327 Views
January 18, 23
スライド概要
2023/1/18 【オンライン】待ったなし! いますぐAzure IoTのルート証明書を確認せよ!
https://algyan.connpass.com/event/267859/
関連Qiita記事
https://qiita.com/matsujirushi/items/6234b7ff79acb355f876
SeeedKKの中の人。Microsoft MVP for Internet of Things。
待ったなし! いますぐAzure IoTの ルート証明書を確認せよ! MATSUOKA Takashi @matsujirushi12
MATSUOKA Takashi @matsujirushi12 「e」3つ 2017~ MVP for Windows Development 2020~ for Microsoft Azure 2022~ for Internet of Things 1991年大手メーカーに入社し、工場の自動化 や情報システムの開発、運用に従事。2017年 8月、Seeed株式会社設立時に転職。組み込 みデバイスの開発環境整備やライブラリ開発 を担当。 ↑ “初心者の次”へ行くのに身に付けるべきスキルをとりまとめた書籍
Azure IoT Hub/DPSの ルート証明書が期限切れに “IoT Hub および DPS は、新しい CA ルート (DigiCert Global G2 ルート) にチェーンされた新し い Microsoft 証明機関 (CA) で TLS 証明書を更新 しています。デバイスが引き続き接続できるように、 アクションを実行する必要があります。”
マイクロソフトのアナウンス https://techcommunity.microsoft.com/t5/internet-of-things-blog/azureiot-tls-critical-changes-are-almost-here-and-why-you/ba-p/2393169 https://learn.microsoft.com/en-us/azure/iothub/migrate-tls-certificate
アナウンス・アナウンス・アナウンス! いつ ◦ 2023/2/15 ~ 2024/2/15 変更するもの/こと ◦ Azure IoT Hub, Azure IoT Hub DPS (, Azure IoT Central) ◦ サーバ証明書の(ルート)証明局 やらないといけないこと ◦ デバイスにルート証明書を追加 無視したらどうなる ◦ デバイスがAzure IoT Hub/DPSに接続できなくなる可能性がある
何が変更されるの? 対象はAzure IoT Hub, Azure IoT Hub DPS, (Azure IoT Central) サーバ証明書の(ルート)認証局 サーバのIPアドレス サーバ証明書とドメイン確認 IoT Device 発行者 ルート証明書(+公開鍵) Baltimore CyberTrust Root (-2025/5/13) → DigiCert Global Root G2 (-2038/1/15) サーバ証明書(+公開鍵) *.azure-devices.net → *.azure-devices.net 中間証明書(+公開鍵) MSFT BALT RS256 CA → MSFT RS256 CA-1 発行者 Azure Azure IoT Hub IoT Hub DPS サーバ秘密鍵 参考:IoT Hub でのトランスポート層セキュリティ (TLS) のサポート https://learn.microsoft.com/ja-jp/azure/iot-hub/iot-hub-tls-support
いつ変更されるの? Azure IoT Hub … 2023/2/15 ~ 10/15 Azure IoT Hub DPS ... 2024/1/15 ~ 2/15
なにをしないといけないの? デバイスにルート証明書を追加 ◦ Baltimore CyberTrust Root ◦ DigiCert Global Root G2 ◦ Microsoft RSA Root Certificate Authority 2017 (動作確認) 証明書 有効期限 署名アルゴリズム Baltimore -2025/5/13 sha1RSA DigiCert -2038/1/15 sha256RSA Microsoft -2042/7/19 sha384RSA
どうやって動作確認するの? 方法1.検証用に用意されたAzure IoT Hub/DPSに接続できるか確認 ◦ TLSの接続が出来るだけ。デバイス認証は失敗します。 ◦ サポートに依頼すると、一時的にデバイス認証できる環境を用意してくれます。 g2cert.azure-devices.net g2-cert-dps.azure-devices-provisioning.net
サポートへの依頼 Azureポータルでサポートリクエストを作成
動作確認の様子 ルート証明書を追加せず、g2certに接続 ルート証明書を追加して、g2certに接続
どうやって動作確認するの? 方法2.検証用にAzure IoT Hub/DPSを用意して確認 ◦ Azure IoT Hubは手動でルート証明書を更新できる
2/15までに対処できない😰 そんなときは 延長リクエストフォームを記入、送信 担当者へEメールで送信した旨を連絡