IoT Hub-erőforrások migrálása új TLS-főtanúsítványra
Az Azure IoT Hub és a Device Provisioning Service (DPS) a Baltimore CyberTrust Root által kibocsátott TLS-tanúsítványokat használ, amelyek 2025-ben lejárnak. 2023 februárjától minden, a globális Azure felhőben lévő IoT Hub egy új, a DigiCert Global Root G2 által kibocsátott TLS-tanúsítványra migrál.
Most kezdje el megtervezni az IoT Hubok új TLS-tanúsítványba való migrálásának hatásait:
- Minden olyan eszköz, amely nem rendelkezik a DigiCert global root G2-ével a tanúsítványtárolójában, nem fog tudni csatlakozni az Azure-hoz.
- Az IoT Hub IP-címe megváltozik.
Idősor
Az IoT Hub migrálása befejeződött, kivéve azokat a központokat, amelyeket már jóváhagytak egy bővítményhez. Ha az IoT Hub úgy találja, hogy a Baltimore-tanúsítványt használja a termékcsapattal kötött megállapodás nélkül, a központ további értesítés nélkül migrálva lesz.
Az IoT Hubok migrálása után a DPS 2024. január 15. és szeptember 30. között hajtja végre a migrálást.
Minden olyan IoT Hub esetében, amely rendelkezik egy kiterjesztési szerződéssel, a következőkre számíthat:
- Egy-két héttel a migrálás előtt: Minden IoT Hub előfizetés-tulajdonosai e-mailben értesítést kapnak, amely tájékoztatja őket az áttelepítés időpontjáról. Ez az értesítés nem vonatkozik a manuálisan migrált központokra.
- A migrálás napja: Az IoT Hub a TLS-tanúsítványát a DigiCert Global Root G2-re váltja, ami az IoT Hub leállását eredményezi. Az IoT Hub nem kényszeríti az eszközök újracsatlakoztatását.
- A migrálást követően: Az előfizetés-tulajdonosok értesítést kapnak arról, hogy az IoT Hub migrálva lett. Az eszközök az egyéni újrapróbálkozási logikájuk alapján próbálnak újracsatlakozni, ekkor kérik és kapják meg az új kiszolgálótanúsítványt az IoT Hubtól, és csak akkor csatlakoznak újra, ha megbíznak a Digicert globális legfelső szintű G2-ben.
Bővítmény kérése
2023 augusztusától az IoT Hub és az IoT Central esetében lezárult a bővítménykérelem folyamata. Ha az IoT Hub úgy találja, hogy a Baltimore-tanúsítványt használja a termékcsapattal kötött bővítményszerződés nélkül, a központ további értesítés nélkül migrálva lesz.
Szükséges lépések
A migrálásra való felkészüléshez hajtsa végre a következő lépéseket:
Tartsa a Baltimore CyberTrust-gyökerét az eszközei megbízható legfelső szintű tárolójában. Adja hozzá a DigiCert Global Root G2 és a Microsoft RSA Főtanúsítvány 2017 tanúsítványokat az eszközeihez. Ezeket a tanúsítványokat az Azure Tanúsítványszolgáltató adataiból töltheti le.
Fontos, hogy mind a három tanúsítvány az eszközein legyen, amíg az IoT Hub és a DPS áttelepítése be nem fejeződik. A Baltimore CyberTrust Root megtartása biztosítja, hogy az eszközök a migrálásig csatlakoztatva maradjanak, és a DigiCert Global Root G2 hozzáadásával biztosíthatja, hogy az eszközök zökkenőmentesen váltanak és újracsatlakoznak az áttelepítés után. A Microsoft RSA főtanúsítvány-szolgáltató 2017 segít megelőzni a jövőbeni fennakadásokat abban az esetben, ha a DigiCert Global Root G2 váratlanul megszűnik.
Az IoT Hub ajánlott tanúsítványokkal kapcsolatos eljárásairól további információt a TLS támogatásában talál.
Győződjön meg arról, hogy nem rögzít köztes vagy levéltanúsítványokat, és a nyilvános gyökereket használja a TLS-kiszolgáló érvényesítéséhez.
Az IoT Hub és a DPS időnként átgördül a köztes hitelesítésszolgáltatón (CA). Ezekben az esetekben az eszközök megszakadnak a kapcsolatuk, ha kifejezetten közbenső hitelesítésszolgáltatót vagy levéltanúsítványt keresnek. A nyilvános gyökerekkel érvényesítést végző eszközök azonban továbbra is csatlakozni fognak, függetlenül a köztes hitelesítésszolgáltató módosításaitól.
Ha többet szeretne tudni arról, hogyan tesztelheti, hogy az eszközei készen állnak-e a TLS-tanúsítványok migrálására, tekintse meg az Azure IoT TLS blogbejegyzését: A kritikus módosítások szinte itt találhatók.
IoT Hub áttelepítési állapotának ellenőrzése
Ha tudni szeretné, hogy egy IoT Hub migrálva lett-e, ellenőrizze a központ aktív tanúsítványgyökerét.
Az Azure Portalon keresse meg az IoT hubot.
Válassza az Exportálás sablont a navigációs menü Automation szakaszában.
Várja meg, amíg a sablon létrejön, majd keresse meg a resource.properties.features tulajdonságot a JSON-sablonban. Ha a RootCertificateV2 szolgáltatásként van felsorolva, akkor a központ át lett migrálva a DigiCert Global G2-be.
Gyakori kérdések
Az eszközeim SAS/X.509/TPM hitelesítést használnak. Ez a migrálás hatással lesz az eszközeimre?
A TLS-tanúsítvány migrálása nem befolyásolja az eszközök IoT Hub általi hitelesítését. Ez az áttelepítés hatással van az eszközök IoT Hub- és DPS-végpontok hitelesítésére.
Az IoT Hub és a DPS bemutatja a kiszolgálótanúsítványt az eszközöknek, és az eszközök hitelesítik ezt a tanúsítványt a gyökéren, hogy megbízható kapcsolatot létesíthessenek a végpontokkal. Az eszközöknek rendelkezniük kell az új DigiCert Global Root G2-nek a megbízható tanúsítványtárolókban, hogy a migrálás után ellenőrizni tudják és csatlakozni tudjanak az Azure-hoz.
Az eszközeim az Azure IoT SDK-kkal csatlakoznak. Meg kell tennem valamit, hogy az SDK-k működjenek az új tanúsítvánnyal?
Ez a konkrét licenctől függ.
- Igen, ha a Java V1-eszközügyfélt használja. Ez az ügyfél a Baltimore Cybertrust főtanúsítványát az SDK-val együtt csomagolja be. Frissíthet Java V2-ra, vagy manuálisan is hozzáadhatja a DigiCert Global Root G2 tanúsítványt a forráskódhoz.
- Nem, ha a többi Azure IoT SDK-t használja. A legtöbb Azure IoT SDK a mögöttes operációs rendszer tanúsítványtárolójára támaszkodva kéri le a kiszolgálóhitelesítés megbízható gyökereit a TLS-kézfogás során.
A használt SDK-tól függetlenül erősen ajánlott, hogy az összes ügyfél a migrálás előtt ellenőrizze az eszközeit, ahogy azt az Azure IoT TLS-ről szóló blogbejegyzés érvényesítési szakasza ismerteti: A kritikus változások szinte itt vannak.
Az eszközeim egy szuverén Azure-régióhoz csatlakoznak. Továbbra is frissíteni kell őket?
Nem, csak a globális Azure-felhőt érinti ez a változás. A szuverén felhők nem szerepelnek ebben a migrálásban.
Az IoT Centralt használom. Frissíteni kell az eszközeimet?
Igen, az IoT Central az IoT Hubot és a DPS-t is használja a háttérrendszerben. A TLS migrálása hatással lesz a megoldásra, és frissítenie kell az eszközöket a kapcsolat fenntartásához.
Az alkalmazást a Baltimore CyberTrust-gyökérről a DigiCert Global G2 Gyökérre migrálhatja saját ütemezése szerint. A következő folyamatot javasoljuk:
- Az átmeneti időszak 2024 . szeptember 30-i befejezéséig (a kapcsolat megszakadásának megakadályozásához szükséges) tartsa az eszközön a Baltimore CyberTrust rootot.
- A baltimore-i gyökér mellett győződjön meg arról, hogy a DigiCert Global G2 Root hozzá van adva a megbízható gyökértárolóhoz.
- Győződjön meg arról, hogy nem rögzít köztes vagy levéltanúsítványokat, és a nyilvános gyökereket használja a TLS-kiszolgáló érvényesítéséhez.
- Az IoT Central-alkalmazásban megtalálja a főtanúsítvány-beállításokat a Gépház> Application>Baltimore Cybertrust Migration területen.
- Válassza a DigiCert Globális G2-gyökér lehetőséget az új tanúsítványgyökérre való migráláshoz.
- Kattintson a Mentés gombra az áttelepítés elindításához.
- Szükség esetén a Baltimore-gyökérre való migráláshoz válassza a Baltimore CyberTrust root elemét, és mentse a módosításokat. Ez a beállítás 2023. augusztus 15-ig érhető el, majd le lesz tiltva.
Mennyi ideig tart az eszközeim újracsatlakoztatása?
Az eszköz újracsatlakozási viselkedését számos tényező befolyásolhatja.
Az eszközök úgy vannak konfigurálva, hogy egy adott időközönként újraverjék a kapcsolatot. Az Azure IoT SDK-k alapértelmezés szerint 45 percenként újraértékelnek. Ha egy másik mintát implementált a megoldásban, akkor a felhasználói élmény eltérő lehet.
A migrálás részeként előfordulhat, hogy az IoT Hub új IP-címet kap. Ha az eszközei DNS-kiszolgálót használnak az IoT Hubhoz való csatlakozáshoz, akár egy órát is igénybe vehet, amíg a DNS-kiszolgálók frissülnek az új címmel. További információ: IoT Hub IP-címek.
Mikor távolíthatom el a Baltimore Cybertrust rootot az eszközeimről?
A baltimore-i főtanúsítványt a migrálás minden szakaszának befejezése után eltávolíthatja. Ha csak az IoT Hubot használja, akkor eltávolíthatja a régi főtanúsítványt, miután az IoT Hub áttelepítése 2023. október 15-én befejeződik. Ha a Device Provisioning Service-t vagy az IoT Centralt használja, akkor mindkét főtanúsítványt meg kell őriznie az eszközön, amíg a DPS-migrálás 2024. szeptember 30-ra nem fejeződik be.
Hibaelhárítás
Ha általános csatlakozási problémákat tapasztal az IoT Hubbal kapcsolatban, tekintse meg az alábbi hibaelhárítási erőforrásokat:
- Csatlakozás és újrapróbálkozási minták eszköz SDK-kkal.
- Az Azure IoT Hub hibakódjainak ismertetése és megoldása.
Ha a tanúsítványok migrálása után az Azure Monitort figyeli, keressen egy DeviceDisconnect-eseményt, majd egy Device Csatlakozás eseményt, ahogy az a következő képernyőképen is látható:
Ha az eszköz leválasztja a kapcsolatot, de a migrálás után nem csatlakozik újra, próbálkozzon az alábbi lépésekkel:
Ellenőrizze, hogy a DNS-feloldási és kézfogási kérés hiba nélkül befejeződött-e.
Ellenőrizze, hogy az eszköz rendelkezik-e a DigiCert Global Root G2 tanúsítványával és a Baltimore-tanúsítvánnyal a tanúsítványtárolóban.
Az alábbi Kusto-lekérdezéssel azonosíthatja az eszközök kapcsolati tevékenységeit. További információ: Kusto lekérdezésnyelv (KQL) áttekintése.
AzureDiagnostics | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS" | where Category == "Connections" | extend parsed_json = parse_json(properties_s) | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol) | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersionAz eszköz újracsatlakozási folyamatának nyomon követéséhez használja az IoT Hub Metrikák lapját az Azure Portalon. Ideális esetben a migrálás befejezése előtt és után nem jelenhet meg változás az eszközökön. Az egyik ajánlott metrika a Csatlakozás eszközök, de bármilyen diagramot használhat, amelyet aktívan figyel.