Teilen über

Vorbereiten auf die Rotation eines Device Update for IoT Hub-Stammschlüssels

  • Artikel

Erfahren Sie mehr über die Rotation von Device Update for IoT Hub-Stammschlüsseln und mögliche Voraussetzungen für die Vorbereitung.

Grundlegendes zur Sicherheit in Device Update for IoT Hub und zur Verwendung von Stammschlüsseln

Bevor Sie mehr über den Stammschlüssel-Rotationsprozess für Device Update erfahren, erfahren Sie etwas über Stammschlüssel, indem Sie die Seite Device Update-Sicherheitsmodell besuchen.

Bevorstehende Stammschlüsselrotation im August 2025

Am 26. August 2025rotiert der Device Update for IoT Hub-Dienst ADU.200702.R, den Stammschlüssel, der derzeit für die Überprüfung von Signaturschlüsseln verwendet wird, die mit Updatemanifesten verknüpft sind. Die Rotation dieses Schlüssels bedeutet, dass der Device Update-Dienst keine importierten Inhalte mehr mit einem Schlüssel signiert, der mit ADU.200702.R verkettet ist, und mit der Signierung eines Schlüssels beginnt, der mit ADU.200703.R verkettet ist.

Potenzielle Auswirkung

Nach dem 26. August bleiben alle Inhalte, die Sie vor dem 26. August in Ihre Device Update-Instanz importiert haben, mit ADU.200702.R signiert, und es ändert sich nichts an der Bereitstellung auf Ihren Geräten.

Alle nach dem 26. August importierten Inhalte werden mit ADU.200703.R signiert. Standardmäßig verfügen alle unterstützten Versionen des Device Update-Referenz-Agents über ADU.200702.R und ADU.200703.R. Dies bedeutet, dass alle mit ADU.200703.R signierten Inhalte auf Ihren Geräten bereitgestellt werden können und keine Aktion erforderlich ist, sofern Sie den Device Update-Agent-Code nicht geändert haben.

Wenn sich ADU.200703.R aus irgendeinem Grund nicht auf Ihren Geräten ist befindet, z. B. wenn Sie Ihren eigenen Device Update-Agent erstellt haben und nicht beide Schlüssel eingeschlossen haben – können Inhalte, die Sie nach dem 26. August importieren, auf diesen Geräten nicht mehr bereitgestellt werden. In diesem Fall können Sie eine der folgenden Optionen vor dem 26. August ausführen:

  • Aktualisieren Sie Ihre Geräte auf Device Update-Agent Version 1.1.0 oder höher. Agent-Versionen ab 1.1.0 enthalten die Möglichkeit, den neuesten Stammschlüssel automatisch abzurufen, sodass Rotationsereignisse einschließlich des am 26. August erfolgenden keine Aktion von Ihnen erfordern.
  • Aktualisieren Sie Ihre Geräte, indem Sie einfach ADU.200703.R hinzufügen, ohne auf eine andere Version des Device Update-Agents zu aktualisieren.

Hinweis

Wenn eine der Optionen 1 oder 2 für Device Update for IoT Hub ausgeführt werden soll, müssen Sie diese Updates vor dem 26. August importieren. Andernfalls müssen Sie Ihre Geräte mit einem anderen Prozess aktualisieren, sodass sie über ADU.200703.R verfügen und neue Inhalte wieder aus dem Device Update-Dienst abrufen können.

Überprüfen, ob Ihre Geräte betroffen sind

Das Device Update.Team hat einen Testmechanismus erstellt, um zu überprüfen, ob Ihre Geräte mit ADU.200703.R signierte Inhalte empfangen können. Sie können ihn jederzeit vor der Rotation am 26. August verwenden. Anleitung:

  1. Laden Sie eine spezielle Testdatei herunter. Diese genaue Datei muss verwendet werden, da der Device Update-Dienst zum Importzeitpunkt nach dem Dateihash sucht.
  2. Erstellen eines Updates zum Testen. Sie können beliebige Dateien verwenden, aber Sie müssen auch die spezielle Testdatei in Ihr Importmanifest einschließen. Es wird empfohlen, die Geräte durch das Update auf eine Weise zu ändern, die später leicht zu überprüfen ist (z. B. Ändern der Versionsnummer einer Datei oder Hinzufügen einer neuen Datei, die nicht auf dem Gerät enthalten war).
  3. Sie können das Update wie gewohnt auf Ihren Geräten importieren und bereitstellen.
  4. Vergewissern Sie sich, dass das Update auf Ihren Geräten erfolgreich war. In diesem Fall können Ihre Geräte Updates empfangen, die mit ADU.200703.R signiert sind, und sind für die Rotation am 26. August bereit.

Ergreifen Sie jetzt Maßnahmen für zukünftige Stammschlüsselrotationen oder -sperrungen

Gemäß einer Richtlinie werden Stammschlüssel für Device Update for IoT Hub alle 2,5 Jahre rotiert. Wenn jedoch eine Sicherheitsverletzung auftritt, kann es erforderlich sein, einen Stammschlüssel zu einem ungeplanten Zeitpunkt und mit wenig Vorwarnung zu sperren. Um sich auf zukünftige Rotationen und die Möglichkeit einer Sperrung vorzubereiten, wird bald ein neuer Stammschlüssel zur Verfügung gestellt. Es wird eine Ankündigung auf dieser Seite und per E-Mail an Azure-Abonnementbesitzende mit Anweisungen bereitgestellt, sobald der Schlüssel verfügbar ist.

Hinweis

Es wird dringend empfohlen, Device Update-Agent Version 1.1.0 oder höher zu übernehmen, sodass automatisch alle zukünftigen Stammschlüssel für Ihre Geräte bei Bedarf abgerufen werden, einschließlich während eines Sperrereignisses. Wenn Sie Device Update-Agent Version 1.1.0 oder höher nicht übernehmen können, planen Sie, Ihre Geräte so bald wie möglich zu aktualisieren, um den neuen Stammschlüssel vor dem 26. August 2025 hinzuzufügen, sodass nach der Rotation am 26. August zwei gültige Stammschlüssel auf Ihren Geräten verfügbar sind.

Weitere Informationen

Device Update-Sicherheitsmodell