IoT Hub kaynaklarını yeni bir TLS sertifika köküne geçirme

Azure IoT Hub ve Cihaz Sağlama Hizmeti (DPS), Baltimore CyberTrust Root tarafından verilen ve süresi 2025'te dolan TLS sertifikalarını kullanır. Şubat 2023 itibarıyla, genel Azure bulutundaki tüm IoT hub’ları DigiCert Genel Kök G2 tarafından verilen yeni bir TLS sertifikasına geçirilecektir.

IoT hub'larınızı yeni TLS sertifikasına geçirmenin etkilerini planlamaya hemen başlamalısınız:

• Sertifika deposunda DigiCert Genel Kök G2'ye sahip olmayan tüm cihazlar Azure'a bağlanamaz.
• IoT hub'ının IP adresi değişir.

Zaman çizelgesi

Bir uzantı için zaten onaylanmış hub'lar dışında IoT Hub geçişi tamamlanmıştır. IoT hub'ınızın ürün ekibiyle bir anlaşma yapılmadan Baltimore sertifikasını kullandığı tespit edilirse, hub'ınız başka bir bildirimde bulunmaksızın geçirilir.

Tüm IoT hub'ları geçirildikten sonra DPS, geçiş işlemini 15 Ocak ile 30 Eylül 2024 tarihleri arasında gerçekleştirecektir.

Bir uzantı sözleşmesi bulunan her IoT hub'ı için aşağıdakileri bekleyebilirsiniz:

• Geçiş öncesinde bir-iki hafta önce: Her IoT hub'ının abonelik sahipleri, geçiş tarihlerini bildiren bir e-posta bildirimi alır. Bu bildirim, el ile geçirilen hub'lar için geçerli değildir.
• Geçiş günü: IoT hub'ı TLS sertifikasını DigiCert Genel Kök G2'ye değiştirir ve bu da IoT hub'ı için kapalı kalma süresine neden olmaz. IoT Hub, cihaz yeniden bağlanmalarını zorlamaz.
• Geçiş sonrasında: Abonelik sahipleri, IoT hub'sının geçirildiğini onaylayan bir bildirim alır. Cihazlar kendi yeniden deneme mantığına göre yeniden bağlanmayı dener ve bu noktada IoT Hub'dan yeni sunucu sertifikasını alır ve yalnızca Digicert Genel Kök G2'ye güveniyorlarsa yeniden bağlanırlar.

Uzantı isteme

Ağustos 2023 itibarıyla uzantı isteği işlemi IoT Hub ve IoT Central için kapatılır. IoT hub'ınızın ürün ekibiyle bir uzantı sözleşmesi yapılmadan Baltimore sertifikasını kullandığı tespit edilirse, hub'ınız başka bir bildirimde bulunmaksızın geçirilir.

Gerekli adımlar

Geçişe hazırlanmak için aşağıdaki adımları izleyin:

1. Baltimore CyberTrust Kökünü cihazlarınızın güvenilen kök deposunda tutun. Cihazlarınıza DigiCert Genel Kök G2 ve Microsoft RSA Kök Sertifika Yetkilisi 2017 sertifikalarını ekleyin. Bu sertifikaların tümünü Azure Sertifika Yetkilisi ayrıntılarından indirebilirsiniz.

   IoT Hub ve DPS geçişleri tamamlanana kadar cihazlarınızda üç sertifikanın da olması önemlidir. Baltimore CyberTrust Root'un tutulması, cihazlarınızın geçişe kadar bağlı kalmasını sağlar ve DigiCert Global Root G2'yi eklemek, cihazlarınızın geçiş sonrasında sorunsuz bir şekilde geçiş yapıp yeniden bağlanmasını sağlar. Microsoft RSA Kök Sertifika Yetkilisi 2017, DigiCert Genel Kök G2'nin beklenmedik bir şekilde kullanımdan kaldırılıyor olması durumunda gelecekteki kesintileri önlemeye yardımcı olur.

   IoT Hub'ın önerilen sertifika uygulamaları hakkında daha fazla bilgi için bkz . TLS desteği.

2. Ara veya yaprak sertifika sabitlemediğinizden ve TLS sunucu doğrulamasını gerçekleştirmek için ortak kökleri kullandığınızdan emin olun.

   IoT Hub ve DPS ara olarak ara sertifika yetkililerini (CA) devreder. Bu durumlarda, cihazlarınız açıkça ara CA veya yaprak sertifika ararsa bağlantıyı kaybeder. Ancak, ortak köklerini kullanarak doğrulama gerçekleştiren cihazlar ara CA'da yapılan değişikliklerden bağımsız olarak bağlanmaya devam eder.

Cihazlarınızın TLS sertifika geçişi için hazır olup olmadığını test etme hakkında daha fazla bilgi için Azure IoT TLS: Kritik değişiklikler neredeyse burada.

IoT hub'ının geçiş durumunu denetleme

IoT hub'ının geçirilip geçirilmediğini öğrenmek için hub'ın etkin sertifika kökünü denetleyin.

Azure portalı

1. Azure portalında IoT hub'ınıza gidin.

2. Gezinti menüsünün Otomasyon bölümünde Şablonu dışarı aktar'ı seçin.

3. Şablonun oluşturulmasını bekleyin, ardından JSON şablonundaki resources.properties.features özelliğine gidin. RootCertificateV2 bir özellik olarak listeleniyorsa hub'ınız DigiCert Global G2'ye geçirilmiştir.

Azure CLI

IoT hub'ınızın geçerli sertifika kök yetkilisini görüntülemek için az iot hub certificate root-authority show komutunu kullanın.

az iot hub certificate root-authority show --hub-name <iothub_name>

Azure CLI'da, mevcut Baltimore CyberTrust Kök sertifikası v1olarak ve yeni DigiCert Genel Kök G2 sertifikası v2 olarak adlandırılır. Sertifika kökü v2 olarak listeleniyorsa IoT hub'ı başarıyla geçirilmiştir.

Sık sorulan sorular

Cihazlarım SAS/X.509/TPM kimlik doğrulaması kullanıyor. Bu geçiş cihazlarımı etkileyecek mi?

TLS sertifikasının geçirilmesi, cihazların IoT Hub tarafından kimlik doğrulamasının nasıl yapıldığını etkilemez. Bu geçiş, cihazların IoT Hub ve DPS uç noktalarının kimliğini doğrulama şeklini etkiler.

IoT Hub ve DPS sunucu sertifikalarını cihazlara sunar ve cihazlar uç noktalara olan bağlantılarına güvenmek için bu sertifikanın kimliğini kökte doğrular. Bu geçiş sonrasında Azure'a bağlanabilmek için cihazların güvenilen sertifika depolarında yeni DigiCert Genel Kök G2'ye sahip olması gerekir.

Cihazlarım bağlanmak için Azure IoT SDK'larını kullanıyor. SDK'ların yeni sertifikayla çalışmasını sağlamak için bir şey yapmam gerekiyor mu?

Duruma göre değişir.

• Evet, Java V1 cihaz istemcisini kullanıyorsanız. Bu istemci, SDK ile birlikte Baltimore Cybertrust Root sertifikasını paketler. Java V2'ye güncelleştirebilir veya DigiCert Genel Kök G2 sertifikasını kaynak kodunuza el ile ekleyebilirsiniz.
• Hayır, diğer Azure IoT SDK'larını kullanıyorsanız. Çoğu Azure IoT SDK'sı, TLS el sıkışması sırasında sunucu kimlik doğrulaması için güvenilen kökleri almak için temel işletim sisteminin sertifika deposuna güvenir.

Azure IoT TLS: Kritik değişiklikler neredeyse buradadır blog gönderisinin doğrulama bölümünde açıklandığı gibi, kullanılan SDK'ya bakılmaksızın tüm müşterilerin geçiş öncesinde cihazlarını doğrulamasını kesinlikle öneririz.

Cihazlarım bağımsız bir Azure bölgesine bağlanıyor. Yine de güncelleştirmem gerekiyor mu?

Hayır, bu değişiklikten yalnızca genel Azure bulutu etkilenir. Bağımsız bulutlar bu geçişe dahil değildir.

IoT Central kullanıyorum. Cihazlarımı güncelleştirmem gerekiyor mu?

Evet, IoT Central arka uçta hem IoT Hub hem de DPS kullanır. TLS geçişi çözümünüzü etkiler ve bağlantıyı sürdürmek için cihazlarınızı güncelleştirmeniz gerekir.

Uygulamanızı Baltimore CyberTrust Kökü'nden DigiCert Global G2 Kökü'ne kendi zamanlamanızla geçirebilirsiniz. Aşağıdaki işlemi öneririz:

1. Geçiş dönemi 30 Eylül 2024'te tamamlanana kadar Baltimore CyberTrust Kökünü cihazınızda tutun (bağlantı kesintisini önlemek için gereklidir).
2. Baltimore Kökü'ne ek olarak , DigiCert Global G2 Kökü'nin güvenilen kök deponuza eklendiğinden emin olun.
3. Ara veya yaprak sertifika sabitlemediğinizden ve TLS sunucu doğrulamasını gerçekleştirmek için ortak kökleri kullandığınızdan emin olun.
4. IoT Central uygulamanızda kök sertifika ayarlarını Ayarlar> Application>Baltimore Cybertrust Migration altında bulabilirsiniz. 
   1. Yeni sertifika köküne geçmek için DigiCert Genel G2 Kökü'ne tıklayın.
   2. Geçişi başlatmak için Kaydet'e tıklayın.
   3. Gerekirse Baltimore CyberTrust Root'ı seçip değişiklikleri kaydederek Baltimore köküne geri geçiş yapabilirsiniz. Bu seçenek 15 Ağustos 2023'e kadar kullanılabilir ve devre dışı bırakılacaktır.

Cihazlarımın yeniden bağlanması ne kadar sürer?

Cihaz yeniden bağlanma davranışını çeşitli faktörler etkileyebilir.

Cihazlar, belirli bir aralıkta bağlantılarını geri almak üzere yapılandırılır. Azure IoT SDK'larında varsayılan değer her 45 dakikada bir geri almaktır. Çözümünüzde farklı bir desen uyguladıysanız deneyiminiz farklılık gösterebilir.

Ayrıca, geçişin bir parçası olarak IoT hub'ınız yeni bir IP adresi alabilir. Cihazlarınız IoT hub'ına bağlanmak için bir DNS sunucusu kullanıyorsa, DNS sunucularının yeni adresle yenilenmesi bir saat kadar sürebilir. Daha fazla bilgi için bkz . IoT Hub IP adresleri.

Baltimore Cybertrust Kökünü cihazlarımdan ne zaman kaldırabilirim?

Geçişin tüm aşamaları tamamlandıktan sonra Baltimore kök sertifikasını kaldırabilirsiniz. Yalnızca IoT Hub kullanıyorsanız, IoT Hub geçişi 15 Ekim 2023'te tamamlanmak üzere zamanlandıktan sonra eski kök sertifikayı kaldırabilirsiniz. Cihaz Sağlama Hizmeti veya IoT Central kullanıyorsanız, DPS geçişi 30 Eylül 2024'te tamamlanmak üzere zamanlanana kadar her iki kök sertifikayı da cihazınızda tutmanız gerekir.

Sorun giderme

IoT Hub ile ilgili genel bağlantı sorunlarıyla karşılaşıyorsanız şu sorun giderme kaynaklarına göz atın:

• Cihaz SDK'larıyla desenleri Bağlan ve yeniden deneyin.
• Azure IoT Hub hata kodlarını anlama ve çözme.

Sertifikaları geçirdikten sonra Azure İzleyici'yi izliyorsanız, aşağıdaki ekran görüntüsünde gösterildiği gibi devicedisconnect olayını ve ardından Device Bağlan olayını aramalısınız:

Cihazınızın bağlantısı kesilirse ancak geçiş sonrasında yeniden bağlanmazsa aşağıdaki adımları deneyin:

• DNS çözümleme ve el sıkışma isteğinizin hatasız tamamlanıp tamamlanmadığını denetleyin.

• Cihazın sertifika deposunda hem DigiCert Genel Kök G2 sertifikasının hem de Baltimore sertifikasının yüklü olduğunu doğrulayın.

• Cihazlarınız için bağlantı etkinliğini belirlemek için aşağıdaki Kusto sorgusunu kullanın. Daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.

  AzureDiagnostics
  | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS"
  | where Category == "Connections"
  | extend parsed_json = parse_json(properties_s)
  | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol)
  | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersion
  

• Cihaz yeniden bağlanma işlemini izlemek için Azure portalında IoT hub'ınızın Ölçümler sekmesini kullanın. İdeal olarak, bu geçişi tamamlamadan önce ve sonra cihazlarınızda hiçbir değişiklik görmemeniz gerekir. İzlemeniz önerilen ölçümlerden biri Bağlan Cihazlar'dır, ancak etkin olarak izlediğiniz grafikleri kullanabilirsiniz.