Migrar recursos do Hub IoT para um novo certificado de raiz TLS
Artigo
O Hub IoT do Azure e o Serviço de Aprovisionamento de Dispositivos (DPS) utilizam certificados TLS emitidos pelo Baltimore CyberTrust Root, que expira em 2025. A partir de fevereiro de 2023, todos os hubs IoT na nuvem global do Azure começaram a migrar para um novo certificado TLS emitido pelo DigiCert Global Root G2.
Os efeitos da migração do certificado TLS em seus hubs IoT incluem:
Qualquer dispositivo que não tenha o DigiCert Global Root G2 em seu armazenamento de certificados não poderá mais se conectar ao Azure.
O endereço IP do hub IoT foi alterado.
Linha Cronológica
A partir de 30 de setembro de 2024, a migração estará concluída para todos os recursos do Hub IoT, IoT Central e Serviço de Provisionamento de Dispositivos.
Passos necessários
Como parte da migração, execute as seguintes etapas:
Adicione os certificados DigiCert Global Root G2 e Microsoft RSA Root Certificate Authority 2017 aos seus dispositivos. Você pode baixar todos esses certificados dos detalhes da Autoridade de Certificação do Azure.
O DigiCert Global Root G2 garante que seus dispositivos possam se conectar após a migração. A Microsoft RSA Root Certificate Authority 2017 ajuda a evitar futuras interrupções caso o DigiCert Global Root G2 seja desativado inesperadamente.
Para obter mais informações sobre as práticas de certificado recomendadas do Hub IoT, consulte Suporte a TLS.
Certifique-se de que você não está fixando nenhum certificado intermediário ou folha e está usando as raízes públicas para executar a validação do servidor TLS.
O Hub IoT e o DPS ocasionalmente rolam sua autoridade de certificação (CA) intermediária. Nesses casos, seus dispositivos perderão a conectividade se procurarem explicitamente uma CA intermediária ou um certificado folha. No entanto, os dispositivos que executam a validação usando as raízes públicas continuarão a se conectar, independentemente de quaisquer alterações na autoridade de certificação intermediária.
Perguntas mais frequentes
Meus dispositivos usam autenticação SAS/X.509/TPM. Esta migração afetou os meus dispositivos?
A migração do certificado TLS não afeta a forma como os dispositivos são autenticados pelo Hub IoT. Essa migração afeta como os dispositivos autenticam os pontos de extremidade do Hub IoT e do DPS.
O Hub IoT e o DPS apresentam seu certificado de servidor aos dispositivos, e os dispositivos autenticam esse certificado na raiz para confiar em sua conexão com os pontos de extremidade. Os dispositivos precisam ter o novo DigiCert Global Root G2 em seus repositórios de certificados confiáveis para poder verificar e se conectar ao Azure após essa migração.
Meus dispositivos usam os SDKs do Azure IoT para se conectar. Tenho que fazer alguma coisa para manter os SDKs trabalhando com o novo certificado?
Depende.
Sim, se você usar o cliente de dispositivo Java V1. Este cliente empacota o certificado raiz do Baltimore Cybertrust junto com o SDK. Você pode atualizar para Java V2 ou adicionar manualmente o certificado DigiCert Global Root G2 ao seu código-fonte.
Não, se você usar os outros SDKs do Azure IoT. A maioria dos SDKs do Azure IoT depende do armazenamento de certificados do sistema operacional subjacente para recuperar raízes confiáveis para autenticação de servidor durante o handshake TLS.
Meus dispositivos se conectam a uma região soberana do Azure. Ainda preciso atualizá-los?
Não, apenas a nuvem global do Azure é afetada por esta alteração. Nuvens soberanas não foram incluídas nesta migração.
Eu uso o IoT Central. Preciso de atualizar os meus dispositivos?
Sim, o IoT Central usa o Hub IoT e o DPS no back-end. A migração TLS afetou sua solução e você precisa atualizar seus dispositivos para manter a conexão.
Quando posso remover o Baltimore Cybertrust Root dos meus dispositivos?
Você pode remover o certificado raiz de Baltimore agora que todos os estágios da migração estão concluídos. A partir de 30 de setembro de 2024, nenhum recurso do Azure IoT usará o certificado raiz de Baltimore.
Resolver problemas
Se você estiver enfrentando problemas gerais de conectividade com o Hub IoT, confira estes recursos de solução de problemas:
Se você estiver assistindo ao Azure Monitor depois de migrar certificados, procure um evento DeviceDisconnect seguido de um evento DeviceConnect, conforme demonstrado na captura de tela a seguir:
Se o dispositivo se desconectar, mas não se reconectar após a migração, tente as seguintes etapas:
Verifique se a resolução de DNS e a solicitação de handshake foram concluídas sem erros.
Verifique se o dispositivo tem o certificado DigiCert Global Root G2 e o certificado Baltimore instalados no armazenamento de certificados.
Use a seguinte consulta Kusto para identificar a atividade de conexão para seus dispositivos. Para obter mais informações, consulte Visão geral da linguagem de consulta Kusto (KQL).
Use a guia Métricas do seu hub IoT no portal do Azure para acompanhar o processo de reconexão do dispositivo. Idealmente, você não verá nenhuma alteração em seus dispositivos antes e depois de concluir essa migração. Uma métrica recomendada para assistir é Dispositivos conectados, mas você pode usar quaisquer gráficos que monitore ativamente.
Crie código que se autentique com o Serviço de Provisionamento de Dispositivo (DPS) do Hub IoT do Azure usando certificados X.509, gere telemetria e acesse propriedades gêmeas de dispositivo. Use certificados X.509 para implementar inscrições de grupo e desprovisionar inscrições, grupos e dispositivos individuais de um grupo de registros.