はじめに
Googleなどが「Symantecの証明書を全面的に信頼しないようにするよ」と発表(参考)してからだいぶ経ちますが、8月の終わりにAWSがこんな発表をしました。
AWS IoT Core がお客様に提供する Symantec の認証局無効化の対応方法
要するに「10月以降、AWSIoTCoreの証明書で利用しているSymantecのルート証明書が無効化される動きがあるから、こういう対処をしてね!」という内容でした。
何をしたのか
1. AmazonTrustServices(ATS)発行の証明書を取得
ATSが用意してくれているルート証明書を利用するように対応します。
各証明書のリンクが用意されているページから必要なものをダウンロードしてください。(別タブでテキストが表示されるのでコピーしてください。)
その他の秘密鍵や証明書はそのままで問題ないので、ルート証明書を取得したものに置き換えてください。
2. エンドポイントの変更
AWSIoTCoreのエンドポイントが変わります。
aws iot describe-endpoint --endpoint-type iot:Data-ATS を実行すればATS用のエンドポイントを取得することができます。
$ aws iot describe-endpoint --endpoint-type iot:Data-ATS
{
"endpointAddress": "xxxxxxxxxxxxx-ats.iot.ap-northeast-1.amazonaws.com"
}
上記で取得したエンドポイントにMQTTでPublishするようにしてください。
ちなみにSymantec証明書用のエンドポイントを所得する場合は、コンソール画面から確認できます。
さいごに
まだ移行の過渡期だと思うので、これから更にわかりやすく取得、切り替えができるようになるとは思いますし、現行のSymantec発行証明書を用いた場合も、引き続き提供されるようですので、そこまで急いで行う対応ではないのかなと感じています。
ただもうすでにデバイスに証明書を組み込んでしまっている場合などの対応を考えていかないといけないですね。
ではまた!