AWS IoTでの証明書の作成
AWS IoTにおいてモノとセキュアに通信を行うために、認証を行う必要があります。AWS IoTにおいては、いくつかの認証の方法が提供されています。サポートされている認証方法は、1)Cognitoによる認証、2)IAMによる認証、3)X.509クライアント証明書による認証、4)カスタム認証がありますが、今回は3)のX.509クライアント証明書による相互認証を行う際に必要なクライアント証明書の作成方法、登録方法について試してみます。
AWSからのドキュメントにクライアント証明書の登録方法についての解説がありますが、今回実際にどのように行うのか試してみます。
1click証明書作成
まずは一番オーソドックスな1click証明書作成です。AWS IoTのマネジメントコンソールから 安全性>証明書から作成ボタンをクリックし、一番上の証明書を作成を選択します。
すぐに証明書が作成されるので、証明書、パブリックキー、プライベートキーをダウンロードします。AmazonのルートCAもダウンロードして、有効化ボタンをクリックして証明書を有効化します。
証明書には、そのモノでどのようなことを実行できるかを示すポリシーを設定する必要があります。例えば、こちらの例のよう証明書の certificateId に名前が等しいトピックに発行するアクセス許可が付与するようにするなど、モノにどのような権限を与えるかを考慮して設定します。ポリシーをアタッチをクリックします。すでに定義済みのPolicyを選択するか、新規にPolicyを作成するかを行います。
上記の例では、このモノに対してiot:Publishのアクションをtopic/testのトピックに行うことを許可しています。これで証明書の作成は完了です。こちらの投稿の例のようにこの証明書を使って通信を行うことができます。
CSRによる証明書の作成
次にCSRによる証明書の作成です。CSRとはCertificate Signing Requestの略で、証明書署名リクエストの意味です。手元の秘密鍵からcsrと呼ばれている証明書リクエストファイルを作成して証明書の作成を行います。CSRには秘密鍵が必要なので以下のopensslコマンドで鍵長2048bitのRSA鍵を生成します。
$ openssl genrsa -out privatekey.pem 2048
Generating RSA private key, 2048 bit long modulus
.............................................................+++
.....+++
e is 65537 (0x10001)
次に以下のコマンドでcsrファイルを作成します。
$ openssl req -new -key privatekey.pem -out cert.csr
以下のように表示され、Country NameやOrganization Nameなど入力を求められるので適宜入力します。
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:
Email Address []:
error, no objects specified in config file
problems making Certificate Request
[tsugunao ~/Work/iot/CSR]$ openssl req -new -key privatekey.pem -out cert.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) []:Tokyo
Organization Name (eg, company) []:MyOrg
Organizational Unit Name (eg, section) []:MySection
Common Name (eg, fully qualified host name) []:AWS IoT Cert
Email Address []:
cert.csrというファイルが作成されるので、CSRによる作成からファイルを選択しアップロードします。
すると以下のように証明書が作成されるので、ダウンロードし、有効化した上でポリシーのアタッチを行います。
まとめ
1click証明書作成および、CSRによる証明書の作成手順を紹介しました。本日紹介した証明書の作成方法は、Amazonで管理しているCAを使用しているためCAの運用はAmazon任せで不要となりますが署名書の有効期限は固定となります。1click証明書で証明書を作成する場合には秘密鍵をネットワーク経由でダウンロードすることが必要になり、秘密鍵をネットワークに通したくない場合にはCSRによる証明書の作成が有効です。
次回以降、自分でCAを管理して証明書を作成する手順について紹介したいと思います。