IoT Hub kaynaklarını yeni bir TLS sertifika köküne geçirme

Azure IoT Hub ve Cihaz Sağlama Hizmeti (DPS), Baltimore CyberTrust Root tarafından verilen ve süresi 2025'te dolan TLS sertifikalarını kullanır. Şubat 2023'den itibaren, genel Azure bulutundaki tüm IoT hub'ları DigiCert Genel Kök G2 tarafından verilen yeni bir TLS sertifikasına geçiş yapmaya başladı.

TLS sertifika geçişinin IoT hub'larınızdaki etkileri şunlardır:

• Sertifika deposunda DigiCert Genel Kök G2'ye sahip olmayan tüm cihazlar artık Azure'a bağlanamaz.
• IoT hub'ının IP adresi değişti.

Zaman çizelgesi

30 Eylül 2024 itibarıyla tüm IoT Hub, IoT Central ve Cihaz Sağlama Hizmeti kaynakları için geçiş tamamlanır.

Gerekli adımlar

Geçişin bir parçası olarak aşağıdaki adımları uygulayın:

1. Cihazlarınıza DigiCert Genel Kök G2 ve Microsoft RSA Kök Sertifika Yetkilisi 2017 sertifikalarını ekleyin. Bu sertifikaların tümünü Azure Sertifika Yetkilisi ayrıntılarından indirebilirsiniz.

   DigiCert Genel Kök G2, geçiş sonrasında cihazlarınızın bağlanabilmesini sağlar. Microsoft RSA Kök Sertifika Yetkilisi 2017, DigiCert Genel Kök G2'nin beklenmedik bir şekilde kullanımdan kaldırılıyor olması durumunda gelecekteki kesintileri önlemeye yardımcı olur.

   IoT Hub'ın önerilen sertifika uygulamaları hakkında daha fazla bilgi için bkz . TLS desteği.

2. Ara veya yaprak sertifika sabitlemediğinizden ve TLS sunucu doğrulamasını gerçekleştirmek için ortak kökleri kullandığınızdan emin olun.

   IoT Hub ve DPS ara olarak ara sertifika yetkililerini (CA) devreder. Bu durumlarda, cihazlarınız açıkça ara CA veya yaprak sertifika ararsa bağlantıyı kaybeder. Ancak, ortak köklerini kullanarak doğrulama gerçekleştiren cihazlar ara CA'da yapılan değişikliklerden bağımsız olarak bağlanmaya devam eder.

Sık sorulan sorular

Cihazlarım SAS/X.509/TPM kimlik doğrulaması kullanıyor. Bu geçiş cihazlarımı etkiledi mi?

TLS sertifikasının geçirilmesi, cihazların IoT Hub tarafından kimlik doğrulamasının nasıl yapıldığını etkilemez. Bu geçiş, cihazların IoT Hub ve DPS uç noktalarının kimliğini doğrulama şeklini etkiler.

IoT Hub ve DPS sunucu sertifikalarını cihazlara sunar ve cihazlar uç noktalara olan bağlantılarına güvenmek için bu sertifikanın kimliğini kökte doğrular. Bu geçiş sonrasında Azure'ı doğrulayıp bağlanabilmek için cihazların güvenilen sertifika depolarında yeni DigiCert Genel Kök G2'ye sahip olması gerekir.

Cihazlarım bağlanmak için Azure IoT SDK'larını kullanıyor. SDK'ların yeni sertifikayla çalışmasını sağlamak için bir şey yapmam gerekiyor mu?

Duruma göre değişir.

• Evet, Java V1 cihaz istemcisini kullanıyorsanız. Bu istemci, SDK ile birlikte Baltimore Cybertrust Root sertifikasını paketler. Java V2'ye güncelleştirebilir veya DigiCert Genel Kök G2 sertifikasını kaynak kodunuza el ile ekleyebilirsiniz.
• Hayır, diğer Azure IoT SDK'larını kullanıyorsanız. Çoğu Azure IoT SDK'sı, TLS el sıkışması sırasında sunucu kimlik doğrulaması için güvenilen kökleri almak için temel işletim sisteminin sertifika deposuna güvenir.

Cihazlarım bağımsız bir Azure bölgesine bağlanıyor. Yine de güncelleştirmem gerekiyor mu?

Hayır, bu değişiklikten yalnızca genel Azure bulutu etkilenir. Bağımsız bulutlar bu geçişe dahil edilmedi.

IoT Central kullanıyorum. Cihazlarımı güncelleştirmem gerekiyor mu?

Evet, IoT Central arka uçta hem IoT Hub hem de DPS kullanır. TLS geçişi çözümünüzü etkiledi ve bağlantıyı sürdürmek için cihazlarınızı güncelleştirmeniz gerekiyor.

Baltimore Cybertrust Kökünü cihazlarımdan ne zaman kaldırabilirim?

Geçişin tüm aşamaları tamamlandıktan sonra Baltimore kök sertifikasını kaldırabilirsiniz. 30 Eylül 2024 itibarıyla Baltimore kök sertifikasını hiçbir Azure IoT kaynağı kullanmaz.

Sorun giderme

IoT Hub ile ilgili genel bağlantı sorunlarıyla karşılaşıyorsanız şu sorun giderme kaynaklarına göz atın:

• Cihaz SDK'larıyla bağlantı ve yeniden deneme desenleri.
• Azure IoT Hub hata kodlarını anlama ve çözme.

Sertifikaları geçirdikten sonra Azure İzleyici'yi izliyorsanız, aşağıdaki ekran görüntüsünde gösterildiği gibi devicedisconnect olayını ve ardından DeviceConnect olayını aramalısınız:

Cihazınızın bağlantısı kesilirse ancak geçiş sonrasında yeniden bağlanmazsa aşağıdaki adımları deneyin:

• DNS çözümleme ve el sıkışma isteğinizin hatasız tamamlanıp tamamlanmadığını denetleyin.

• Cihazın sertifika deposunda hem DigiCert Genel Kök G2 sertifikasının hem de Baltimore sertifikasının yüklü olduğunu doğrulayın.

• Cihazlarınız için bağlantı etkinliğini belirlemek için aşağıdaki Kusto sorgusunu kullanın. Daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.

  AzureDiagnostics
  | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS"
  | where Category == "Connections"
  | extend parsed_json = parse_json(properties_s)
  | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol)
  | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersion
  

• Cihaz yeniden bağlanma işlemini izlemek için Azure portalında IoT hub'ınızın Ölçümler sekmesini kullanın. İdeal olarak, bu geçişi tamamlamadan önce ve sonra cihazlarınızda hiçbir değişiklik görmemeniz gerekir. İzlemeniz önerilen ölçümlerden biri Bağlı Cihazlar'dır, ancak etkin olarak izlediğiniz grafikleri kullanabilirsiniz.