Migrar os recursos do Hub IoT para uma nova raiz de certificado TLS

O Hub IoT do Azure e o DPS (Serviço de Provisionamento de Dispositivos) usam certificados TLS emitidos pela Baltimore CyberTrust Root, que expira em 2025. A partir de fevereiro de 2023, todos os hubs IoT na nuvem global do Azure migrarão para um novo certificado TLS emitido pela DigiCert Global Root G2.

Você já deve começar a planejar os efeitos da migração dos hubs IoT para o novo certificado TLS:

• Qualquer dispositivo que não tenha o DigiCert Global Root G2 no repositório de certificados não poderá se conectar ao Azure.
• O endereço IP do hub IoT será alterado.

Linha do tempo

A migração do Hub IoT está concluída, exceto para hubs que já foram aprovados para uma extensão. Se o hub IoT estiver usando o certificado Baltimore sem um contrato em vigor com a equipe de produtos, seu hub será migrado sem qualquer aviso prévio.

Após a migração de todos os hubs IoT, o DPS realizará a migração entre 15 de janeiro e 30 de setembro de 2024.

Para cada hub IoT com um contrato de extensão em vigor, você pode esperar o seguinte:

• Uma a duas semanas antes da migração: os proprietários da assinatura de cada hub IoT recebem uma notificação por email informando sobre a data de migração. Essa notificação não se aplica a hubs migrados manualmente.
• Dia da migração: o hub IoT alterna seu certificado TLS para o DigiCert Global Root G2, o que resulta em nenhuma tempo de inatividade para o hub IoT. O hub IoT não força reconexões de dispositivo.
• Após a migração: os proprietários da assinatura recebem uma notificação confirmando que o hub IoT foi migrado. Os dispositivos tentam se reconectar com base em sua lógica de repetição individual. Nesse momento, eles solicitam e recebem o novo certificado do servidor do hub IoT e se reconectam somente se confiarem no Digicert Global Root G2.

Solicitar uma extensão

A partir de junho de 2023, o processo de solicitação de extensão será fechado para clientes Hub IoT e IoT Central. Se o hub IoT estiver usando o certificado Baltimore sem um contrato de extensão em vigor com a equipe de produtos, seu hub será migrado sem qualquer aviso prévio.

Etapas necessárias

Para se preparar para a migração, execute as seguintes etapas:

1. Mantenha o Baltimore CyberTrust Root no repositório raiz confiável dos seus dispositivos. Adicione os certificados DigiCert Global Root G2 e Microsoft RSA Root Certificate Authority 2017 aos seus dispositivos. Você pode baixar todos esses certificados nos detalhes da Autoridade de Certificação do Azure.

   É importante ter os três certificados nos dispositivos até que as migrações do Hub IoT e do DPS sejam concluídas. Manter o Baltimore CyberTrust Root garante que os seus dispositivos permanecerão conectados até a migração e a adição do DigiCert Global Root G2 garante que os dispositivos alternem e se reconectem perfeitamente após a migração. A Autoridade de Certificação Raiz do Microsoft RSA 2017 ajuda a evitar interrupções futuras caso o DigiCert Global Root G2 seja desativado inesperadamente.

   Para obter mais informações sobre as práticas de certificado recomendadas do Hub IoT, consulte o suporte do TLS.

2. Verifique se você não está fixando nenhum certificado intermediário ou folha e se está usando as raízes públicas para executar a validação do servidor TLS.

   Ocasionalmente, o Hub IoT e o DPS distribuem as respectivas ACs (autoridades de certificação) intermediárias. Nesses casos, seus dispositivos perderão a conectividade se procurarem explicitamente um certificado folha ou uma AC intermediária. No entanto, os dispositivos que executam a validação usando as raízes públicas continuarão se conectando, independentemente de qualquer alteração na AC intermediária.

Para obter mais informações sobre como testar se os seus dispositivos estão prontos para a migração de certificado TLS, confira a postagem no blog TLS do IoT do Azure: Alterações críticas em breve.

Verificar o status da migração de um hub IoT

Para saber se um hub IoT foi migrado ou não, verifique a raiz do certificado ativo do hub.

Portal do Azure

1. No portal do Azure, navegue para o hub IoT.

2. Selecione Exportar modelo na seção Automação do menu de navegação.

3. Aguarde até que o modelo seja gerado e navegue até a propriedade resources.properties.features no modelo JSON. Se RootCertificateV2 estiver listado como um recurso, o hub será migrado para o DigiCert Global G2.

CLI do Azure

Use o comando az iot hub certificate root-authority show para ver a autoridade raiz do certificado atual para o hub IoT.

az iot hub certificate root-authority show --hub-name <iothub_name>

Na CLI do Azure, o certificado existente da Baltimore CyberTrust Root é conhecido como v1, e o novo certificado da DigiCert Global Root G2 é conhecido como v2. Se a raiz do certificado estiver listada como v2, então o hub IoT foi migrado com sucesso.

Perguntas frequentes

Meus dispositivos usam a autenticação SAS/X.509/TPM. Essa migração afetará os dispositivos?

A migração do certificado TLS não afeta a forma como os dispositivos são autenticados pelo Hub IoT. Essa migração afeta como os dispositivos autenticam os pontos de extremidade do Hub IoT e do DPS.

O Hub IoT e o DPS apresentam os respectivos certificados do servidor para os dispositivos, e os dispositivos autenticam esses certificados em relação à raiz para confiar na conexão com os pontos de extremidade. Os dispositivos precisarão ter o novo DigiCert Global Root G2 nos repositórios de certificados confiáveis para verificação e conexão com o Azure após essa migração.

Meus dispositivos usam os SDKs do IoT do Azure para conexão. Preciso fazer alguma coisa para manter os SDKs funcionando com o novo certificado?

Depende.

• Sim, caso você use o cliente de dispositivo Java V1. Esse cliente empacota o certificado Baltimore Cybertrust Root acompanhado do SDK. Você pode atualizar para o Java V2 ou adicionar manualmente o certificado DigiCert Global Root G2 ao código-fonte.
• Não, caso você use os outros SDKs do IoT do Azure. A maioria dos SDKs do IoT do Azure depende do repositório de certificados do sistema operacional subjacente para recuperar as raízes confiáveis para a autenticação de servidor durante o handshake do TLS.

Seja qual for o SDK usado, recomendamos fortemente que todos os clientes validem os dispositivos antes da migração, conforme descrito na seção sobre validação da postagem no blog TLS do IoT do Azure: Alterações críticas em breve.

Meus dispositivos se conectam a uma região soberana do Azure. Ainda preciso atualizá-los?

Não, somente a nuvem global do Azure é afetada por essa alteração. As nuvens soberanas não estão incluídas nessa migração.

Uso o IoT Central. Preciso atualizar meus dispositivos?

Sim, o IoT Central usa o Hub IoT e o DPS no back-end. A migração do TLS afetará sua solução, e você precisará atualizar seus dispositivos para manter a conexão.

Você pode migrar seu aplicativo do Baltimore CyberTrust Root para o DigiCert Global G2 Root no seu agendamento. Recomendamos o seguinte processo:

1. Mantenha a Baltimore CyberTrust Root em seu dispositivo até que o período de transição seja concluído em 30 de setembro de 2024 (necessário para evitar a interrupção da conexão).
2. Além do Baltimore Root, verifique se o DigiCert Global G2 Root foi adicionado ao repositório raiz confiável.
3. Verifique se não está fixando nenhum certificado secundário ou intermediário e está usando as raízes públicas para executar a validação do servidor TLS.
4. Em seu aplicativo do IoT Central, você pode encontrar as configurações do Certificação Raiz em Configurações>Aplicativo>Baltimore Cybertrust Migration. 
   1. Selecione DigiCert Global G2 Root para migrar para a nova raiz do certificado.
   2. Clique em Salvar para iniciar a migração.
   3. Se necessário, você pode migrar de volta para a raiz do Baltimore selecionando Baltimore CyberTrust Root e salvando as alterações. Essa opção está disponível até 15 de agosto de 2023. A partir dessa data, ela será desabilitada.

Quanto tempo meus dispositivos levarão para se reconectar?

Vários fatores podem afetar o comportamento de reconexão do dispositivo.

Os dispositivos são configurados para verificar a conexão novamente em um intervalo específico. O padrão nos SDKs do IoT do Azure é verificá-la novamente a cada 45 minutos. Se você implementou um padrão diferente na solução, sua experiência pode variar.

Além disso, como parte da migração, seu hub IoT poderá obter um novo endereço IP. Se os dispositivos usarem um servidor DNS para se conectarem ao hub IoT, poderá levar até uma hora para que os servidores DNS sejam atualizados com o novo endereço. Para obter mais informações, confira Endereços IP do Hub IoT.

Quando poderei remover o Baltimore Cybertrust Root dos meus dispositivos?

Você poderá remover o certificado raiz do Baltimore após concluir todas as fases da migração. Se você usar apenas o Hub IoT, poderá remover o certificado raiz antigo depois que a migração do Hub IoT estiver agendada para ser concluída em 15 de outubro de 2023. Se você usar o Serviço de Provisionamento de Dispositivos ou o Azure IoT Central, será necessário manter os dois certificados raiz no dispositivo até que a migração do DPS esteja programada para ser concluída em 30 de setembro de 2024.

Solucionar problemas

Se estiver tendo problemas gerais de conectividade com o Hub IoT, confira estes recursos de solução de problemas:

• Padrões de conexão e repetição com os SDKs de dispositivo.
• Noções básicas e solução de códigos de erro do Hub IoT do Azure.

Se estiver inspecionando o Azure Monitor depois de migrar os certificados, procure um evento DeviceDisconnect seguido de um evento DeviceConnect, conforme demonstrado na seguinte captura de tela:

Se o dispositivo se desconectar, mas não se reconectar após a migração, experimente as seguintes etapas:

• Verifique se a resolução DNS e a solicitação de handshake foram concluídas sem erros.

• Verifique se o dispositivo tem o certificado DigiCert Global Root G2 e o certificado Baltimore instalados no repositório de certificados.

• Use a consulta Kusto a seguir para identificar a atividade de conexão dos dispositivos. Para obter mais informações, confira Visão geral da KQL (consultas Linguagem de Consulta Kusto).

  AzureDiagnostics
  | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS"
  | where Category == "Connections"
  | extend parsed_json = parse_json(properties_s)
  | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol)
  | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersion
  

• Use a guia Métricas do hub IoT no portal do Azure para acompanhar o processo de reconexão do dispositivo. O ideal é que você não veja nenhuma alteração nos dispositivos antes e depois de concluir essa migração. Uma métrica recomendada para inspeção é Dispositivos Conectados, mas você pode usar qualquer gráfico que monitora ativamente.