$30 off During Our Annual Pro Sale. View Details »

待ったなし!いますぐAzure IoTのルート証明書を確認せよ!

待ったなし!いますぐAzure IoTのルート証明書を確認せよ!

2023/1/18 【オンライン】待ったなし! いますぐAzure IoTのルート証明書を確認せよ!
https://algyan.connpass.com/event/267859/

関連Qiita記事
https://qiita.com/matsujirushi/items/6234b7ff79acb355f876

MATSUOKA Takashi

January 08, 2023
Tweet

More Decks by MATSUOKA Takashi

Other Decks in Technology

Transcript

  1. 待ったなし!
    いますぐAzure IoTの
    ルート証明書を確認せよ!
    MATSUOKA Takashi
    @matsujirushi12

    View Slide

  2. MATSUOKA Takashi
    @matsujirushi12
    2017~ MVP for Windows Development
    2020~ for Microsoft Azure
    2022~ for Internet of Things
    「e」3つ
    1991年大手メーカーに入社し、工場の自動化
    や情報システムの開発、運用に従事。2017年
    8月、Seeed株式会社設立時に転職。組み込
    みデバイスの開発環境整備やライブラリ開発
    を担当。
    “初心者の次”へ行くのに身に付けるべきスキルをとりまとめた書籍

    View Slide

  3. Azure IoT Hub/DPSの
    ルート証明書が期限切れに
    “IoT Hub および DPS は、新しい CA ルート
    (DigiCert Global G2 ルート) にチェーンされた新し
    い Microsoft 証明機関 (CA) で TLS 証明書を更新
    しています。デバイスが引き続き接続できるように、
    アクションを実行する必要があります。”

    View Slide

  4. マイクロソフトのアナウンス
    https://learn.microsoft.com/en-us/azure/iot-
    hub/migrate-tls-certificate
    https://techcommunity.microsoft.com/t5/internet-of-things-blog/azure-
    iot-tls-critical-changes-are-almost-here-and-why-you/ba-p/2393169

    View Slide

  5. アナウンス・アナウンス・アナウンス!
    いつ
    ◦ 2023/2/15 ~ 2024/2/15
    変更するもの/こと
    ◦ Azure IoT Hub, Azure IoT Hub DPS (, Azure IoT Central)
    ◦ サーバ証明書の(ルート)証明局
    やらないといけないこと
    ◦ デバイスにルート証明書を追加
    無視したらどうなる
    ◦ デバイスがAzure IoT Hub/DPSに接続できなくなる可能性がある

    View Slide

  6. 何が変更されるの?
    対象はAzure IoT Hub, Azure IoT Hub DPS, (Azure IoT Central)
    サーバ証明書の(ルート)認証局
    サーバのIPアドレス
    IoT Device
    Azure
    IoT Hub
    Azure
    IoT Hub
    DPS
    サーバ証明書とドメイン確認
    サーバ証明書(+公開鍵)
    *.azure-devices.net
    サーバ秘密鍵
    中間証明書(+公開鍵)
    MSFT BALT RS256 CA
    ルート証明書(+公開鍵)
    Baltimore CyberTrust Root (-2025/5/13)
    発行者
    発行者
    → DigiCert Global Root G2 (-2038/1/15) → MSFT RS256 CA-1
    → *.azure-devices.net
    参考:IoT Hub でのトランスポート層セキュリティ (TLS) のサポート
    https://learn.microsoft.com/ja-jp/azure/iot-hub/iot-hub-tls-support

    View Slide

  7. いつ変更されるの?
    Azure IoT Hub … 2023/2/15 ~ 10/15
    Azure IoT Hub DPS ... 2024/1/15 ~ 2/15

    View Slide

  8. なにをしないといけないの?
    デバイスにルート証明書を追加
    ◦ Baltimore CyberTrust Root
    ◦ DigiCert Global Root G2
    ◦ Microsoft RSA Root Certificate Authority 2017
    (動作確認)
    証明書 有効期限 署名アルゴリズム
    Baltimore -2025/5/13 sha1RSA
    DigiCert -2038/1/15 sha256RSA
    Microsoft -2042/7/19 sha384RSA

    View Slide

  9. どうやって動作確認するの?
    方法1.検証用に用意されたAzure IoT Hub/DPSに接続できるか確認
    ◦ TLSの接続が出来るだけ。デバイス認証は失敗します。
    ◦ サポートに依頼すると、一時的にデバイス認証できる環境を用意してくれます。
    g2cert.azure-devices.net
    g2-cert-dps.azure-devices-provisioning.net

    View Slide

  10. サポートへの依頼
    Azureポータルでサポートリクエストを作成

    View Slide

  11. 動作確認の様子
    ルート証明書を追加せず、g2certに接続 ルート証明書を追加して、g2certに接続

    View Slide

  12. どうやって動作確認するの?
    方法2.検証用にAzure IoT Hub/DPSを用意して確認
    ◦ Azure IoT Hubは手動でルート証明書を更新できる

    View Slide

  13. 2/15までに対処できない😰
    そんなときは
    延長リクエストフォームを記入、送信
    担当者へEメールで送信した旨を連絡

    View Slide