Azure IoT Hub Server の TLS リーフ証明書の更新 – 2017 年 5 月

執筆者: Arjmand Samuel (Principal Program Manager)

このポストは、5 月 3 日に投稿された Azure IoT Hub Server TLS Leaf certificate renewal – May 2017 の翻訳です。

 

このブログ記事では、Azure IoT Hub エンドポイントの TLS 証明書の更新に関する重要情報をお伝えします。クライアントの接続性に影響する可能性がありますので、ご注意ください。

2017 年 5 月中旬より、TLS 接続で使用される Azure IoT Hub のリーフ証明書の更新が定期的に行われるようになります。これにより、Azure IoT Hub サービスに接続する一部のクライアントが影響を受ける可能性があります。この影響を受けるのは Azure パブリック クラウドで作成された Azure IoT Hub に限られ、Azure in China (中国語)Azure Germany は対象外となります。

証明書の更新の概要

以下の表は、更新される証明書の情報をまとめたものです。デバイスやゲートウェイ クライアントが TLS 接続で使用する証明書の種類によっては、適切に対応しないと接続できなくなる可能性があります。

Cert (002)

予想される動作

  • 影響なし: Azure IoT Device SDK または Azure IoT Gateway SDK を使用して Azure IoT Hub に接続しているデバイス (上述のとおり)。TLS 接続の確立に、自身の接続コードでルート証明書を使用する場合、または SDK がオペレーティング システムに組み込み済みの証明書ストアを使用する場合は影響を受けません
  • 影響の可能性あり: Azure IoT SDK で提供される接続スタック以外の接続スタックを使用するデバイス。特に、接続ロジックでリーフ証明書を固定化している場合、更新後に対応していないデバイスの TLS 接続が中断されます。マイクロソフトでは、更新頻度が低いルート証明書は固定化することをお勧めしています。

検証

マイクロソフトでは、Azure IoT Hub に接続する IoT インフラストラクチャへの予期しない影響を軽減するために、検証することを推奨しています。手軽に実施できるテスト環境をご用意しましたので、Azure IoT Hub リーフ証明書の更新前にどうぞお試しください。テスト環境の接続文字列は、以下のとおりです。
HostName=playground01.df.azure-devices-int.net;SharedAccessKeyName=owner;SharedAccessKey=0DvHNevPwsDjpMor6eT6aZefKp77Tdo7z2eaFX9kF5I=

テスト環境で TLS 接続を確立すると、正しいテスト結果が得られ、更新後もインフラストラクチャは適切に作動します。このテスト用接続文字列には無効なキーが含まれており、TLS 接続の確立後、テスト用 IoT Hub に対するランタイム操作はすべて失敗するようになっています。これは、お客様の TLS 接続機能の検証のために意図的に制限された措置です。テスト環境は、すべてのパブリック クラウド リージョンの更新が完了するまで設置します。

これらの変更の実装について技術的な不明点がありましたら、下記のオプションに従ってサポート要求を作成してください。エンジニアが迅速にご連絡差し上げます。

  • Issue Type: Technical
  • Service: Internet of Things/IoT SDKs
  • Problem Type: Security/Authentication
  • 用語: ルート証明書/中間証明書/リーフ証明書 - 公開鍵または ID 証明書とも呼ばれる一種のデジタル証明書で、ネットワークでの ID、アクセス、信頼の管理に使用されます。