Nota
L'accés a aquesta pàgina requereix autorització. Podeu provar d'iniciar la sessió o de canviar els directoris.
L'accés a aquesta pàgina requereix autorització. Podeu provar de canviar els directoris.
Obtenga información sobre la rotación de claves raíz de Device Update for IoT Hub y lo que debe hacer para prepararse.
Descripción de la seguridad de Device Update for IoT Hub y cómo se usan las claves raíz
Antes de obtener información sobre el proceso de rotación de claves raíz de Device Update, visite la página Modelo de seguridad de Device Update.
Cambio de programación de rotación de claves raíz
El equipo de Device Update para IoT Hub anteriormente planeaba cambiar ADU.200702.R, la clave raíz que se está usando actualmente para validar las claves de firma asociadas a los manifiestos de actualización, el 26 de agosto de 2025. La rotación de esa clave habría significado que el servicio Device Update dejaría de firmar contenido importado con una clave que encadenaba hasta ADU.200702.R. Posteriormente, el servicio habría comenzado a firmar utilizando una clave que se encadena a ADU.200703.R.
En función de los comentarios de nuestros clientes sobre el impacto de este cambio, el equipo de Device Update para IoT Hub está posponiendo la rotación de agosto de 2025. Esto proporcionará a los clientes más tiempo para estar listos para la rotación. Una vez que haya una nueva fecha disponible para este evento de rotación, se anunciará al menos un año de antemano.
Cómo validar si los dispositivos están listos para una rotación o revocación futuras
Si no ha probado la clave raíz de ADU.200703.R que se usará después de la rotación final, se recomienda hacerlo lo antes posible. En el improbable caso de que un actor malintencionado pueda aprovechar la clave raíz actual de ADU.200702.R antes de una rotación programada, el equipo de Device Update revocaría inmediatamente la clave raíz de ADU.200702.R y comenzaría a firmar con la clave raíz de ADU.200703.R. Confirmar mediante pruebas que los dispositivos admiten actualmente la clave raíz de ADU.200703.R significa que el impacto de este escenario se minimiza.
El equipo de Device Update creó un mecanismo de prueba para validar si los dispositivos pueden recibir contenido firmado con ADU.200703.R. Instrucciones:
Descargue un archivo de prueba especial. Este archivo exacto debe usarse, ya que el servicio Device Update busca el hash de archivo en el momento de la importación. El hash del archivo coincidente en el manifiesto de importación debe ser: KGyJ9tM6JSLHQq0gdKUmsVvB6Y4z0pMKdQNAd8jTGH0=
Cree una actualización para las pruebas. Puede usar los archivos que quiera, pero también debe incluir el archivo de prueba especial en el manifiesto de importación. Un procedimiento recomendado es que la actualización cambie el dispositivo de una manera fácil de comprobar, como cambiar el número de versión de un archivo o agregar un archivo nuevo.
Importe e implemente la actualización en los dispositivos como lo haría normalmente.
Compruebe que la actualización se realizó correctamente en los dispositivos. Si es así, los dispositivos pueden recibir actualizaciones firmadas con ADU.200703.R y están listas para la siguiente rotación (o posible revocación).
Nota:
Se recomienda encarecidamente adoptar la versión 1.1.0 o posterior del Agente de Device Update , que obtendrá automáticamente todas las claves raíz futuras para los dispositivos según sea necesario, incluido durante un evento de revocación.