X.509 証明書

X.509 証明書は、ユーザー、コンピューター、サービス、またはデバイスを表すデジタル ドキュメントです。 証明機関 (CA)、下位 CA、または登録機関が X.509 証明書を発行します。 証明書には、証明書のサブジェクトの公開キーが含まれています。 サブジェクトの秘密キーは記録されていません。秘密キーは、セキュリティで保護された場所に保存する必要があります。 RFC 5280 は、フィールドと拡張機能を含む公開キー証明書を文書化したものです。 公開キー証明書はデジタル署名されており、通常、次の情報が含まれます。

• 証明書サブジェクトに関する情報
• サブジェクトの秘密キーに対応する公開キー
• 発行元 CA に関する情報
• 暗号化やデジタル署名についてサポートされているアルゴリズム
• 証明書の失効と有効性の状態を判断するための情報

証明書フィールド

X.509 証明書標準には次の 3 つの増分バージョンがあり、以降のバージョンごとに証明書フィールドが標準に追加されています。

• 1988 年に公開されたバージョン 1 (v1) は、証明書の最初の X.509 標準に従っています。
• 1993 年に公開されたバージョン 2 (v2) では、バージョン 1 に含まれるフィールドに 2 つのフィールドが追加されています。
• 2008 年に公開されたバージョン 3 (v3) は、X.509 標準の現在のバージョンを表します。 このバージョンでは、証明書拡張機能のサポートが追加されています。

このセクションは、X.509 証明書で使用できる証明書フィールドと証明書拡張機能の一般的なリファレンスです。 データ型、制約、その他の詳細など、証明書フィールドと証明書拡張機能の詳細については、RFC 5280 の仕様を参照してください。

バージョン 1 のフィールド

次の表に、X.509 証明書のバージョン 1 の証明書フィールドについて説明します。 この表に含まれるすべてのフィールドは、以降の X.509 証明書バージョンで使用できます。

バージョン 2 のフィールド

次の表に、証明書の発行者に関する情報を含む、バージョン 2 で追加されたフィールドについて説明します。 もっとも、ここに挙げたフィールドはほとんど使われていません。 この表に含まれるすべてのフィールドは、以降の X.509 証明書バージョンで使用できます。

バージョン 3 のフィールド

次の表に、X.509 証明書拡張機能のコレクションを表す、バージョン 3 で追加されたフィールドについて説明します。

証明書拡張機能

バージョン 3 で導入された証明書拡張機能は、より多くの属性をユーザーまたは公開キーに関連付け、証明機関間の関係を管理するための方法を提供します。 証明書拡張機能の詳細については、RFC 5280 仕様の証明書拡張機能に関するセクションを参照してください。

標準拡張機能

X.509 標準では、インターネット公開キー基盤 (PKI) で使用できるように、このセクションに含まれる拡張機能が定義されています。

非公開のインターネット拡張機能

このセクションに含まれる拡張機能は標準の拡張機能に似ています。また、アプリケーションを発行元 CA または証明書のサブジェクトに関するオンライン情報に誘導するために使用できます。

証明書の形式

証明書はさまざまな形式で保存できます。 通常、Azure IoT Hub 認証では、Privacy-Enhanced Mail (PEM) 形式と Personal Information Exchange (PFX) 形式が使用されます。 次の表に、証明書を表すために使用される一般的に使用されるファイルと形式について説明します。

自己署名証明書

テスト目的での IoT ハブに対するデバイスの認証は、2 つの自己署名証明書を使用して行うことができます。 このタイプの認証は、"フィンガープリント" または "拇印" と呼ばれる計算されたハッシュ値によって証明書を識別するため、"拇印認証" と呼ばれることがあります。 これらの計算されたハッシュ値は、IoT Hub でデバイスを認証するために使用されます。

自己署名証明書を作成する

OpenSSL を使用して自己署名証明書を作成できます。 次の手順は、bash シェルで OpenSSL コマンドを実行して自己署名証明書を作成し、IoT Hub でデバイスの認証に使用できる証明書フィンガープリントを取得する方法を示しています。

1. 次のコマンドを実行して秘密キーを生成し、PEM でエンコードされた秘密キー (.key) ファイルを作成して、次のプレースホルダーを対応する値に置き換えます。 次のコマンドで成された秘密キーは、2048 ビット暗号化の RSA アルゴリズムを使用します。

   {KeyFile}. 秘密キー ファイルの名前。

   openssl genpkey -out {KeyFile} -algorithm RSA -pkeyopt rsa_keygen_bits:2048
   

2. 次のコマンドを実行して PKCS #10 証明書署名要求 (CSR) を生成し、CSR (.csr) ファイルを作成して、次のプレースホルダーを対応する値に置き換えます。 メッセージが表示されたら、自己署名証明書の IoT デバイスのデバイス ID を指定してください。

   {KeyFile}. 秘密キー ファイルの名前。

   {CsrFile}. CSR ファイルの名前。

   {DeviceID}. IoT デバイスの名前。

   openssl req -new -key {KeyFile} -out {CsrFile}
   
   Country Name (2 letter code) [XX]:.
   State or Province Name (full name) []:.
   Locality Name (eg, city) [Default City]:.
   Organization Name (eg, company) [Default Company Ltd]:.
   Organizational Unit Name (eg, section) []:.
   Common Name (eg, your name or your server hostname) []:{DeviceID}
   Email Address []:.
   
   Please enter the following 'extra' attributes
   to be sent with your certificate request
   A challenge password []:.
   An optional company name []:.
   

3. 次のコマンドを実行して CSR を確認および検証し、次のプレースホルダーを対応する値に置き換えます。

   {CsrFile}. 証明書ファイルの名前。

   openssl req -text -in {CsrFile} -verify -noout
   

4. 次のコマンドを実行して自己署名証明書を生成し、PEM でエンコードされた証明書 (.crt) ファイルを作成して、次のプレースホルダーを対応する値に置き換えます。 このコマンドは、秘密キーを使用して CSR を変換して署名し、365 日で期限切れになる自己署名証明書を生成します。

   {KeyFile}. 秘密キー ファイルの名前。

   {CsrFile}. CSR ファイルの名前。

   {CrtFile}. 証明書ファイルの名前。

   openssl x509 -req -days 365 -in {CsrFile} -signkey {KeyFile} -out {CrtFile}
   

5. 次のコマンドを実行して証明書のフィンガープリントを取得し、次のプレースホルダーを対応する値に置き換えます。 証明書のフィンガープリントは、その証明書に固有の計算されたハッシュ値です。 テスト用に IoT Hub で IoT デバイスを構成するには、フィンガープリントが必要です。

   {CrtFile}. 証明書ファイルの名前。

   openssl x509 -in {CrtFile} -noout -fingerprint
   

アップロード後に証明書の有効性を手動で確認する

ルート証明機関 (CA) 証明書または下位 CA 証明書を IoT ハブにアップロードするとき、証明書が自動的に検証されることを選択できます。 アップロード中に証明書を自動的に検証することを選ばなかった場合は、証明書はその状態が [未検証] に設定された状態で表示されます。 証明書を手動で検証するには、次の手順を実行する必要があります。

1. 証明書を選択して、 [証明書の詳細] ダイアログを表示します。

2. ダイアログ ボックスの [確認コードを生成します] を選択します。

   

3. 確認コードをクリップボードにコピーします。 この確認コードは、後続の手順で証明書のサブジェクトとして使用する必要があります。 たとえば、確認コードが 75B86466DA34D2B04C0C4C9557A119687ADAE7D4732BDDB3 の場合は、次の手順で示すように、証明書のサブジェクトとしてそれを追加します。

4. 検証証明書を生成するには、次の 3 つの方法があります。

   • Microsoft によって提供される PowerShell スクリプトを使用する場合は、New-CACertsVerificationCert "<verification code>" を実行して VerifyCert4.cer という名前の証明書を作成し、<verification code> を以前に生成した確認コードに置き換えます。 詳細については、Azure IoT Hub Device SDK for C の GitHub リポジトリにある「サンプルおよびチュートリアルのためのテスト用 CA 証明書の管理」を参照してください。

   • Microsoft によって提供される Bash スクリプトを使用する場合は、./certGen.sh create_verification_certificate "<verification code>" を実行して verification-code.cert.pem という名前の証明書を作成し、<verification code> を以前に生成した確認コードに置き換えます。 詳細については、Azure IoT Hub Device SDK for C の GitHub リポジトリにある「サンプルおよびチュートリアルのためのテスト用 CA 証明書の管理」を参照してください。

   • OpenSSL を使用して証明書を生成する場合は、まず秘密キーを生成し、次に証明書署名要求 (CSR) ファイルを生成する必要があります。 次の例の <verification code> は、前に生成した確認コードに置き換えてください。

   openssl genpkey -out pop.key -algorithm RSA -pkeyopt rsa_keygen_bits:2048
   
   openssl req -new -key pop.key -out pop.csr
   
   -----
   Country Name (2 letter code) [XX]:.
   State or Province Name (full name) []:.
   Locality Name (eg, city) [Default City]:.
   Organization Name (eg, company) [Default Company Ltd]:.
   Organizational Unit Name (eg, section) []:.
   Common Name (eg, your name or your server hostname) []:<verification code>
   Email Address []:
   
   Please enter the following 'extra' attributes
   to be sent with your certificate request
   A challenge password []:
   An optional company name []:
   

   次に、ルート CA または下位 CA の適切な構成ファイルと、CSR ファイルを使用して証明書を作成します。 次の例は、OpenSSL を使用してルート CA 構成ファイルと CSR ファイルから証明書を作成する方法を示しています。

   openssl ca -config rootca.conf -in pop.csr -out pop.crt -extensions client_ext
   

   詳細については、「チュートリアル - テスト用の証明書を作成してアップロードする」を参照してください。

5. [証明書の詳細] ビューで、新しい証明書を選択します。

6. 証明書をアップロードしたら、 [確認] を選択します。 証明書の状態が [検証済み] に変わります。

詳細情報

X.509 証明書の詳細と、IoT Hub での使用方法については、次の記事を参照してください。

• 門外漢のための X.509 証明書用語ガイド
• IoT での X.509 CA 証明書の使用方法を理解する