Memigrasikan sumber daya IoT Hub ke root sertifikat TLS baru

Azure IoT Hub dan Device Provisioning Service (DPS) menggunakan sertifikat TLS yang dikeluarkan oleh Baltimore CyberTrust Root, yang kedaluwarsa pada tahun 2025. Mulai Februari 2023, semua IoT hub di cloud Azure global akan bermigrasi ke sertifikat TLS baru yang dikeluarkan oleh DigiCert Global Root G2.

Anda harus mulai merencanakan sekarang untuk efek memigrasikan hub IoT Anda ke sertifikat TLS baru:

• Perangkat apa pun yang tidak memiliki DigiCert Global Root G2 di penyimpanan sertifikatnya tidak akan dapat tersambung ke Azure.
• Alamat IP hub IoT akan berubah.

Garis Waktu

Migrasi IoT Hub selesai kecuali untuk hub yang telah disetujui untuk ekstensi. Jika hub IoT Anda ditemukan menggunakan sertifikat Baltimore tanpa perjanjian dengan tim produk, hub Anda akan dimigrasikan tanpa pemberitahuan lebih lanjut.

Setelah semua hub IoT bermigrasi, DPS akan melakukan migrasinya antara 15 Januari dan 30 September 2024.

Untuk setiap hub IoT dengan perjanjian ekstensi di tempat, Anda dapat mengharapkan hal berikut:

• Satu hingga dua minggu sebelum migrasi: Pemilik langganan setiap hub IoT menerima pemberitahuan email yang memberi tahu mereka tentang tanggal migrasi mereka. Pemberitahuan ini tidak berlaku untuk hub yang dimigrasikan secara manual.
• Hari migrasi: Hub IoT mengalihkan sertifikat TLS-nya ke DigiCert Global Root G2, yang tidak menghasilkan waktu henti untuk hub IoT. IoT Hub tidak memaksa koneksi ulang perangkat.
• Mengikuti migrasi: Pemilik langganan menerima pemberitahuan yang mengonfirmasi bahwa hub IoT dimigrasikan. Perangkat mencoba terhubung kembali berdasarkan logika percobaan kembali individu mereka, di mana mereka meminta dan menerima sertifikat server baru dari IoT Hub dan menyambungkan kembali hanya jika mereka mempercayai Digicert Global Root G2.

Meminta ekstensi

Pada Agustus 2023, proses permintaan ekstensi ditutup untuk IoT Hub dan IoT Central. Jika hub IoT Anda ditemukan menggunakan sertifikat Baltimore tanpa perjanjian perpanjangan dengan tim produk, hub Anda akan dimigrasikan tanpa pemberitahuan lebih lanjut.

Langkah-langkah yang diperlukan

Untuk mempersiapkan migrasi, lakukan langkah-langkah berikut:

1. Simpan Baltimore CyberTrust Root di penyimpanan akar tepercaya perangkat Anda. Tambahkan DigiCert Global Root G2 dan sertifikat Microsoft RSA Root Certificate Authority 2017 ke perangkat Anda. Anda dapat mengunduh semua sertifikat ini dari detail Otoritas Sertifikat Azure.

   Penting untuk memiliki ketiga sertifikat di perangkat Anda sampai migrasi IoT Hub dan DPS selesai. Menjaga Baltimore CyberTrust Root memastikan bahwa perangkat Anda akan tetap terhubung sampai migrasi, dan menambahkan DigiCert Global Root G2 memastikan bahwa perangkat Anda akan beralih dan terhubung kembali dengan lancar setelah migrasi. Otoritas Sertifikat Akar Microsoft RSA 2017 membantu mencegah gangguan di masa mendatang jika DigiCert Global Root G2 dihentikan secara tiba-tiba.

   Untuk informasi selengkapnya tentang praktik sertifikat IoT Hub yang direkomendasikan, lihat dukungan TLS.

2. Pastikan Anda tidak menyematkan sertifikat menengah atau daun apa pun, dan menggunakan akar publik untuk melakukan validasi server TLS.

   IoT Hub dan DPS sesekali menggulirkan otoritas sertifikat perantara (CA) mereka. Dalam kasus ini, perangkat Anda akan kehilangan konektivitas jika secara eksplisit mencari CA menengah atau sertifikat daun. Namun, perangkat yang melakukan validasi menggunakan akar publik akan terus terhubung terlepas dari perubahan apa pun pada CA perantara.

Untuk informasi selengkapnya tentang cara menguji apakah perangkat Anda siap untuk migrasi sertifikat TLS, lihat posting blog Azure IoT TLS: Perubahan kritis hampir di sini.

Memeriksa status migrasi hub IoT

Untuk mengetahui apakah hub IoT telah dimigrasikan atau tidak, periksa akar sertifikat aktif untuk hub.

Portal Azure

1. Di portal Azure, navigasi ke hub IoT Anda.

2. Pilih Ekspor templat di bagian Automation pada menu navigasi.

3. Tunggu hingga templat dihasilkan, lalu navigasikan ke properti resources.properties.features di templat JSON. Jika RootCertificateV2 terdaftar sebagai fitur, maka hub Anda telah dimigrasikan ke DigiCert Global G2.

Azure CLI

Gunakan perintah az iot hub certificate root-authority show untuk melihat otoritas akar sertifikat saat ini untuk hub IoT Anda.

az iot hub certificate root-authority show --hub-name <iothub_name>

Di Azure CLI, sertifikat Baltimore CyberTrust Root yang ada disebut sebagai v1, dan sertifikat DigiCert Global Root G2 baru disebut sebagai v2. Jika akar sertifikat terdaftar sebagai v2, maka hub IoT telah berhasil dimigrasikan.

Tanya jawab umum

Perangkat saya menggunakan autentikasi SAS/X.509/TPM. Apakah migrasi ini akan memengaruhi perangkat saya?

Memigrasikan sertifikat TLS tidak memengaruhi cara perangkat diautentikasi oleh IoT Hub. Migrasi ini memang memengaruhi cara perangkat mengautentikasi titik akhir IoT Hub dan DPS.

IoT Hub dan DPS menyajikan sertifikat server mereka ke perangkat, dan perangkat mengautentikasi sertifikat tersebut terhadap akar untuk mempercayai koneksi mereka ke titik akhir. Perangkat harus memiliki DigiCert Global Root G2 baru di penyimpanan sertifikat tepercaya mereka untuk dapat memverifikasi dan menyambungkan ke Azure setelah migrasi ini.

Perangkat saya menggunakan Azure IoT SDK untuk menyambungkan. Apakah saya harus melakukan apa pun agar SDK tetap berfungsi dengan sertifikat baru?

Tergantung.

• Ya, jika Anda menggunakan klien perangkat Java V1. Klien ini mengemas sertifikat Baltimore Cybertrust Root bersama dengan SDK. Anda dapat memperbarui ke Java V2 atau menambahkan sertifikat DigiCert Global Root G2 secara manual ke kode sumber Anda.
• Tidak, jika Anda menggunakan Azure IoT SDK lainnya. Sebagian besar Azure IoT SDK mengandalkan penyimpanan sertifikat sistem operasi yang mendasar untuk mengambil akar tepercaya untuk autentikasi server selama jabat tangan TLS.

Terlepas dari SDK yang digunakan, kami sangat menyarankan agar semua pelanggan memvalidasi perangkat mereka sebelum migrasi, seperti yang dijelaskan di bagian validasi posting blog Azure IoT TLS: Perubahan kritis hampir ada di sini.

Perangkat saya tersambung ke wilayah Sovereign Azure. Apakah saya masih perlu memperbaruinya?

Tidak, hanya cloud Azure global yang terpengaruh oleh perubahan ini. Sovereign cloud tidak disertakan dalam migrasi ini.

Saya menggunakan IoT Central. Apakah saya perlu memperbarui perangkat saya?

Ya, IoT Central menggunakan IoT Hub dan DPS di backend. Migrasi TLS akan memengaruhi solusi Anda, dan Anda perlu memperbarui perangkat Anda untuk mempertahankan koneksi.

Anda dapat memigrasikan aplikasi Anda dari Baltimore CyberTrust Root ke DigiCert Global G2 Root sesuai jadwal Anda sendiri. Kami merekomendasikan proses berikut:

1. Simpan Baltimore CyberTrust Root di perangkat Anda hingga periode transisi selesai pada 30 September 2024 (perlu untuk mencegah gangguan koneksi).
2. Selain Baltimore Root, pastikan DigiCert Global G2 Root ditambahkan ke penyimpanan akar tepercaya Anda.
3. Pastikan Anda tidak menyematkan sertifikat menengah atau daun apa pun dan menggunakan akar publik untuk melakukan validasi server TLS.
4. Di aplikasi IoT Central Anda, Anda dapat menemukan pengaturan Sertifikasi Akar di bawah Pengaturan> Migrasi Cybertrust Baltimore Aplikasi.> 
   1. Pilih DigiCert Global G2 Root untuk bermigrasi ke akar sertifikat baru.
   2. Klik Simpan untuk memulai migrasi.
   3. Jika diperlukan, Anda dapat bermigrasi kembali ke akar Baltimore dengan memilih Baltimore CyberTrust Root dan menyimpan perubahan. Opsi ini tersedia hingga 15 Agustus 2023 dan kemudian akan dinonaktifkan.

Berapa lama waktu yang dibutuhkan perangkat saya untuk terhubung kembali?

Beberapa faktor dapat memengaruhi perilaku koneksi ulang perangkat.

Perangkat dikonfigurasi untuk mengembalikan koneksinya pada interval tertentu. Default dalam Azure IoT SDK adalah memverifikasi ulang setiap 45 menit. Jika Anda telah menerapkan pola yang berbeda dalam solusi Anda, maka pengalaman Anda mungkin berbeda.

Selain itu, sebagai bagian dari migrasi, hub IoT Anda mungkin mendapatkan alamat IP baru. Jika perangkat Anda menggunakan server DNS untuk menyambungkan ke hub IoT, diperlukan waktu hingga satu jam agar server DNS di-refresh dengan alamat baru. Untuk informasi selengkapnya, lihat Alamat IP IoT Hub.

Kapan saya dapat menghapus Baltimore Cybertrust Root dari perangkat saya?

Anda dapat menghapus sertifikat akar Baltimore setelah semua tahap migrasi selesai. Jika Anda hanya menggunakan IoT Hub, maka Anda dapat menghapus sertifikat akar lama setelah migrasi IoT Hub dijadwalkan selesai pada 15 Oktober 2023. Jika Anda menggunakan Device Provisioning Service atau IoT Central, maka Anda perlu menyimpan kedua sertifikat akar di perangkat Anda hingga migrasi DPS dijadwalkan selesai pada 30 September 2024.

Pecahkan masalah

Jika Anda mengalami masalah konektivitas umum dengan IoT Hub, lihat sumber daya pemecahan masalah ini:

• Koneksi dan coba lagi pola dengan SDK perangkat.
• Memahami dan mengatasi kode kesalahan Azure IoT Hub.

Jika Anda menonton Azure Monitor setelah memigrasikan sertifikat, Anda harus mencari peristiwa DeviceDisconnect diikuti oleh peristiwa Device Koneksi, seperti yang ditunjukkan dalam cuplikan layar berikut:

Jika perangkat Anda terputus tetapi tidak tersambung kembali setelah migrasi, coba langkah-langkah berikut:

• Periksa apakah resolusi DNS dan permintaan jabat tangan Anda selesai tanpa kesalahan apa pun.

• Verifikasi bahwa perangkat memiliki sertifikat DigiCert Global Root G2 dan sertifikat Baltimore yang diinstal di penyimpanan sertifikat.

• Gunakan kueri Kusto berikut untuk mengidentifikasi aktivitas koneksi untuk perangkat Anda. Untuk informasi selengkapnya, lihat gambaran umum Bahasa Kueri Kusto (KQL).

  AzureDiagnostics
  | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS"
  | where Category == "Connections"
  | extend parsed_json = parse_json(properties_s)
  | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol)
  | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersion
  

• Gunakan tab Metrik hub IoT Anda di portal Azure untuk melacak proses koneksi ulang perangkat. Idealnya, Anda tidak akan melihat perubahan di perangkat Anda sebelum dan sesudah Anda menyelesaikan migrasi ini. Salah satu metrik yang direkomendasikan untuk ditonton adalah Perangkat yang Koneksi, tetapi Anda dapat menggunakan bagan apa pun yang Anda pantau secara aktif.