 minut. Pokud jste ve svém řešení implementovali jiný vzor, může se vaše prostředí lišit.

V rámci migrace může vaše centrum IoT také získat novou IP adresu. Pokud vaše zařízení používají server DNS pro připojení k Centru IoT, může trvat až hodinu, než se servery DNS aktualizují s novou adresou. Další informace najdete v tématu IP adresy služby IoT Hub.

Kdy můžu ze svých zařízení odebrat kořenový adresář Baltimore Cybertrust?

Kořenový certifikát Baltimore můžete odebrat po dokončení všech fází migrace. Pokud používáte jenom IoT Hub, můžete starý kořenový certifikát po dokončení migrace ioT Hubu odebrat 15. října 2023. Pokud používáte službu Device Provisioning nebo IoT Central, musíte na svém zařízení zachovat oba kořenové certifikáty, dokud se neplánuje dokončení migrace DPS 30. září 2024.

Odstraňování potíží

Pokud máte obecné problémy s připojením ke službě IoT Hub, projděte si tyto zdroje informací o řešení potíží:

Pokud sledujete Azure Monitor po migraci certifikátů, měli byste vyhledat událost DeviceDisconnect následovanou událostí Zařízení Připojení, jak je znázorněno na následujícím snímku obrazovky:

Snímek obrazovky s protokoly Služby Azure Monitor zobrazující události DeviceDisconnect a Device Připojení

Pokud se zařízení po migraci odpojí, ale po migraci se znovu nepřipojí, zkuste následující kroky:

  • Zkontrolujte, jestli se váš požadavek na překlad DNS a požadavek handshake dokončil bez jakýchkoli chyb.

  • Ověřte, že má zařízení nainstalovaný certifikát DigiCert Global Root G2 i certifikát Baltimore v úložišti certifikátů.

  • Pomocí následujícího dotazu Kusto identifikujte aktivitu připojení pro vaše zařízení. Další informace najdete v přehledu dotazovací jazyk Kusto (KQL).

    AzureDiagnostics
    | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS"
    | where Category == "Connections"
    | extend parsed_json = parse_json(properties_s)
    | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol)
    | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersion
    
  • Pomocí karty Metriky centra IoT na webu Azure Portal můžete sledovat proces opětovného připojení zařízení. V ideálním případě byste neměli v zařízeních před dokončením této migrace a po dokončení této migrace vidět žádné změny. Jednou z doporučených metrik pro sledování je Připojení zařízení, ale můžete použít grafy, které aktivně monitorujete.