Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Erfahren Sie mehr über Geräteupdates für IoT Hub-Stammschlüsseldrehungen und was Sie für die Vorbereitung tun müssen.
Verstehen der Sicherheit von Device Update for IoT Hub und der Verwendung von Stammschlüsseln
Bevor Sie mehr über den Stammschlüssel-Rotationsprozess für Device Update erfahren, erfahren Sie etwas über Stammschlüssel, indem Sie die Seite Device Update-Sicherheitsmodell besuchen.
Änderung des Zeitplans für Stammschlüssel-Zweifingerdrehung
Das Team für Geräteupdates für IoT Hub plante zuvor, den Stammschlüssel ADU.200702.R, der derzeit für die Überprüfung der mit Updatemanifesten verknüpften Signaturschlüssel verwendet wird, am 26. August 2025 zu wechseln. Die Drehung dieses Schlüssels bedeutete, dass der Geräteaktualisierungsdienst das Signieren importierter Inhalte mit einem Schlüssel beenden würde, der mit ADU.200702.R verkettet wird. Anschließend hätte der Dienst mit der Signierung eines Schlüssels begonnen, der mit ADU.200703.R verkettet wurde.
Basierend auf das Feedback unserer Kunden bezüglich der Auswirkungen dieser Änderung verschiebt das Geräteupdate-Team für das IoT Hub die Rotation für August 2025. Dadurch erhalten Kunden mehr Zeit, um für die Zweifingerdrehung bereit zu sein. Sobald ein neues Datum für dieses Rotationsereignis verfügbar ist, wird es mindestens ein Jahr im Voraus angekündigt.
Überprüfen, ob Ihre Geräte für eine zukünftige Zweifingerdrehung oder Sperrung bereit sind
Wenn Sie den ADU.200703.R-Root-Schlüssel, der nach der möglichen Rotation verwendet wird, noch nicht getestet haben, wird empfohlen, dies so bald wie möglich zu tun. Im unwahrscheinlichen Fall, dass ein böswilliger Akteur den aktuellen ADU.200702.R-Stammschlüssel vor einer geplanten Rotation ausnutzen kann, würde das Geräte-Aktualisierungsteam sofort den ADU.200702.R-Stammschlüssel widerrufen und beginnt die Signierung mit dem ADU.200703.R-Stammschlüssel. Die Bestätigung durch Tests, dass Ihre Geräte derzeit den ADU.200703.R-Stammschlüssel unterstützen, bedeutet, dass die Auswirkungen dieses Szenarios minimiert werden.
Das Device Update.Team hat einen Testmechanismus erstellt, um zu überprüfen, ob Ihre Geräte mit ADU.200703.R signierte Inhalte empfangen können. Anleitung:
Laden Sie eine spezielle Testdatei herunter. Diese genaue Datei muss verwendet werden, da der Geräteaktualisierungsdienst zur Importzeit nach dem Dateihash sucht. Der übereinstimmende Dateihash in Ihrem Importmanifest sollte sein: KGyJ9tM6JSLHQq0gdKUmsVvB6Y4z0pMKKKdQNAd8jTGH0=
Erstellen Sie ein Update für Ihre Tests. Sie können beliebige Dateien verwenden, müssen aber auch die spezielle Testdatei in Ihr Importmanifest einschließen. Eine bewährte Methode ist, dass Ihr Update das Gerät auf eine Weise ändert, die einfach zu überprüfen ist, z. B. die Versionsnummer einer Datei oder das Hinzufügen einer neuen Datei.
Sie können das Update wie gewohnt auf Ihren Geräten importieren und bereitstellen.
Vergewissern Sie sich, dass das Update auf Ihren Geräten erfolgreich war. Falls ja, können Ihre Geräte Updates empfangen, die mit ADU.200703.R signiert sind und für die nächste Zweifingerdrehung (oder mögliche Sperrung) bereit sind.
Hinweis
Kunden, die die Verarbeitung von Stammschlüsseln integrieren, werden empfohlen, die Referenzimplementierung des Geräteupdate-Agents Version 1.1.0 oder höher zu verwenden, die Unterstützung für das Abrufen zukünftiger Stammschlüssel umfasst, einschließlich während sperrereignissen.