クラウド サービスのテナント CA 証明書を構成する
テナント CA 証明書は、テナントの作成時に Azure Sphere Security Service によって発行されます。 各テナント CA 証明書の有効期間は 2 年で、開始日と終了日は証明書にキャプチャされます。
デバイスがAzure IoT Hub、Azure IoT Central、またはバックエンド サービスに接続する場合、サービスは、デバイスが Azure Sphere テナントに属していること、およびテナント自体が正当であることを確認できる必要があります。 この認証を実行するには、サービスには、デバイスが毎日の構成証明と認証の一部として受け取る証明書に署名するために使用される有効な Azure Sphere テナント CA 証明書チェーンが必要です。 詳細については、「 Azure Sphere での証明書の使用」を参照してください。
テナントの現在の CA 証明書の有効期限が近づくと、証明書の有効期限が切れる約 90 日前に新しいテナント CA 証明書が自動的に発行されます。
両方のテナント CA 証明書を信頼するように Azure IoT マネージド サービスまたはバックエンド サービスを構成する必要があります。 両方の証明書が信頼されている場合、サービスは有効になるとすぐに新しい証明書を使用できるため、Azure Sphere Security Service が新しいテナント CA 証明書の使用に切り替えたときの通信の中断を防ぐことができます。
クラウド サービスにテナント CA 証明書を提供する
テナント CA 証明書を信頼するようにクラウド サービスを構成するプロセスには、次のものが含まれます。
- 手順 1: テナント CA 証明書を一覧表示して識別する
- 手順 2: テナント CA 証明書をダウンロードする
- 手順 3: テナント CA 証明書をアップロードし、検証コードを生成する
- 手順 4: テナント ID を確認する
手順 1: テナント CA 証明書を一覧表示して識別する
azsphere ca-certificate list を実行して、現在のテナントで使用可能な証明書の一覧を取得します。
現在の証明書が更新の期限になると、Azure Sphere Security Service によって次の証明書が自動的に生成され、現在の (アクティブな) 証明書と共に表示されます。
証明書の一覧では、現在のテナント CA 証明書の状態が [アクティブ] として表示され、他の証明書の状態は [非アクティブ] と表示されます。
次の表に、証明書の状態の詳細を示します。
| ステータス | 説明 |
|---|---|
| アクティブ | 現在のテナント CA 証明書。 |
| 非 アクティブ | 状態は、次のいずれかを意味します。 新しいテナント CA 証明書: 現在のテナント CA 証明書の有効期限が近づくと、新しいテナント CA 証明書が発行されます。 新しい証明書の状態は、発行されてから約 45 日間非アクティブとして表示されます。 廃止された証明書: 証明書が切り替わると、接続の中断や損失を回避するために、現在のアクティブな証明書と期限切れの証明書の有効期間が重複します。 新しい証明書の状態がアクティブに変わると、古い証明書の状態が非アクティブに変わります。 期限切れの証明書: 有効期限が切れた証明書の状態。 |
| 失効 | 信頼されていない証明書。 |
手順 2: テナント CA 証明書をダウンロードする
azsphere ca-certificate download を実行して、必要な証明書を '.cer' ファイルとしてダウンロードします。
必要な証明書をダウンロードするインデックスを指定する例:
azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`
必要な証明書をダウンロードする拇印を指定する例:
azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>
メモ
または を--index--thumbprint指定して、必要な証明書をダウンロードしてください。 インデックスまたは拇印が指定されていない場合、アクティブな証明書は既定でダウンロードされます。
手順 3: テナント CA 証明書をアップロードし、検証コードを生成する
Azure IoT マネージド サービスの場合は、テナント CA 証明書を Azure IoT Hub にアップロードします
または Azure IoT Central。
バックエンド サービスを使用している場合は、サービスによって提供されるドキュメントを参照してください。
手順 4: テナント ID を確認する
Azure IoT マネージド サービスの場合、登録は 2 段階のプロセスです。 最初の手順は、Azure IoT で新しいテナント CA 証明書をアップロードすることです。 Azure Sphere テナントの所有権を証明するには、アップロードされたテナント CA 証明書を検証する必要があります。 次の手順では、Azure Sphere Security Service によって所有証明証明書が提供されます。 所有証明証明書が Azure IoT にアップロードされると、証明書の登録プロセスが完了します。 テナント CA 証明書の検証の詳細については、「Azure IoT Hubのセットアップ」または「Azure IoT Central のセットアップ」を参照してください。
バックエンド サービスを使用している場合は、サービスによって提供されるドキュメントを参照してください。 詳細については、「Azure IoT Hubのセットアップ」または「Device Provisioning Service を使用して Azure Sphere のAzure IoT Hubを設定する」を参照してください。
テナント CA 証明書の更新のタイムライン
テナント CA 証明書の有効期限が切れようとすると、更新手順は Azure Sphere Security Service によって自動的に開始されます。
次の図は、証明書の更新の段階を示しています。
| コールアウト | 段階 |
|---|---|
| 1 | 現在のテナント CA 証明書 (証明書 A) は 2 年間有効であり、 アクティブとしてマークされます。 |
| 2 | 更新プロセスは、証明書 A の有効期限が切れる約 90 日前に開始されます。 新しいテナント CA 証明書 (証明書 B) が作成され、 非アクティブとしてマークされます。 この時点で、証明書 B はダウンロードできますが、証明書 A は約 45 日間 アクティブ な証明書として残ります。 デバイスがクラウド サービスに対して正しく認証され続けるためには、45 日以内にアクションを実行する必要があります。 |
| 3 | 証明書 B は、発行されてから約 45 日後にアクティブな証明書になります。 この段階では、証明書 A は 非アクティブ としてマークされ、証明書 B は アクティブ な証明書になります。 証明書 B は、デバイスの認識と認証に使用されます。 正しい操作のために、クラウド サービスが証明書 A と証明書 B の両方で構成されていることを確認します。 |
| 4 | 証明書 A の有効期限が切れています。 クラウド サービスから証明書 A を削除できるようになりました。 |
| 5 | 証明書 B は 2 年間有効です。 |
ヒント
画像内の日付は図でのみ提供され、顧客によって異なります。
証明書の有効期限を処理するには、証明書をロールする必要がある場合があります。 ローリング証明書の詳細については、「 Azure IoT マネージド サービス」を参照するか、推奨されるバックエンド サービスによって提供されるドキュメントを参照してください。