AWS IoT
開発者ガイド

X.509 証明書と AWS IoT

デバイスは X.509 証明書を AWS IoT での認証に使用できます。

クライアント認証

自己署名証明書を使用できます。AWS IoT で自動生成することもできます。AWS IoT で証明書を生成するには、AWS IoT コンソール、create-keys-and-certificate CLI コマンド、または CreateKeysAndCertificate API を使用します。AWS IoT によって生成された証明書は長期間有効ですが、2049-12-31T23:59:59Z (つまり 2049 年 12 月 31 日の午前 0 時 (GMT)) に有効期限が切れます。

自己署名証明書を作成するには、OpenSSL または同様のツールセットを使用します。CA 証明書を登録して自己署名証明書に署名し、その自己署名証明書を AWS IoT に登録することもできます。

AWS IoT に CA 証明書を登録するには、register-ca-certificate CLI コマンドまたは RegisterCaCertificate API を使用します。登録された CA を使用して自己署名証明書に署名します。register-certificate CLI コマンドまたは RegisterCertificate API を使用して、登録済みの CA によって署名された自己署名証明書を AWS IoT に登録します。

注記

証明書失効時にオペレーションを円滑に行うために、デバイスが証明書のローテーションおよび置換に対応している必要があります。

AWS IoT コンソールまたは CLI を使用して、次のような証明書オペレーションを行うことができます。

  • AWS IoT 証明書を作成および登録する。

  • CA 証明書を登録する。

  • デバイス証明書を登録する。

  • デバイス証明書を有効または無効にする。

  • デバイス証明書を失効させる。

  • 別の AWS アカウントにデバイス証明書を移譲する。

  • AWS アカウントに登録済みのすべての CA 証明書を一覧表示する。

  • AWS アカウントに登録済みのすべてのデバイス証明書を一覧表示する。

これらのオペレーションを実行する CLI コマンドの詳細については、「AWS IoT CLI リファレンス」を参照してください。

証明書を作成するための AWS IoT コンソールの使用の詳細については「デバイス証明書の作成とアクティブ化を行う」を参照してください。

サーバー認証

サーバー証明書を使用すると、デバイスは AWS IoT を偽装している別のサーバーではなく、AWS IoT と通信していることを確認できます。サービス証明書がデバイスにコピーされており、デバイスが AWS IoT に接続する際にこれを参照する必要があります。詳細については、「AWS IoT デバイス SDK」を参照してください。

AWS IoT サーバー証明書は、以下のいずれかの CA 証明書によって署名されます。

VeriSign エンドポイント (レガシー)

Amazon Trust Services エンドポイント (推奨)

  • RSA 2048 ビットキー: Amazon ルート CA 1

  • RSA 4096 ビットキー: Amazon ルート CA 2 - 将来の利用のために予約されています。

  • ECC 256 ビットキー: Amazon ルート CA 3

  • ECC 384 ビットキー: Amazon ルート CA 4 - 将来の利用のために予約されています。

すべてのユーザーは Amazon Trust Services (ATS) エンドポイントを作成し、その CA 証明書をデバイスにロードすることで、2018 年 10 月に発生した Symantec CA ブラウザ (VeriSign を含む) からの不信用の拡散によるあらゆる問題を回避することが推奨されます。下位互換性のために、これらのエンドポイントを使用しているユーザーのサポートは継続されます。ユーザーは iot:Data-ATS エンドポイントタイプを使用して describe-endpoint API を呼び出すことで、ATS エンドポイントを取得できます。ATS エンドポイントで動作しているデバイスは、同じアカウントの Symantec エンドポイントで動作しているデバイスと完全に相互運用性を備えています。再登録する必要はありません。

aws iot describe-endpoint --endpoint-type iot:Data-ATS

これらの証明書をすべてあなたのデバイスに保存すると、貴重なメモリスペースを占有する可能性があります。デバイスが RSA ベースの検証を実装している場合は、Amazon ルート CA 3およびAmazon ルート CA 4 ECC 証明書を省略できます。デバイスが ECC ベースの証明書検証を実装している場合は、Amazon ルート CA 1およびAmazon ルート CA 2 RSA 証明書を省略できます。

2018 年 5 月 9 日のアジアパシフィック (ムンバイ) リージョンでの AWS IoT Core のリリース以降のすべての新しい AWS IoT コアリージョンでは、ATS 証明書のみを提供します。

注記

CA 証明書には有効期限があり、その後、サーバー証明書の検証には使用できません。有効期限が切れる前に CA 証明書を交換する必要がある場合があります。すべてのデバイスにインストールされているルート CA 証明書をアップデートして、進行中の接続を安全にし、セキュリティベストプラクティスを最新の状態に保つ必要があります。

AWS IoT で使用される CA 証明書の完全なリストについては、 Amazon Trust Services を参照してください。

このページの内容: