背景
Azure IoT HubとDevice Provisioning Service (DPS)を使っている方(組織)はきっと下記のようなメールをすでにもらっていると思います。最近、どのように対応すればよいかについてお客様からの問い合わせが多数あり、整理することにしました。
簡単に内容をまとめると「Baltimore CyberTrust Root証明書」から「DigiCert Global Root G2証明書」に変更されることでアクションが必要ですとの内容です。
知識
Azure IoT Hubで証明書はクラウドのエンドポイント確認とデバイスの検証の大きく二つで使われています。
今回、移行の話はどちらかというとクラウドのエンドポイント確認で使われる証明書が切り替わるとのことです。
Azure IoT Hubリソースを作成すれば、下記のようなエンドポイントが発行されると思います。
<リソース名>.azure-devices.net
デバイスはAzure IoT Hubのクラウドと通信する際はこのエンドポイントに接続しますが、エンドポイントが本物であるかどうかを確認するために証明書が現在、「Baltimore CyberTrust Root証明書」であることです。
デバイスからAzure IoT Hubに接続するフローを整理してみました。結局①(赤)の内容が変わるから、②(緑)の内容で準備してね。という話です。
影響内容
- DigiCert Global Root G2証明書がないデバイスについてはAzure IoT Hubの認証ができなくなるので接続できません。
- Azure IoT Hubの接続IPが変更されるので、IP制限している場合、Azure IoT Hubに接続できません。
対応期限
Azure IoT Hubが2023年2月15日から順次新しい証明書に切り替わるので、その日付までに準備しなければいけません。
実施手順
1. デバイス
- Azure IoT Hubへ接続するデバイスに対して「Baltimore CyberTrust Root」と「DigiCert Global Root G2」両方の証明書を保持するようにします。
- Azure IoT Hubの証明書が切り替わってからAzure IoT Hubへ問題なく接続できれば「Baltimore CyberTrust Root」証明書は削除できます。
- デバイス認証方式のSAS、X.509、TPMは今回対応と関係ないです。
- 基本的にAzure IoT Hubへ接続時はAzure IoT SDKを使っていることが多いし、ほとんどのAzure IoT SDKはOSの証明書ストアに依存して信頼された証明書を取得するため、OSの証明書ストアに証明書が保持されている場合は対応不要です。
Windowsの確認
証明書マネージャー ツール(CertMgr)で確認できます。
Ubuntuの場合
CA証明書の管理場所で確認できます。
ls -l /etc/ssl/certs | egrep 'Baltimore|certSIGN'
2. クラウド
放置すればいずれ切り替わりますが、手動切り替えもできるのでその内容で整理します。
Azureポータル
Azure IoT Hubのルート証明書を確認し、「Migrate to DigiCert Global G2」ボタンをクリックします。
現在、接続されているデバイスを確認してチェックボックスをチェックしてから「Update」をクリックします。
更新中が表示されて1分程度で終了します。
Azure IoT SDKは約45分ごとに再確認するロジックで動いているため、接続解除になっているデバイスが存在するか1時間程度監視します。なければ移行完了となります。
まとめ
セキュリティ対策で色々制限していたり、Azure IoT DPSにAzure IoT Hubが複数つながっているパターンだと色々考慮しなければいけないですが、基本的にはわざわざ対応することがないかもしれませんが、今回機会を生かして証明書関連の知識を高めていけば良いのではないでしょうか?
参考ドキュメント
Migrate IoT Hub resources to a new TLS certificate root - Microsoft Learn
Azure IoT TLS: Critical changes are almost here! - Microsoft Blog