Megosztás a következőn keresztül:

IoT Hub-erőforrások migrálása új TLS-főtanúsítványra

  • Cikk

Az Azure IoT Hub és a Device Provisioning Service (DPS) a Baltimore CyberTrust Root által kibocsátott TLS-tanúsítványokat használ, amelyek 2025-ben lejárnak. 2023 februárjától kezdve a globális Azure-felhő összes IoT Hubja megkezdte az áttelepítést a DigiCert Global Root G2 által kiadott új TLS-tanúsítványra.

A TLS-tanúsítvány migrálásának hatásai az IoT Hubokra a következők:

  • Minden olyan eszköz, amely nem rendelkezik a DigiCert global root G2-ével a tanúsítványtárolójában, a továbbiakban nem tud csatlakozni az Azure-hoz.
  • Az IoT Hub IP-címe megváltozott.

Idősor

2024. szeptember 30-tól a migrálás befejeződött az IoT Hub, az IoT Central és a Device Provisioning Service összes erőforrásához.

Szükséges lépések

A migrálás részeként hajtsa végre a következő lépéseket:

  1. Adja hozzá a DigiCert Global Root G2 és a Microsoft RSA Főtanúsítvány 2017 tanúsítványokat az eszközeihez. Ezeket a tanúsítványokat az Azure Tanúsítványszolgáltató adataiból töltheti le.

    A DigiCert Global Root G2 biztosítja, hogy az eszközök a migrálás után kapcsolódni tudjanak. A Microsoft RSA főtanúsítvány-szolgáltató 2017 segít megelőzni a jövőbeni fennakadásokat abban az esetben, ha a DigiCert Global Root G2 váratlanul megszűnik.

    Az IoT Hub ajánlott tanúsítványokkal kapcsolatos eljárásairól további információt a TLS támogatásában talál.

  2. Győződjön meg arról, hogy nem rögzít köztes vagy levéltanúsítványokat, és a nyilvános gyökereket használja a TLS-kiszolgáló érvényesítéséhez.

    Az IoT Hub és a DPS időnként átgördül a köztes hitelesítésszolgáltatón (CA). Ezekben az esetekben az eszközök megszakadnak a kapcsolatuk, ha kifejezetten közbenső hitelesítésszolgáltatót vagy levéltanúsítványt keresnek. A nyilvános gyökerekkel érvényesítést végző eszközök azonban továbbra is csatlakozni fognak, függetlenül a köztes hitelesítésszolgáltató módosításaitól.

Gyakori kérdések

Az eszközeim SAS/X.509/TPM hitelesítést használnak. Ez a migrálás hatással volt az eszközeimre?

A TLS-tanúsítvány migrálása nem befolyásolja az eszközök IoT Hub általi hitelesítését. Ez az áttelepítés hatással van az eszközök IoT Hub- és DPS-végpontok hitelesítésére.

Az IoT Hub és a DPS bemutatja a kiszolgálótanúsítványt az eszközöknek, és az eszközök hitelesítik ezt a tanúsítványt a gyökéren, hogy megbízható kapcsolatot létesíthessenek a végpontokkal. Az eszközöknek rendelkezniük kell az új DigiCert Global Root G2-nek a megbízható tanúsítványtárolókban, hogy a migrálás után ellenőrizni tudják és csatlakozni tudjanak az Azure-hoz.

Az eszközeim az Azure IoT SDK-kkal csatlakoznak. Meg kell tennem valamit, hogy az SDK-k működjenek az új tanúsítvánnyal?

Ez a konkrét licenctől függ.

  • Igen, ha a Java V1-eszközügyfélt használja. Ez az ügyfél a Baltimore Cybertrust főtanúsítványát az SDK-val együtt csomagolja be. Frissíthet Java V2-ra, vagy manuálisan is hozzáadhatja a DigiCert Global Root G2 tanúsítványt a forráskódhoz.
  • Nem, ha a többi Azure IoT SDK-t használja. A legtöbb Azure IoT SDK a mögöttes operációs rendszer tanúsítványtárolójára támaszkodva kéri le a kiszolgálóhitelesítés megbízható gyökereit a TLS-kézfogás során.

Az eszközeim egy szuverén Azure-régióhoz csatlakoznak. Továbbra is frissíteni kell őket?

Nem, csak a globális Azure-felhőt érinti ez a változás. A migrálás nem tartalmazott szuverén felhőket.

Az IoT Centralt használom. Frissíteni kell az eszközeimet?

Igen, az IoT Central az IoT Hubot és a DPS-t is használja a háttérrendszerben. A TLS migrálása hatással volt a megoldásra, és frissítenie kell az eszközöket a kapcsolat fenntartásához.

Mikor távolíthatom el a Baltimore Cybertrust rootot az eszközeimről?

A baltimore-i főtanúsítványt a migrálás minden szakaszának befejezése után eltávolíthatja. 2024. szeptember 30-tól egyetlen Azure IoT-erőforrás sem használja a Baltimore főtanúsítványát.

Hibaelhárítás

Ha általános csatlakozási problémákat tapasztal az IoT Hubbal kapcsolatban, tekintse meg az alábbi hibaelhárítási erőforrásokat:

Ha a tanúsítványok migrálása után az Azure Monitort figyeli, keressen egy DeviceDisconnect-eseményt, majd egy DeviceConnect-eseményt, ahogy az a következő képernyőképen is látható:

Képernyőkép az Azure Monitor-naplókról, amelyeken a DeviceDisconnect és a DeviceConnect események láthatók.

Ha az eszköz leválasztja a kapcsolatot, de a migrálás után nem csatlakozik újra, próbálkozzon az alábbi lépésekkel:

  • Ellenőrizze, hogy a DNS-feloldási és kézfogási kérés hiba nélkül befejeződött-e.

  • Ellenőrizze, hogy az eszköz rendelkezik-e a DigiCert Global Root G2 tanúsítványával és a Baltimore-tanúsítvánnyal a tanúsítványtárolóban.

  • Az alábbi Kusto-lekérdezéssel azonosíthatja az eszközök kapcsolati tevékenységeit. További információ: Kusto lekérdezésnyelv (KQL) áttekintése.

    AzureDiagnostics
| where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS"
| where Category == "Connections"
| extend parsed_json = parse_json(properties_s)
| extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol)
| distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersion

  • Az eszköz újracsatlakozási folyamatának nyomon követéséhez használja az IoT Hub Metrikák lapját az Azure Portalon. Ideális esetben a migrálás befejezése előtt és után nem jelenhet meg változás az eszközökön. Az egyik ajánlott metrika a Csatlakoztatott eszközök, de bármilyen aktívan figyelt diagramot használhat.