Перевод ресурсов Центра Интернета вещей на использование нового корневого ЦС TLS
Центр Интернета вещей Azure и Служба подготовки устройств к добавлению в Центр Интернета вещей (DPS) используют сертификаты TLS, выданные корневым ЦС Baltimore CyberTrust, срок действия которого истекает в 2025 году. Начиная с февраля 2023 года все центры Интернета вещей в глобальном облаке Azure начали переноситься на новый сертификат TLS, выданный Global Root G2 DigiCert.
Последствия миграции сертификатов TLS в центрах Интернета вещей:
- Любое устройство, которое не имеет Global Root G2 DigiCert в хранилище сертификатов, больше не сможет подключиться к Azure.
- Ip-адрес центра Интернета вещей изменился.
Временная шкала
По состоянию на 30 сентября 2024 г. миграция завершена для всех Центр Интернета вещей, IoT Central и служб подготовки устройств.
Обязательные действия
В рамках миграции выполните следующие действия.
Добавьте на устройства сертификаты Global Root G2 DigiCert и корневого центра сертификации Microsoft RSA 2017. Вы можете скачать все эти сертификаты из сведений центра сертификации Azure.
Global Root G2 DigiCert гарантирует, что устройства могут подключаться после миграции. Корневой центр сертификации Microsoft RSA 2017 помогает предотвратить будущие нарушения в случае неожиданного выхода digiCert Global Root G2.
Дополнительные сведения о рекомендуемых методиках сертификатов Центр Интернета вещей см. в разделе поддержки TLS.
Убедитесь, что вы не закрепляете промежуточные или конечные сертификаты и используете общедоступные корни для проверки сервера TLS.
Центр Интернета вещей и DPS иногда перекатывают промежуточный центр сертификации (ЦС). В этих случаях устройства потеряют подключение, если они явно ищут промежуточный ЦС или конечный сертификат. Однако устройства, выполняющие проверку с помощью общедоступных корней, будут продолжать подключаться независимо от любых изменений в промежуточном ЦС.
Часто задаваемые вопросы
На моих устройствах используется проверка подлинности SAS/X.509/TPM. Повлияла ли эта миграция на мои устройства?
Перенос сертификата TLS не влияет на проверку подлинности устройств с помощью Центр Интернета вещей. Эта миграция влияет на то, как устройства проходят проверку подлинности конечных точек Центр Интернета вещей и DPS.
Центр Интернета вещей и DPS представляют сертификат сервера устройствам, а устройства проходят проверку подлинности этого сертификата в корневом каталоге, чтобы доверять их подключению к конечным точкам. Устройства должны иметь новый root G2 DigiCert в своих доверенных хранилищах сертификатов, чтобы иметь возможность проверить и подключиться к Azure после этой миграции.
На моих устройствах для подключения используются пакеты SDK Для Интернета вещей Azure. Нужно ли делать что-нибудь, чтобы пакеты SDK работали с новым сертификатом?
Это зависит от ряда обстоятельств.
- Да, если вы используете клиент устройства Java версии 1. Этот клиент упаковыв корневой сертификат Балтимора Cybertrust вместе с пакетом SDK. Вы можете обновить до Java версии 2 или вручную добавить сертификат DigiCert Global Root G2 в исходный код.
- Нет, если вы используете другие пакеты SDK Для Интернета вещей Azure. Большинство пакетов SDK Для Интернета вещей Azure используют хранилище сертификатов базовой операционной системы для получения доверенных корней для проверки подлинности сервера во время подтверждения TLS.
Мои устройства подключаются к независимому региону Azure. Мне все еще нужно обновить их?
Нет, это изменение влияет только на глобальное облако Azure. Суверенные облака не были включены в эту миграцию.
Я использую IoT Central. Нужно ли обновлять устройства?
Да, IoT Central использует как Центр Интернета вещей, так и DPS в серверной части. Миграция TLS повлияла на решение, и необходимо обновить устройства для поддержания подключения.
Когда можно удалить корень Cybertrust Балтимора с моих устройств?
Теперь вы можете удалить корневой сертификат Балтимора, когда все этапы миграции завершены. По состоянию на 30 сентября 2024 г. ресурсы Интернета вещей Azure не используют корневой сертификат Балтимора.
Устранение неполадок
Если у вас возникли общие проблемы с подключением к Центр Интернета вещей, ознакомьтесь с этими ресурсами по устранению неполадок:
- Шаблоны подключений и повторных попыток с пакетами SDK для устройств.
- Изучите и устраните коды ошибок Центр Интернета вещей Azure.
Если вы просматриваете Azure Monitor после переноса сертификатов, следует искать событие DeviceDisconnect, за которым следует событие DeviceConnect, как показано на следующем снимке экрана:
Если устройство отключается, но не подключается после миграции, выполните следующие действия.
Убедитесь, что запрос на разрешение DNS и подтверждение завершен без ошибок.
Убедитесь, что устройство имеет сертификат DigiCert Global Root G2 и сертификат Балтимора, установленный в хранилище сертификатов.
Используйте следующий запрос Kusto, чтобы определить действие подключения для устройств. Дополнительные сведения см. в обзоре язык запросов Kusto (KQL).
AzureDiagnostics | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS" | where Category == "Connections" | extend parsed_json = parse_json(properties_s) | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol) | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersionПерейдите на вкладку "Метрики" центра Интернета вещей в портал Azure для отслеживания процесса повторного подключения устройства. В идеале вы не увидите никаких изменений на устройствах до и после завершения этой миграции. Одна из рекомендуемых метрик для просмотра — подключенные устройства, но вы можете использовать все диаграммы, которые вы активно отслеживаете.