Migrieren von IoT Hub-Ressourcen zu einem neuen TLS-Stammzertifikat

Azure IoT Hub und IoT Hub Device Provisioning Service (DPS) verwenden vom Zertifikat „Baltimore CyberTrust Root“ ausgestellte TLS-Zertifikate. Dieses Zertifikat läuft 2025 ab. Ab Februar 2023 werden alle IoT-Hubs in der globalen Azure-Cloud zu einem neuen TLS-Zertifikat migriert, das von DigiCert Global Root G2 ausgestellt wird.

Die Migration Ihrer IoT-Hubs zum neuen TLS-Zertifikat wird sich wie folgt auswirken, sodass Sie schon jetzt mit der Planung beginnen sollten:

• Alle Geräte ohne DigiCert Global Root G2 im Zertifikatspeicher können keine Verbindung mit Azure herstellen.
• Die IP-Adresse des IoT-Hubs ändert sich.

Zeitachse

Die IoT Hub-Migration ist abgeschlossen, mit Ausnahme von Hubs, die bereits für eine Erweiterung genehmigt wurden. Wenn Ihr IoT-Hub das Baltimore-Zertifikat ohne Vereinbarung mit dem Produktteam verwendet, wird Ihr Hub ohne weitere Ankündigung migriert.

Nachdem alle IoT-Hubs migriert wurden, führt DPS seine Migration zwischen dem 15. Januar und dem 30. September 2024 durch.

Für jeden IoT-Hub mit einem Erweiterungsvertrag können Sie Folgendes erwarten:

• Ein bis zwei Wochen vor der Migration: Die Abonnementbesitzer jedes IoT-Hubs erhalten eine E-Mail-Benachrichtigung, in der sie über ihr Migrationsdatum informiert werden. Diese Benachrichtigung gilt nicht für Hubs, die manuell migriert werden.
• Tag der Migration: Der IoT Hub wechselt sein TLS-Zertifikat auf das DigiCert Global Root G2, was keine Downtime für den IoT- Hub verursacht. IoT Hub erzwingt keine Geräteneuverbindungen.
• Nach der Migration: Die Abonnementbesitzer erhalten eine Benachrichtigung, die bestätigt, dass der IoT-Hub migriert wurde. Geräte versuchen, eine Verbindung basierend auf ihrer individuellen Wiederholungslogik wiederherzustellen. Zu diesem Zeitpunkt fordern sie das neue Serverzertifikat von IoT Hub an, und stellen nur dann wieder eine Verbindung her, wenn sie dem Digicert Global Root G2 vertrauen.

Anfordern einer Verlängerung

Ab August 2023 ist das Verfahren zur Anforderung einer Verlängerung für IoT-Hub und IoT Central geschlossen. Wenn Ihr IoT-Hub das Baltimore-Zertifikat ohne Erweiterungsvereinbarung mit dem Produktteam verwendet, wird Ihr Hub ohne weitere Ankündigung migriert.

Erforderliche Schritte

Führen Sie zur Vorbereitung der Migration die folgenden Schritte aus:

1. Behalten Sie „Baltimore CyberTrust Root“ im vertrauenswürdigen Stammspeicher Ihrer Geräte bei. Fügen Sie Ihren Geräten die Zertifikate „DigiCert Global Root G2“ und „Microsoft RSA Root Certificate Authority 2017“ hinzu. Sie können alle diese Zertifikate unter Details zur Azure-Zertifizierungsstelle herunterladen.

   Alle drei Zertifikate müssen auf Ihren Geräten vorhanden sein, bis die IoT Hub- und DPS-Migrationsvorgänge abgeschlossen sind. Durch die Beibehaltung von „Baltimore CyberTrust Root“ wird sichergestellt, dass Ihre Geräte bis zur Migration verbunden bleiben. Durch das Hinzufügen von „DigiCert Global Root G2“ wird sichergestellt, dass Ihre Geräte nach der Migration nahtlos umgestellt und erneut verbunden werden. Mit „Microsoft RSA Root Certificate Authority 2017“ können Sie zukünftige Unterbrechungen verhindern, falls „DigiCert Global Root G2“ unerwartet eingestellt wird.

   Weitere Informationen zu den empfohlenen Zertifikatpraktiken von IoT Hub finden Sie unter TLS-Unterstützung.

2. Stellen Sie sicher, dass Sie keine Zwischenzertifikate oder untergeordneten Zertifikate anheften und dass Sie die öffentlichen Stammzertifikate verwenden, um die TLS-Servervalidierung durchzuführen.

   IoT Hub und DPS führen gelegentlich ein Rollover ihrer Zwischenzertifizierungsstelle (ZS) durch. In diesen Fällen geht die Konnektivität Ihrer Geräte verloren, wenn diese explizit nach einer Zwischenzertifizierungsstelle oder einem untergeordneten Zertifikat suchen. Geräte, die die Validierung mithilfe der öffentlichen Stammzertifikate durchführen, stellen jedoch unabhängig von Änderungen an der Zwischenzertifizierungsstelle weiterhin eine Verbindung her.

Weitere Informationen zum Testen der Bereitschaft Ihrer Geräte für die TLS-Zertifikatmigration finden Sie im Blogbeitrag zu bevorstehenden kritischen TLS-Änderungen bei Azure IoT.

Überprüfen des Migrationsstatus eines IoT Hubs

Um zu erfahren, ob ein IoT Hub migriert wurde oder nicht, überprüfen Sie den aktiven Zertifikatstamm für den Hub.

Azure portal

1. Navigieren Sie im Azure-Portal zu Ihrem IoT Hub.

2. Wählen Sie im Abschnitt Automatisierung des Navigationsmenüs die Option Vorlage exportieren aus.

3. Warten Sie, bis die Vorlage generiert wird, und navigieren Sie dann zur Eigenschaft "resources.properties.features" in der JSON-Vorlage. Wenn RootCertificateV2 als Feature aufgeführt ist, wurde Ihr Hub zu DigiCert Global G2 migriert.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl az iot hub certificate root-authority show, um die aktuelle Stammzertifizierungsstelle für Ihren IoT-Hub anzuzeigen.

az iot hub certificate root-authority show --hub-name <iothub_name>

In der Azure-Befehlszeilenschnittstelle (Azure Command Line Interface, Azure CLI) wird das vorhandene Baltimore CyberTrust Root-Zertifikat als v1 bezeichnet und das neue DigiCert Global Root G2-Zertifikat als v2. Wenn der Zertifikatstamm als v2 aufgeführt ist, wurde der IoT Hub erfolgreich migriert.

Häufig gestellte Fragen

Meine Geräte verwenden die SAS-/X.509-/TPM-Authentifizierung. Wirkt sich diese Migration auf meine Geräte aus?

Die Migration des TLS-Zertifikats hat keinen Einfluss darauf, wie Geräte von IoT Hub authentifiziert werden. Diese Migration wirkt sich darauf aus, wie Geräte die IoT Hub- und DPS-Endpunkte authentifizieren.

IoT Hub und DPS legen ihr Serverzertifikat Geräten vor, und Geräte authentifizieren dieses Zertifikat mithilfe des Stammzertifikats, um ihre Verbindung mit den Endpunkten als vertrauenswürdig einzustufen. Das neue DigiCert Global Root G2-Zertifikat muss in den vertrauenswürdigen Zertifikatspeichern von Geräten vorhanden sein, damit sie nach dieser Migration eine Überprüfung durchführen und eine Verbindung mit Azure herstellen können.

Meine Geräte verwenden die Azure IoT SDKs, um eine Verbindung herzustellen. Muss ich etwas tun, damit die SDKs mit dem neuen Zertifikat funktionieren?

Das ist unterschiedlich.

• Ja, sofern Sie den Java V1-Geräteclient verwenden. Dieser Client packt das Baltimore Cybertrust Root-Zertifikat zusammen mit dem SDK. Sie können entweder auf Java V2 aktualisieren oder Ihrem Quellcode manuell das DigiCert Global Root G2-Zertifikat hinzufügen.
• Nein, sofern Sie die anderen Azure IoT SDKs verwenden. Die meisten Azure IoT SDKs verwenden den Zertifikatspeicher des zugrunde liegenden Betriebssystems, um während des TLS-Handshakes vertrauenswürdige Stammzertifikate für die Serverauthentifizierung abzurufen.

Unabhängig vom verwendeten SDK wird allen Kunden dringend empfohlen, ihre Geräte vor der Migration wie im Abschnitt zur Validierung des Blogbeitrags zu bevorstehenden kritischen TLS-Änderungen bei Azure IoT beschrieben zu überprüfen.

Meine Geräte stellen eine Verbindung mit einer unabhängigen Azure-Region her. Muss ich sie trotzdem aktualisieren?

Nein. Nur die globale Azure-Cloud ist von dieser Änderung betroffen. Sovereign Clouds sind in dieser Migration nicht enthalten.

Ich verwende Azure IoT Central. Muss ich meine Geräte aktualisieren?

Ja. IoT Central verwendet sowohl IoT Hub als auch DPS im Back-End. Die TLS-Migration wirkt sich auf Ihre Lösung aus, und Sie müssen Ihre Geräte aktualisieren, um die Verbindung aufrechtzuerhalten.

Sie können Ihre Anwendung nach Ihrem eigenen Zeitplan vom Baltimore CyberTrust-Stamm DigiCert Global G2-Stamm migrieren. Wir empfehlen den folgenden Prozess:

1. Behalten Sie den Baltimore CyberTrust-Stamm auf Ihrem Gerät bei, bis der Übergangszeitraum am 30 September 2024 abgeschlossen ist (erforderlich, um Verbindungsunterbrechungen zu verhindern).
2. Stellen Sie zusätzlich zum Baltimore-Stamm sicher, dass der DigiCert Global G2-Stamm Ihrem vertrauenswürdigen Stammspeicher hinzugefügt wird.
3. Stellen Sie sicher, dass Sie keine Zwischenzertifikate oder untergeordneten Zertifikate anheften, und dass Sie die öffentlichen Stammzertifikate verwenden, um die TLS-Servervalidierung durchzuführen.
4. In Ihrer IoT Central-Anwendung finden Sie die Stammzertifizierungseinstellungen unter Einstellungen>Anwendung>Baltimore Cybertrust-Migration. 
   1. Wählen Sie DigiCert Global G2-Stamm aus, um zum neuen Zertifikatsstamm zu migrieren.
   2. Klicken Sie auf Speichern, um die Migration zu initiieren.
   3. Bei Bedarf können Sie zurück zum Baltimore-Stamm migrieren, indem Sie Baltimore CyberTrust-Stamm auswählen und die Änderungen speichern. Diese Option ist bis zum 15. August 2023 verfügbar und wird dann aktiviert.

Wie lange dauert es, bis meine Geräte wieder eine Verbindung herstellen?

Mehrere Faktoren können sich auf das Verhalten bei der Wiederherstellung der Geräteverbindung auswirken.

Geräte sind dafür konfiguriert, ihre Verbindung in einem bestimmten Intervall erneut zu überprüfen. Bei der Standardeinstellung in den Azure IoT SDKs erfolgt die erneute Überprüfung alle 45 Minuten. Wenn Sie in Ihrer Lösung ein anderes Muster implementiert haben, kann der Vorgang bei Ihnen mehr oder weniger Zeit in Anspruch nehmen.

Außerdem erhält Ihr IoT-Hub im Rahmen der Migration möglicherweise eine neue IP-Adresse. Wenn Ihre Geräte einen DNS-Server (Domänennamenserver) verwenden, um eine Verbindung mit IoT Hub herzustellen, kann die Aktualisierung des DNS-Servers mit der neuen Adresse bis zu einer Stunde dauern. Weitere Informationen finden Sie unter IP-Adressen von IoT Hub.

Wann kann ich den Baltimore Cybertrust-Stamm von meinen Geräten entfernen?

Sie können das Baltimore-Stammzertifikat entfernen, sobald alle Phasen der Migration abgeschlossen sind. Wenn Sie nur IoT Hub verwenden, können Sie das alte Stammzertifikat entfernen, nachdem der Abschluss der IoT Hub-Migration für den 15. Oktober 2023 geplant wurde. Wenn Sie den Device Provisioning Service (DPS) oder IoT Central verwenden, müssen Sie beide Stammzertifikate auf Ihrem Gerät aufbewahren, bis der Abschluss der DPS-Migration für den 30. September 2024 geplant wurde.

Problembehandlung

Informationen zu allgemeinen Konnektivitätsproblemen bei IoT Hub finden Sie in den folgenden Ressourcen zur Problembehandlung:

• Verbindungs- und Wiederholungsmuster bei Geräte-SDKs
• Grundlegendes und Beheben von Azure IoT Hub-Fehlern

Wenn Sie Azure Monitor nach der Migration von Zertifikaten überprüfen, sollten Sie wie im folgenden Screenshot gezeigt nach einem DeviceDisconnect-Ereignis gefolgt von einem DeviceConnect-Ereignis suchen:

Wenn Ihr Gerät getrennt wird, die Verbindung nach der Migration aber nicht wiederherstellt, führen Sie die folgenden Schritte aus:

• Überprüfen Sie, ob Ihre DNS-Auflösung und die Handshake-Anforderung ohne Fehler abgeschlossen wurden.

• Vergewissern Sie sich, dass auf dem Gerät sowohl das DigiCert Global Root G2-Zertifikat als auch das Baltimore-Zertifikat im Zertifikatspeicher installiert sind.

• Verwenden Sie die folgende Kusto-Abfrage, um die Verbindungsaktivität für Ihre Geräte zu identifizieren. Weitere Informationen finden Sie unter Kusto Query Language (KQL) – Übersicht.

  AzureDiagnostics
  | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS"
  | where Category == "Connections"
  | extend parsed_json = parse_json(properties_s)
  | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol)
  | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersion
  

• Verwenden Sie die Registerkarte Metriken Ihres IoT-Hubs im Azure-Portal, um den Prozess zur Wiederherstellung der Geräteverbindung nachzuverfolgen. Im Idealfall sollte vor und nach Abschluss dieser Migration keine Änderung bei Ihren Geräten angezeigt werden. Eine Metrik, die Sie überprüfen sollten, ist Verbundene Geräte. Sie können jedoch jedes Diagramm verwenden, das Sie aktiv überwachen.