Поделиться через

Перевод ресурсов Центра Интернета вещей на использование нового корневого ЦС TLS

  • Статья

Центр Интернета вещей Azure и Служба подготовки устройств к добавлению в Центр Интернета вещей (DPS) используют сертификаты TLS, выданные корневым ЦС Baltimore CyberTrust, срок действия которого истекает в 2025 году. Начиная с февраля 2023 г. все центры Интернета вещей в глобальном облаке Azure будут переведены на новый сертификат TLS, выдаваемый DigiCert Global Root G2.

Теперь следует приступить к планированию последствий переноса центров Интернета вещей в новый сертификат TLS:

  • Любое устройство, которое не имеет Global Root G2 DigiCert в своем хранилище сертификатов, не сможет подключиться к Azure.
  • IP-адрес Центра Интернета вещей изменится.

Временная шкала

Миграция Центр Интернета вещей завершена, за исключением центров, которые уже утверждены для расширения. Если центр Интернета вещей будет использовать сертификат Балтимора без соглашения с командой по продукту, центр будет перенесен без каких-либо дополнительных уведомлений.

После миграции всех центров Интернета вещей DPS выполнит миграцию с 15 января по 30 сентября 2024 года.

Для каждого Центра Интернета вещей с соглашением о расширении можно ожидать следующее:

  • Через две недели до миграции владельцы подписок каждого Центра Интернета вещей получают уведомление по электронной почте, информирующее их о дате миграции. Это уведомление не применяется к центрам, которые переносятся вручную.
  • День миграции: Центр Интернета вещей переключает сертификат TLS на глобальный корневой G2 DigiCert, что приводит к отсутствии простоя для Центра Интернета вещей. Центр Интернета вещей не принудительно выполняет повторное подключение устройства.
  • После миграции владельцы подписок получают уведомление, подтверждающее, что центр Интернета вещей был перенесен. Устройства пытаются повторно подключиться на основе собственной логики повторных попыток, в какой момент они запрашивают и получают новый сертификат сервера из Центр Интернета вещей и повторно подключаются только в том случае, если они доверяют Digicert Global Root G2.

Запрос расширения

По состоянию на август 2023 года процесс запроса на расширение закрыт для Центр Интернета вещей и IoT Central. Если центр Интернета вещей будет использовать сертификат Балтимора без соглашения о расширении в команде продуктов, центр будет перенесен без каких-либо дополнительных уведомлений.

Обязательные действия

Чтобы подготовиться к миграции, выполните следующие действия.

  1. Сохраните корень Балтимора CyberTrust в доверенном корневом хранилище устройств. Добавьте на устройства сертификаты Global Root G2 DigiCert и корневого центра сертификации Microsoft RSA 2017. Вы можете скачать все эти сертификаты из сведений центра сертификации Azure.

    Важно иметь все три сертификата на устройствах до завершения миграции Центр Интернета вещей и DPS. Сохранение корня CyberTrust Baltimore гарантирует, что ваши устройства будут оставаться подключенными до миграции, и добавление digiCert Global Root G2 гарантирует, что ваши устройства будут легко переключаться и повторно подключаться после миграции. Корневой центр сертификации Microsoft RSA 2017 помогает предотвратить будущие нарушения в случае неожиданного выхода digiCert Global Root G2.

    Дополнительные сведения о рекомендуемых методиках сертификатов Центр Интернета вещей см. в разделе поддержки TLS.

  2. Убедитесь, что вы не закрепляете промежуточные или конечные сертификаты и используете общедоступные корни для проверки сервера TLS.

    Центр Интернета вещей и DPS иногда перекатывают промежуточный центр сертификации (ЦС). В этих случаях устройства потеряют подключение, если они явно ищут промежуточный ЦС или конечный сертификат. Однако устройства, выполняющие проверку с помощью общедоступных корней, будут продолжать подключаться независимо от любых изменений в промежуточном ЦС.

Дополнительные сведения о том, как проверить, готовы ли ваши устройства к миграции сертификатов TLS, см. в записи блога Azure IoT TLS: критически важные изменения почти здесь.

Проверка состояния миграции центра Интернета вещей

Чтобы узнать, был ли перенесен центр Интернета вещей или нет, проверка корневой каталог активных сертификатов для центра.

  1. Найдите нужный Центр Интернета вещей на портале Azure.

  2. Выберите шаблон экспорта в разделе "Автоматизация" в меню навигации.

  3. Дождитесь создания шаблона, а затем перейдите к свойству resources.properties.features в шаблоне JSON. Если RootCertificateV2 указан в качестве функции, центр был перенесен в DigiCert Global G2.

Часто задаваемые вопросы

На моих устройствах используется проверка подлинности SAS/X.509/TPM. Будет ли эта миграция влиять на мои устройства?

Перенос сертификата TLS не влияет на проверку подлинности устройств с помощью Центр Интернета вещей. Эта миграция влияет на то, как устройства проходят проверку подлинности конечных точек Центр Интернета вещей и DPS.

Центр Интернета вещей и DPS представляют сертификат сервера устройствам, а устройства проходят проверку подлинности этого сертификата в корневом каталоге, чтобы доверять их подключению к конечным точкам. Устройствам потребуется новый root G2 DigiCert в своих доверенных хранилищах сертификатов, чтобы проверить и подключиться к Azure после этой миграции.

На моих устройствах для подключения используются пакеты SDK Для Интернета вещей Azure. Нужно ли делать что-нибудь, чтобы пакеты SDK работали с новым сертификатом?

Это зависит от ряда обстоятельств.

  • Да, если вы используете клиент устройства Java версии 1. Этот клиент упаковыв корневой сертификат Балтимора Cybertrust вместе с пакетом SDK. Вы можете обновить до Java версии 2 или вручную добавить сертификат DigiCert Global Root G2 в исходный код.
  • Нет, если вы используете другие пакеты SDK Для Интернета вещей Azure. Большинство пакетов SDK Для Интернета вещей Azure используют хранилище сертификатов базовой операционной системы для получения доверенных корней для проверки подлинности сервера во время подтверждения TLS.

Независимо от используемого пакета SDK мы настоятельно рекомендуем всем клиентам проверять свои устройства перед миграцией, как описано в разделе проверки записи блога Azure IoT TLS: критические изменения почти здесь.

Мои устройства подключаются к независимому региону Azure. Мне все еще нужно обновить их?

Нет, это изменение влияет только на глобальное облако Azure. В эту миграцию не включены независимые облака.

Я использую IoT Central. Нужно ли обновлять устройства?

Да, IoT Central использует как Центр Интернета вещей, так и DPS в серверной части. Миграция TLS влияет на решение, и необходимо обновить устройства для поддержания подключения.

Вы можете перенести приложение из Корня CyberTrust Балтимора в Root DigiCert Global G2 в собственном расписании. Рекомендуется выполнить следующий процесс:

  1. Сохраните корень CyberTrust Baltimore на устройстве, пока переходный период не будет завершен 30 сентября 2024 г. (необходимо, чтобы предотвратить прерывание подключения).
  2. Помимо Корня Балтимора, убедитесь, что root DigiCert Global G2 добавляется в доверенное корневое хранилище.
  3. Убедитесь, что вы не закрепляете промежуточные или конечные сертификаты и используете общедоступные корни для проверки сервера TLS.
  4. В приложении IoT Central можно найти параметры корневой сертификации в разделе Параметры> Application>Baltimore Cybertrust Migration.
    1. Выберите DigiCert Global G2 Root , чтобы перейти в новый корневой каталог сертификата.
    2. Нажмите кнопку "Сохранить", чтобы инициировать миграцию.
    3. При необходимости вы можете вернуться в корень Балтимора, выбрав "Балтимор CyberTrust Root " и сохранив изменения. Этот параметр доступен до 15 августа 2023 г. и будет отключен.

Сколько времени потребуется для повторного подключения устройств?

Несколько факторов могут повлиять на поведение повторного подключения устройства.

Устройства настроены для отмены их подключения через определенный интервал. Значение по умолчанию в пакетах SDK Для Интернета вещей Azure — каждые 45 минут. Если вы реализовали другой шаблон в решении, ваш интерфейс может отличаться.

Кроме того, в рамках миграции центр Интернета вещей может получить новый IP-адрес. Если устройства используют DNS-сервер для подключения к Центру Интернета вещей, может потребоваться до часа, чтобы DNS-серверы обновлялись с новым адресом. Дополнительные сведения см. в разделе Центр Интернета вещей IP-адреса.

Когда можно удалить корень Cybertrust Балтимора с моих устройств?

Корневой сертификат Балтимора можно удалить после завершения всех этапов миграции. Если вы используете только Центр Интернета вещей, вы можете удалить старый корневой сертификат после завершения миграции Центр Интернета вещей 15 октября 2023 года. Если вы используете службу подготовки устройств или IoT Central, необходимо сохранить на устройстве оба корневых сертификата, пока миграция DPS не будет завершена 30 сентября 2024 года.

Устранение неполадок

Если у вас возникли общие проблемы с подключением к Центр Интернета вещей, проверка эти ресурсы для устранения неполадок:

Если вы просматриваете Azure Monitor после переноса сертификатов, следует искать событие DeviceDisconnect, за которым следует событие Device Подключение, как показано на следующем снимке экрана:

Снимок экрана: журналы Azure Monitor с событиями DeviceDisconnect и Device Подключение.

Если устройство отключается, но не подключается после миграции, выполните следующие действия.

  • Убедитесь, что запрос на разрешение DNS и подтверждение завершен без ошибок.

  • Убедитесь, что устройство имеет сертификат DigiCert Global Root G2 и сертификат Балтимора, установленный в хранилище сертификатов.

  • Используйте следующий запрос Kusto, чтобы определить действие подключения для устройств. Дополнительные сведения см. в обзоре язык запросов Kusto (KQL).

    AzureDiagnostics
| where ResourceProvider == "MICROSOFT.DEVICES" and ResourceType == "IOTHUBS"
| where Category == "Connections"
| extend parsed_json = parse_json(properties_s)
| extend SDKVersion = tostring(parsed_json.sdkVersion), DeviceId = tostring(parsed_json.deviceId), Protocol = tostring(parsed_json.protocol)
| distinct TimeGenerated, OperationName, Level, ResultType, ResultDescription, DeviceId, Protocol, SDKVersion

  • Перейдите на вкладку "Метрики" центра Интернета вещей в портал Azure для отслеживания процесса повторного подключения устройства. В идеале вы не увидите никаких изменений на устройствах до и после завершения этой миграции. Одна из рекомендуемых метрик для просмотра — это Подключение устройства, но вы можете использовать все диаграммы, которые вы активно отслеживаете.