Migrer les ressources IoT Hub vers une nouvelle racine de certificat TLS

Azure IoT Hub et le service DPS (Device Provisioning Service) utilisent des certificats TLS émis par le certificat Baltimore CyberTrust Root, qui expire en 2025. À compter de février 2023, tous les hubs IoT dans le cloud Azure global migreront vers un nouveau certificat TLS émis par DigiCert Global Root G2.

Vous devez commencer à planifier dès maintenant les effets de la migration de vos hubs IoT vers le nouveau certificat TLS :

• Tout appareil qui n’a pas le DigiCert Global Root G2 dans son magasin de certificats ne pourra pas se connecter à Azure.
• L’adresse IP du hub IoT va changer.

Durée

La migration IoT Hub est terminée, à l’exception des hubs qui ont déjà été approuvés pour une extension. Si votre hub IoT utilise le certificat Baltimore sans accord en place avec l’équipe produit, votre hub est migré sans préavis.

Une fois que tous les hubs IoT ont migré, DPS effectuera sa migration entre le 15 janvier et le 30 septembre 2024.

Pour chaque hub IoT avec un accord d’extension en place, vous pouvez vous attendre à ce qui suit :

• Une à deux semaines avant la migration : les propriétaires d’abonnement de chaque hub IoT reçoivent une notification par e-mail les informant de la date de leur migration. Cette notification ne s’applique pas aux hubs migrés manuellement.
• Le jour de la migration : le hub IoT bascule son certificat TLS vers DigiCert Global Root G2, ce qui n’entraîne aucun temps d’arrêt pour le hub IoT. IoT Hub ne force pas la reconnexion des appareils.
• Après la migration : les propriétaires d’abonnement reçoivent une notification confirmant que le hub IoT a été migré. Les appareils tentent de se reconnecter en fonction de leur logique de nouvelle tentative individuelle. Ils demandent et reçoivent alors le nouveau certificat de serveur de IoT Hub et se reconnectent uniquement s’ils approuvent Digicert Global Root G2.

Demander une extension

Depuis août 2023, le processus de demande d’extension est fermé pour IoT Hub et IoT Central. Si votre hub IoT utilise le certificat Baltimore sans accord d’extension en place avec l’équipe produit, votre hub est migré sans préavis.

Étapes requises

Pour préparer la migration, effectuez les étapes suivantes :

1. Conservez le Baltimore CyberTrust Root dans le magasin de racines approuvées de vos appareils. Ajoutez les certificats DigiCert Global Root G2 et Microsoft RSA Root Certificate Authority 2017 sur vos appareils. Vous pouvez télécharger tous ces certificats à partir de la page de détails de l’autorité de certification Azure.

   Il est important de conserver les trois certificats sur vos appareils tant que les migrations IoT Hub et DPS ne sont pas terminées. La conservation du Baltimore CyberTrust Root garantit que vos appareils resteront connectés jusqu’à la migration et l’ajout du DigiCert Global Root G2 garantit que vos appareils basculeront et se reconnecteront en toute transparence après la migration. Le certificat Microsoft RSA Root Certificate Authority 2017 permet d’éviter les interruptions futures en cas de mise hors service non planifiée du DigiCert Global Root G2.

   Pour plus d’informations sur les pratiques de certification recommandées par IoT Hub, consultez Prise en charge de TLS.

2. Assurez-vous que vous n’épinglez pas de certificats intermédiaires ou feuilles et que vous utilisez les racines publiques pour effectuer la validation du serveur TLS.

   IoT Hub et DPS remplacent occasionnellement leur autorité de certification intermédiaire. Dans ces cas, vos appareils perdront la connectivité s’ils recherchent explicitement une autorité de certification ou un certificat feuille intermédiaire. Toutefois, les appareils qui effectuent la validation à l’aide des racines publiques continueront de se connecter, quelles que soient les modifications apportées à l’autorité de certification intermédiaire.

Pour plus d’informations sur la façon de tester si vos appareils sont prêts pour la migration de certificats TLS, consultez le billet de blog TLS Azure IoT : Des modifications importantes arrivent bientôt.

Vérifier l’état de migration d’un hub IoT

Pour savoir si un hub IoT a été migré ou non, vérifiez la racine du certificat actif du hub.

Azure portal

1. Accédez à votre IoT Hub dans le portail Azure.

2. Sélectionnez Exporter le modèle dans la section Automatisation du menu de navigation.

3. Attendez que le modèle soit généré, puis accédez à la resources.properties.features propriété dans le modèle JSON. Si rootCertificateV2 est répertorié en tant que fonctionnalité, votre hub a été migré vers DigiCert Global G2.

Azure CLI

Utilisez la commande az iot hub certificate root-authority show pour afficher l’autorité racine de certification actuelle pour votre hub IoT.

az iot hub certificate root-authority show --hub-name <iothub_name>

Dans Azure CLI, le certificat Baltimore CyberTrust Root existant est appelé v1 et le nouveau certificat DigiCert Global Root G2 est appelé v2. Si la racine du certificat est répertoriée comme v2, le hub IoT a été migré avec succès.

Forum aux questions

Mes appareils utilisent l’authentification SAS/X.509/TPM. Cette migration affectera-t-elle mes appareils ?

La migration du certificat TLS n’affecte pas la façon dont les appareils sont authentifiés par IoT Hub. Cette migration affecte la façon dont les appareils authentifient les points de terminaison IoT Hub et DPS.

IoT Hub et DPS présentent leur certificat de serveur aux appareils, et les appareils l’authentifient par rapport à la racine afin d’approuver leur connexion aux points de terminaison. Les appareils devront avoir le nouveau DigiCert Global Root G2 dans leurs magasins de certificats approuvés pour pouvoir vérifier et se connecter à Azure après cette migration.

Mes appareils utilisent les kits de développement logiciel (SDK) Azure IoT pour se connecter. Dois-je faire quelque chose pour que les kits de développement logiciel (SDK) continuent à fonctionner avec le nouveau certificat ?

Cela dépend.

• Oui, si vous utilisez l’appareil Java V1 client. Ce client crée un package pour le certificat Baltimore Cybertrust Root et le kit de développement logiciel (SDK). Vous pouvez effectuer une mise à jour vers Java V2 ou ajouter manuellement le certificat DigiCert Global Root G2 à votre code source.
• Non, si vous utilisez les autres kits de développement logiciel (SDK) Azure IoT. La plupart des Kits de développement logiciel (SDK) Azure IoT s’appuient sur le magasin de certificats du système d’exploitation sous-jacent pour récupérer des racines approuvées pour l’authentification du serveur pendant l’établissement d’une liaison TLS.

Quel que soit le Kit de développement logiciel (SDK) utilisé, nous recommandons vivement à tous les clients de valider leurs appareils avant la migration, comme décrit dans la section de validation du billet de blog TLS Azure IoT : Des modifications importantes arrivent bientôt.

Mes appareils se connectent à une région Azure souveraine. Dois-je quand même les mettre à jour ?

Non, seul le cloud Azure global est affecté par cette modification. Les clouds souverains ne sont pas inclus dans cette migration.

J’utilise IoT Central. Dois-je mettre à jour mes appareils ?

Oui, IoT Central utilise à la fois IoT Hub et DPS dans le back-end. La migration TLS affecte votre solution et vous devez mettre à jour vos appareils pour maintenir la connexion.

Vous pouvez effectuer une migration de votre application du Baltimore CyberTrust Root vers le DigiCert Global G2 Root selon votre propre planification. Nous vous recommandons les processus suivants :

1. Conserver la racine Baltimore CyberTrust sur votre appareil jusqu’à ce que la période de transition soit terminée le 30 septembre 2024 (nécessaire pour empêcher l’interruption de connexion).
2. En plus de Baltimore Root, assurez-vous que DigiCert Global G2 Root est ajouté à votre magasin de racine approuvé.
3. Assurez-vous de ne pas épingler de certificats intermédiaires ou feuilles et d’utiliser les racines publiques pour effectuer la validation du serveur TLS.
4. Dans votre application IoT Central, vous allez trouver les paramètres de certification racine sous Paramètres>Application>Migration Baltimore Cybertrust. 
   1. Sélectionnez DigiCert Global G2 Root pour effectuer une migration vers la nouvelle racine de certificat.
   2. Cliquez sur Enregistrer pour effectuer la migration.
   3. Au besoin, vous pouvez revenir à la racine de Baltimore en sélectionnant Baltimore CyberTrust Root et en enregistrant les modifications. Cette option reste disponible jusqu’au 15 août 2023, avant sa désactivation.

Combien de temps mes appareils mettront-ils à se reconnecter ?

Plusieurs facteurs peuvent affecter le comportement de reconnexion de l’appareil.

Les appareils sont configurés pour revérifier leur connexion à un intervalle spécifique. Par défaut, les Kits de développement logiciel (SDK) Azure IoT effectuent une revérification toutes les 45 minutes. Si vous avez implémenté un schéma différent dans votre solution, votre expérience risque de varier.

Par ailleurs, dans le cadre de la migration, votre hub IoT aura probablement une nouvelle adresse IP. Si vos appareils utilisent un serveur DNS pour se connecter au hub IoT, l’actualisation des serveurs DNS avec la nouvelle adresse peut prendre jusqu’à une heure. Pour plus d’informations, consultez Adresses IP IoT Hub.

Quand puis-je supprimer le certificat Baltimore Cybertrust Root de mes appareils ?

Vous pouvez supprimer ce certificat racine Baltimore quand toutes les étapes de la migration sont terminées. Si vous utilisez uniquement IoT Hub, vous pouvez supprimer l’ancien certificat racine après la fin de la migration d’IoT Hub prévue le 15 octobre 2023. Si vous utilisez le service Device Provisioning ou IoT Central, vous devez conserver les deux certificats racines sur votre appareil jusqu’à ce que la migration DPS soit planifiée pour se terminer le 30 septembre 2024.

Résolution des problèmes

Si vous rencontrez des problèmes de connectivité généraux avec IoT Hub, consultez ces ressources de résolution des problèmes suivantes :

• Modèles de connexion et de nouvelle tentative avec les Kits de développement logiciel (SDK) d’appareil.
• Comprendre et résoudre les codes d’erreur Azure IoT Hub.

Si vous regardez Azure Monitor après la migration de certificats, vous devez rechercher un événement DeviceDisconnect suivi d’un événement DeviceConnect, comme illustré dans la capture d’écran suivante :

Si votre appareil se déconnecte, mais ne se reconnecte pas après la migration, essayez les étapes suivantes :

• Vérifiez que votre résolution DNS et votre requête d’établissement de liaison se sont terminées sans erreur.

• Vérifiez que le certificat DigiCert Global Root G2 et le certificat Baltimore sont installés sur l’appareil dans le magasin de certificats.

• Utilisez la requête Kusto suivante pour identifier l’activité de connexion pour vos appareils. Pour en savoir plus, consultez Vue d’ensemble du langage de requête Kusto (KQL).

  AzureDiagnostics
  | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS"
  | where Category == "Connections"
  | extend parsed_json = parse_json(properties_s)
  | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol)
  | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersion
  

• Utilisez l’onglet Métriques de votre hub IoT dans le Portail Azure pour suivre le processus de reconnexion de l’appareil. Dans l’idéal, vous ne devriez voir aucun changement dans vos appareils avant et après avoir effectué cette migration. L’une des métriques recommandées à surveiller est Appareils connectés, mais vous pouvez utiliser les graphiques que vous surveillez activement.