はじめに
これは、最近AzureのIoT Hubを触ってなかったので、触ってみる個人的な備忘録です。
何回かに分けてツラツラ触ってみたいと思います。
忙しくなったら途中で終わるかもです。
前回まではデバイス側の基本的な実装をおこなったので、今回はサービス側(クラウド側)をやります。
初回はこちら:メッセージングとデバイスツイン
2回はこちら:メッセージルーティング
3回はこちら:ファイルアップロード
4回はこちら:c2dメッセージとメッセージエンリッチメント
X.509でIoT Hubに接続
今まではSASキーで接続していましたが、証明書で接続してみます。
自己証明書を使った接続を実施してみます、が証明書作成は面倒です。(個人の感想です。)
もし実施する場合は、手前みそですがこちらが楽です。
IoT Hub Device Provisioning Service とは?を作りながら理解する - X.509証明書の準備
AzureのCloudShellを使ってコマンド何個かコピペで打ち込めば完成します。
CloudShellの環境であれば、汚れて不要になったときはStorageを削除してしまえば思い出とともに放棄できます。
今回はKeyVaultで自己証明書を作成し、利用してみます。
Azure KeyVaultで自己証明書を作成
Azure KeyVaultの作成作業は省略します。標準価格レベルで適当に作成します。
そのうえで、Azure KeyVaultポータルメニュー左の"証明書"を選択し、右画面上部"+生成/インポート"をクリックします。
証明書の作成方法を"生成"というデフォルト設定の状態で、適宜値を入力して"作成"ボタンをクリックします。
最初の画面に戻るので、証明書名をクリック、バージョンをクリックして、証明書情報を表示します。
表示したら、"CER形式でダウンロード"と"PFX/PEM形式でダウンロード"を実施します。
また、"X.509 SHA-1 拇印 (16 進数)"をコピーしておきます。
自己証明書をIoT Hubへ登録
IoT Hubのポータルメニュー左の"証明書"を選択し右画面上部"+追加"をクリックします。
適当な証明書名を入力し、先ほどダウンロードしたcerファイルを選択します。
"アップロード時に証明書の状態を確認済みに設定する"のチェックも入れましょう。
これで証明書の登録は完了です。
自己証明書を利用するデバイスの登録
デバイスを作成します。
IoT Hubのポータルメニュー左の"デバイス"を選択し右画面上部"+デバイスの追加"をクリックします。
適当なデバイスIDを入れ、認証の種類で"X.509自己署名済み"を選択します。
さきほどコピーした拇印を"プライマリ拇印"と"セカンダリ拇印"にペーストして"保存"ボタンをクリックします。
今回は実施しませんが、本来は証明書を2つ登録しておいて、プライマリとセカンダリでそれぞれ登録して、プライマリ証明がはじかれた時や、キーローテーション的な何かを実施することを目的として拇印は2つ登録できるようになっています。
証明書を使ったデバイスアプリをゼロベースから作成
本家のドキュメントのチュートリアルを参照しながら、実行してみます。
チュートリアル: 証明書の認証をテストする
今回もC#、.NETは6.0.202、VSCodeで作成します。
"x509device"というフォルダを作成し、VSCodeのコンソール(Ctrl+@)で以下コマンドを実施します。
dotnet new console
dotnet add package Microsoft.Azure.Devices.Client
チュートリアルのコードをコピペし以下を変更しました。
- 20行目の{your-device-id}をx509sample
- 47行目の{full path to pfx certificate.pfx}を先ほどダウンロードしたpfxファイル
- 直後の"{your certificate password}"を""(パスワードは無い)
- 50行目の{your-device-id}をx509sample
- 53行目の{your-IoT-Hub-name}を自身のIoT Hub名(ボクの場合はmatakahaiothubjapaneast1)
コードはチュートリアルから理解するに必要最小限のものだけにそぎ落としたものを置いておきます。
このままでは使い物にはなりませんが、簡単だということだけわかれば幸いです。
https://github.com/matakaha/iotsample2022/blob/main/x509device/Program.cs
さいごに
今回はX509証明書を利用してIoT Hubに接続してみました。
余談ですが、証明書作成を終えたらKeyVaultはもう不要です。削除しても大丈夫です。
個人的には、やはりX.509を利用するのであればDevice Provosioning Serviceを使うべきだと思いました。
作るのは簡単ですが、やっぱりDR対策だとか証明書のローテーションだとか、アレコレをまじめに考えると、このまま使うのはどうかなぁと思いました。