IoT Hub-resources migreren naar een nieuwe TLS-certificaathoofdmap

Azure IoT Hub en Device Provisioning Service (DPS; apparaatinrichtingsservice) gebruiken TLS-certificaten die zijn uitgegeven door Baltimore CyberTrust Root, wat in 2025 verloopt. Vanaf februari 2023 worden alle IoT-hubs in de mondiale Azure-cloud gemigreerd naar een nieuw TLS-certificaat, dat wordt uitgegeven door DigiCert Global Root G2.

U moet nu beginnen met het plannen van de effecten van het migreren van uw IoT-hubs naar het nieuwe TLS-certificaat:

• Elk apparaat dat niet beschikt over de Global Root G2 van DigiCert in het certificaatarchief, kan geen verbinding maken met Azure.
• Het IP-adres van de IoT-hub wordt gewijzigd.

Tijdlijn

De IoT Hub-migratie is voltooid, met uitzondering van hubs die al zijn goedgekeurd voor een extensie. Als uw IoT-hub het Baltimore-certificaat zonder overeenkomst met het productteam gebruikt, wordt uw hub zonder verdere kennisgeving gemigreerd.

Nadat alle IoT-hubs zijn gemigreerd, voert DPS de migratie uit tussen 15 januari en 30 september 2024.

Voor elke IoT-hub met een uitbreidingsovereenkomst kunt u het volgende verwachten:

• Een tot twee weken vóór de migratie: de abonnementseigenaren van elke IoT-hub ontvangen een e-mailmelding met informatie over hun migratiedatum. Deze melding is niet van toepassing op hubs die handmatig worden gemigreerd.
• Dag van de migratie: de IoT-hub schakelt het TLS-certificaat over naar de DigiCert Global Root G2, wat resulteert in geen downtime voor de IoT-hub. IoT Hub dwingt geen apparaat opnieuw verbinding te maken.
• Na de migratie: De eigenaren van het abonnement ontvangen een melding dat de IoT-hub is gemigreerd. Apparaten proberen opnieuw verbinding te maken op basis van hun afzonderlijke logica voor opnieuw proberen, waarna ze het nieuwe servercertificaat aanvragen en ontvangen van IoT Hub en alleen opnieuw verbinding maken als ze de Digicert Global Root G2 vertrouwen.

Een extensie aanvragen

Vanaf augustus 2023 wordt het aanvraagproces voor extensies gesloten voor IoT Hub en IoT Central. Als uw IoT-hub het Baltimore-certificaat gebruikt zonder een uitbreidingsovereenkomst met het productteam, wordt uw hub zonder verdere kennisgeving gemigreerd.

Vereiste stappen

Voer de volgende stappen uit om de migratie voor te bereiden:

1. Bewaar de Baltimore CyberTrust Root in het vertrouwde basisarchief van uw apparaten. Voeg de Algemene Basis-G2 van DigiCert en de Microsoft RSA-basiscertificaatautoriteit 2017-certificaten toe aan uw apparaten. U kunt al deze certificaten downloaden van de azure-certificeringsinstantiegegevens.

   Het is belangrijk om alle drie de certificaten op uw apparaten te hebben totdat de IoT Hub- en DPS-migraties zijn voltooid. Als u de Baltimore CyberTrust Root houdt, zorgt u ervoor dat uw apparaten verbonden blijven tot de migratie en het toevoegen van de DigiCert Global Root G2 ervoor zorgt dat uw apparaten naadloos overschakelen en opnieuw verbinding maken na de migratie. De Microsoft RSA Root Certificate Authority 2017 helpt toekomstige onderbrekingen te voorkomen als de Global Root G2 van DigiCert onverwacht buiten gebruik wordt gesteld.

   Zie TLS-ondersteuning voor meer informatie over de aanbevolen certificaatprocedures van IoT Hub.

2. Zorg ervoor dat u geen tussenliggende of bladcertificaten vastzet en gebruik de openbare hoofdmappen om TLS-servervalidatie uit te voeren.

   IoT Hub en DPS rollen af en toe over hun tussenliggende certificeringsinstantie (CA). In deze gevallen gaan uw apparaten geen verbinding meer als ze expliciet zoeken naar een tussenliggende CA of een certificaat met een leaf-certificaat. Apparaten die validatie uitvoeren met behulp van de openbare roots, blijven echter verbinding maken, ongeacht eventuele wijzigingen in de tussenliggende CA.

Zie het blogbericht Azure IoT TLS: Kritieke wijzigingen zijn hier voor meer informatie over het testen of uw apparaten gereed zijn voor de migratie van tls-certificaten.

De migratiestatus van een IoT-hub controleren

Als u wilt weten of een IoT-hub is gemigreerd of niet, controleert u de actieve certificaathoofdmap voor de hub.

Azure-portal

1. Navigeer in Azure Portal naar uw IoT-hub.

2. Selecteer De sjabloon Exporteren in de sectie Automation van het navigatiemenu.

3. Wacht tot de sjabloon is gegenereerd en navigeer vervolgens naar de eigenschap resources.properties.features in de JSON-sjabloon. Als RootCertificateV2 wordt vermeld als een functie, is uw hub gemigreerd naar DigiCert Global G2.

Azure-CLI

Gebruik de opdracht az iot hub certificate root-authority show om de huidige certificeringsinstantie voor uw IoT-hub weer te geven.

az iot hub certificate root-authority show --hub-name <iothub_name>

In de Azure CLI wordt het bestaande Baltimore CyberTrust Root-certificaat aangeduid als v1, en wordt het nieuwe DigiCert Global Root G2-certificaat aangeduid als v2. Als de basis van het certificaat wordt vermeld als v2, is de IoT-hub gemigreerd.

Veelgestelde vragen

Mijn apparaten maken gebruik van SAS/X.509/TPM-verificatie. Is deze migratie van invloed op mijn apparaten?

Het migreren van het TLS-certificaat heeft geen invloed op de wijze waarop apparaten worden geverifieerd door IoT Hub. Deze migratie heeft wel invloed op de wijze waarop apparaten de IoT Hub- en DPS-eindpunten verifiëren.

IoT Hub en DPS presenteren hun servercertificaat aan apparaten en apparaten verifiëren dat certificaat aan de basis om hun verbinding met de eindpunten te vertrouwen. Apparaten moeten beschikken over de nieuwe Global Root G2 van DigiCert in hun vertrouwde certificaatarchieven om na deze migratie te kunnen verifiëren en verbinding te kunnen maken met Azure.

Mijn apparaten gebruiken de Azure IoT SDK's om verbinding te maken. Moet ik iets doen om de SDK's te laten werken met het nieuwe certificaat?

Dat hangt ervan af.

• Ja, als u de Java V1-apparaatclient gebruikt. Deze client verpakt het Baltimore Cybertrust Root-certificaat samen met de SDK. U kunt een update uitvoeren naar Java V2 of het DigiCert Global Root G2-certificaat handmatig toevoegen aan uw broncode.
• Nee, als u de andere Azure IoT SDK's gebruikt. De meeste Azure IoT SDK's zijn afhankelijk van het certificaatarchief van het onderliggende besturingssysteem om vertrouwde basisbeginselen voor serververificatie op te halen tijdens de TLS-handshake.

Ongeacht de SDK die wordt gebruikt, raden we ten zeerste aan dat alle klanten hun apparaten vóór de migratie valideren, zoals beschreven in de validatiesectie van het blogbericht Azure IoT TLS: Kritieke wijzigingen zijn hier bijna.

Mijn apparaten maken verbinding met een onafhankelijke Azure-regio. Moet ik ze nog bijwerken?

Nee, alleen de globale Azure-cloud wordt beïnvloed door deze wijziging. Soevereine clouds zijn niet opgenomen in deze migratie.

Ik gebruik IoT Central. Moet ik mijn apparaten bijwerken?

Ja, IoT Central gebruikt zowel IoT Hub als DPS in de back-end. De TLS-migratie heeft invloed op uw oplossing en u moet uw apparaten bijwerken om de verbinding te onderhouden.

U kunt uw toepassing migreren van Baltimore CyberTrust Root naar de DigiCert Global G2 Root volgens uw eigen planning. U wordt aangeraden het volgende proces uit te voeren:

1. Houd de Baltimore CyberTrust Root op uw apparaat totdat de overgangsperiode is voltooid op 30 september 2024 (noodzakelijk om onderbreking van de verbinding te voorkomen).
2. Zorg er niet alleen voor dat de DigiCert Global G2 Root wordt toegevoegd aan uw vertrouwde basisarchief.
3. Zorg ervoor dat u geen tussenliggende of bladcertificaten vastzet en de openbare hoofdmappen gebruikt om TLS-servervalidatie uit te voeren.
4. In uw IoT Central-toepassing vindt u de basiscertificeringsinstellingen onder Instellingen> Application>Baltimore Cybertrust Migration. 
   1. Selecteer DigiCert Global G2 Root om te migreren naar de nieuwe certificaathoofdmap.
   2. Klik op Opslaan om de migratie te starten.
   3. Indien nodig kunt u terug migreren naar de Baltimore-hoofdmap door Baltimore CyberTrust Root te selecteren en de wijzigingen op te slaan. Deze optie is beschikbaar tot 15 augustus 2023 en wordt vervolgens uitgeschakeld.

Hoe lang duurt het voordat mijn apparaten opnieuw verbinding maken?

Verschillende factoren kunnen van invloed zijn op het gedrag van opnieuw verbinden van apparaten.

Apparaten zijn geconfigureerd om hun verbinding met een bepaald interval opnieuw te controleren. De standaardinstelling in de Azure IoT SDK's is om de 45 minuten opnieuw te controleren. Als u een ander patroon in uw oplossing hebt geïmplementeerd, kan uw ervaring variëren.

Als onderdeel van de migratie krijgt uw IoT-hub mogelijk ook een nieuw IP-adres. Als uw apparaten een DNS-server gebruiken om verbinding te maken met IoT Hub, kan het tot een uur duren voordat DNS-servers worden vernieuwd met het nieuwe adres. Zie IP-adressen van IoT Hub voor meer informatie.

Wanneer kan ik de Baltimore Cybertrust Root van mijn apparaten verwijderen?

U kunt het Baltimore-basiscertificaat verwijderen zodra alle fasen van de migratie zijn voltooid. Als u alleen IoT Hub gebruikt, kunt u het oude basiscertificaat verwijderen nadat de IoT Hub-migratie op 15 oktober 2023 is voltooid. Als u Device Provisioning Service of IoT Central gebruikt, moet u beide basiscertificaten op uw apparaat behouden totdat de DPS-migratie op 30 september 2024 is gepland.

Problemen oplossen

Als u algemene verbindingsproblemen ondervindt met IoT Hub, bekijkt u deze bronnen voor probleemoplossing:

• Verbinding maken ion- en nieuwe pogingspatronen met apparaat-SDK's.
• Azure IoT Hub-foutcodes begrijpen en oplossen.

Als u Azure Monitor bekijkt nadat u certificaten hebt gemigreerd, moet u zoeken naar een DeviceDisconnect-gebeurtenis gevolgd door een apparaat Verbinding maken gebeurtenis, zoals wordt weergegeven in de volgende schermopname:

Als de verbinding met uw apparaat wordt verbroken, maar niet opnieuw verbinding maakt na de migratie, voert u de volgende stappen uit:

• Controleer of uw DNS-resolutie en handshake-aanvraag zonder fouten zijn voltooid.

• Controleer of het apparaat zowel het DigiCert Global Root G2-certificaat als het Baltimore-certificaat in het certificaatarchief heeft geïnstalleerd.

• Gebruik de volgende Kusto-query om de verbindingsactiviteit voor uw apparaten te identificeren. Zie het overzicht van Kusto-querytaal (KQL) voor meer informatie.

  AzureDiagnostics
  | where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS"
  | where Category == "Connections"
  | extend parsed_json = parse_json(properties_s)
  | extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol)
  | distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersion
  

• Gebruik het tabblad Metrische gegevens van uw IoT-hub in Azure Portal om het proces voor opnieuw verbinden van het apparaat bij te houden. In het ideale geval ziet u geen wijzigingen in uw apparaten voor en nadat u deze migratie hebt voltooid. Een aanbevolen metrische waarde om te bekijken, is Verbinding maken apparaten, maar u kunt alle grafieken gebruiken die u actief bewaakt.