AWS IoT
開発者ガイド

X.509 証明書と AWS IoT

クライアント認証

AWS IoT では、AWS IoT によって生成された証明書か、デバイス認証用の CA 証明書によって署名された証明書を使用できます。AWS IoT によって生成された証明書は長期間有効です (ただし、2049-12-31T23:59:59Z、つまり 2049 年 12 月 31 日の午前 0 時 (GMT) に有効期限が切れます)。 CA 証明書によって署名された証明書の有効期限の日付と時刻は証明書の作成時に設定されます。

注記

証明書が失効した場合などにきめ細かく管理できるように、各デバイスで一意の証明書を指定することをお勧めします。

証明書失効時にオペレーションを円滑に行うために、デバイスが証明書のローテーションおよび置換に対応している必要があります。

AWS IoT によって作成されていない証明書を使用するには、CA 証明書を登録する必要があります。すべてのデバイス証明書は、登録した CA 証明書によって署名されている必要があります。

AWS IoT コンソールまたは CLI を使用して、次のようなオペレーションを行うことができます。

  • AWS IoT 証明書を作成および登録する。

  • CA 証明書を登録する。

  • デバイス証明書を登録する。

  • デバイス証明書を有効または無効にする。

  • デバイス証明書を失効させる。

  • 別の AWS アカウントにデバイス証明書を移譲する。

  • AWS アカウントに登録済みのすべての CA 証明書を一覧表示する。

  • AWS アカウントに登録済みのすべてのデバイス証明書を一覧表示する。

これらのオペレーションの実行に使用する CLI コマンドの詳細については、「AWS IoT CLI リファレンス」を参照してください。

証明書を作成するための AWS IoT コンソールの使用の詳細については「デバイス証明書の作成とアクティブ化を行う」を参照してください。

サーバー認証

サーバー証明書を使用すると、デバイスは AWS IoT を偽装している別のサーバーではなく、AWS IoT と通信していることを確認できます。サービス証明書をデバイスにコピーし、AWS IoT に接続するときに参照する必要があります。詳細については、AWS IoT Device SDK を参照してください。AWS IoT サーバー証明書は、以下のいずれかの CA 証明書によって署名されます。

VeriSign エンドポイント (レガシー)

Amazon Trust Services エンドポイント (推奨)

  • RSA 2048 ビットキー: Amazon ルート CA 1

  • RSA 4096 ビットキー: Amazon ルート CA 2 - 将来の利用のために予約されています。

  • ECC 256 ビットキー: Amazon ルート CA 3 - まもなく開始予定です。

  • ECC 384 ビットキー: Amazon ルート CA 4 - 将来の利用のために予約されています。

すべてのユーザーは Amazon Trust Services (ATS) エンドポイントを作成し、その CA 証明書をデバイスにロードすることで、2018 年 10 月に発生した Symantec CA ブラウザ (VeriSign を含む) からの不信用の拡散によるあらゆる問題を回避することが推奨されます。下位互換性の理由により、これらのエンドポイントを使用しているユーザーのサポートは継続されます。ATS エンドポイントの作成には、iot:Data-ATS エンドポイントタイプを使用して describe-endpoint API を呼び出します。ATS エンドポイントで動作しているデバイスは、同じアカウントの Symantec エンドポイントで動作しているデバイスと完全に相互運用性を備えているため、どのような再登録も必要ありません。

aws iot describe-endpoint --endpoint-type iot:Data-ATS

これらの証明書をすべてあなたのデバイスに保存すると、貴重なメモリスペースを占有する可能性があります。デバイスが RSA ベースの検証を実装している場合は、Amazon ルート CA 3およびAmazon ルート CA 4 ECC 証明書を省略できます。デバイスが ECC ベースの証明書検証を実装している場合は、Amazon ルート CA 1およびAmazon ルート CA 2 RSA 証明書を省略できます。

アジアパシフィック (ムンバイ) リージョンの AWS IoT Core の 2018 年 5 月 9 日起動で開始したすべての新しい AWS IoT コアリージョンでは、ATS 証明書のみに準じています。

注記

CA 証明書には有効期限があり、その後、サーバー証明書の検証には使用できません。有効期限が切れる前に CA 証明書を交換する必要がある場合があります。すべてのデバイスにインストールされているルート CA 証明書をアップデートして、進行中の接続を安全にし、セキュリティベストプラクティスを最新の状態に保つ必要があります。

AWS IoT で使用される CA 証明書の完全なリストについては、 Amazon Trust Services を参照してください。

このページの内容: