証明書ベースの認証

証明書は、デバイス認証や、MQTTメッセージング用のデフォルトのツール・サーバー証明書を置き換えるために使用される。 署名付きの有効な証明書のないデバイスは、アクセスを拒否され、サーバーと通信できません。

デバイスの証明書とサーバー・アクセスを設定するには、システム・オペレーターが関連する認証局(CA)証明書を登録し、オプションでメッセージ・サーバー証明書をツールに登録する。

CA証明書とメッセージング・サーバー証明書を管理するためのAPIの使用についての詳細は、ローカルAPIドキュメントのAuthentication and Authorization APIsツールを参照してください。 ローカル・ドキュメントへのアクセスについては、 APIを参照のこと。

CA 証明書

CA 証明書を使用すると、組織は、デバイス上のクライアント証明書を信頼されたものとして認識できるので、デバイスをサーバーに接続できます。

CA 証明書を追加したり、メッセージング・サーバー証明書を置き換えたりする場合は、サーバーが適切な CA を使用してデバイスを認証できるように、すべてのデバイスが、サーバー名表示 (SNI) をサポートする MQTT クライアントを使用して接続している必要があります。

接続セキュリティー・レベルの設定方法について詳しくは、 セキュリティー・ポリシーの構成を参照してください。

クライアント証明書

個々のクライアント(デバイスまたはゲートウェイ)証明書はデバイス上に残り、ツールにはアップロードされない。 デバイスとゲートウェイの証明書すべてに署名するために使用されるCA署名証明書は、ツールにアップロードする唯一の証明書である。 自己署名メッセージング・サーバー証明書を使用する場合は、クライアント証明書 (cert.pem) の署名に使用するルート証明書と中間証明書をアップロードする必要があります。

CA 証明書を使用して署名する個々のデバイスまたはゲートウェイの証明書には、デバイス ID またはゲートウェイ ID が共通名 (CN) または SubjectAltName として証明書に入力されている必要があります。

機器の場合、 CN フィールドフォーマットは CN=d:devtype:devid である。 SubjectAltNameSubjectAltName=email:d:*devtype:devid* email:d は定数、 はデバイスの Device Type、 は.NET におけるデバイスの ID である。 *devtype* *devid*

ゲートウェイの場合、CN フィールド・フォーマットは CN=g:typeId:deviceIdSubjectAltName フィールド・フォーマットは SubjectAltName=email:g:devtype:devid です

注: デバイス証明書またはゲートウェイ証明書のCNまたはフィールドorgId を含めないでください。 SubjectAltName デバイス証明書またはゲートウェイ証明書のCNまたはフィールドに含めないでください。 orgId は、メッセージング・サーバーへの接続時にクライアントの実装によって提供される SNI 情報の一部として提供される必要があります。

メッセージング・サーバー証明書

メッセージング・サーバー証明書は、デフォルト・ドメイン {{site.data.keynote.software_base_url}}を受け入れます。 証明書 CN または SubjectAltName の後には以下の形式を指定する必要があります: orgId.messaging.{{site.data.keynote.software_base_url}} (IoTP domain)

以下の例はサーバー証明書の有効な CN を示します: mtxpd0.messaging.{{site.data.keynote.software_base_url}}

カスタム・ドメイン

メッセージング・サーバー証明書は、カスタム・ドメインを受け入れます。 証明書のCNまたは SubjectAltName: には、以下の形式に従う必要があります。 orgId.messaging.<custom domain>

CN フィールドは、次の例に示すカスタム・ドメインのワイルドカード文字を受け入れます: CN=*.messaging.mywiotpcustomdomain.com

注: カスタムドメインの場合、カスタムドメインをツールのメッセージングサーバーに解決するには、外部のDNSサービスが必要です。 このDNSサービスは.NETが提供するものではない。

デバイス認証のための認証局 (CA) 証明書の登録

  1. ツールにログインし、「 一般設定 」に移動します。
  2. セキュリティ セクションの、CA 証明書の下で 認証の追加をクリックします。
  3. アップロードする証明書ファイルを参照して選択するか、認証の追加 ウィンドウにファイルをドラッグします。 そのファイルは、証明書が 1 つだけ入っているファイルでなければならず、証明書の日付が有効でなければなりません。 受け入れられる証明書の形式は、.pem または .der だけです。 選択したファイルに入っている証明書の情報をプレビューすることもできます。
  4. 証明書ファイルの説明を入力します。
  5. 正しいファイルが選択されていることを確認して、保存をクリックします。 選択した証明書がテーブルにリストされ、デフォルトでアクティブになります。

メッセージング・サーバー証明書の登録

デフォルトのサーバー証明書は、ツールとともに提供される。 デフォルトの証明書を使用することも、組織の証明書をアップロードすることもできます。 使用する証明書がない場合は、新しい証明書の要求を作成できます。 新しい証明書を受け取ったら、署名してもらい、それをツールにアップロードしてください。

注: プラットフォームのダッシュボード・ページでは、デバイス情報を取得するためにメッセージング・サーバーへの内部接続が行われる場合があります。 組織向けの自己署名サーバー証明書を設定する場合、ダッシュボード・ユーザーは、接続の問題を回避するために、信頼された証明書としてサーバー証明書をブラウザーに追加する必要があります。これは、デフォルトでは、ブラウザーで、メッセージング・サーバーが信頼されるサーバーとして認識されないためです。

組織のメッセージング・サーバー証明書のアップロード

  1. 一般設定セキュリティ セクションの メッセージング・サーバー認証で、証明書の追加をクリックします。
  2. アップロードする証明書ファイルを参照して選択するか、認証の追加 ウィンドウにファイルをドラッグします。
  3. アップロードする秘密鍵ファイルを参照して選択するか、認証の追加 ウィンドウにファイルをドラッグします。
  4. 秘密鍵がパスフレーズで暗号化されている場合は、そのパスフレーズを入力します。
  5. 正しいファイルが選択されていることを確認して、保存をクリックします。

新しいメッセージング・サーバー証明書の要求

新しいメッセージング・サーバー証明書を使用する場合は、証明書署名要求 (CSR) を生成して新しい証明書を要求できます。

  1. 一般設定セキュリティ セクションの メッセージング・サーバー認証で、CSR を生成をクリックします。
  2. サーバーの CSR を要求する詳細を入力し、生成をクリックします。 CSR がテーブルに表示されます。
  3. 要求をダウンロードして、署名を得るために認証局に送信します。
  4. 証明書を取得したら、テーブルの CSR エントリーに戻り、新しい証明書をアップロードします。 証明書をアップロードすると、テーブル内の CSR が、アップロードした証明書に置き換わります。