X.509 証明書を使用して Windows で大規模な IoT Edge デバイスを作成してプロビジョニングする

2021-10-28

適用対象: IoT Edge 1.1

重要

IoT Edge 1.1 サポート終了日は 2022 年 12 月 13 日でした。本製品、サービス、テクノロジ、または API のサポート内容については、Microsoft 製品のライフサイクルに関するページをご確認ください。最新バージョンの IoT Edge への更新の詳細については、「IoT Edgeの更新」を参照してください。

この記事では、X.509 証明書を使用して 1 つ以上の Windows IoT Edge デバイスを自動プロビジョニングするためのエンドツーエンドの手順について説明します。 Azure IoT Edge デバイスは、Azure IoT Hub Device Provisioning Service (DPS) を使用して自動プロビジョニングできます。自動プロビジョニングの処理に慣れていない場合は、プロビジョニングの概要を確認してから先に進んでください。

注

Windows コンテナーを含む Azure IoT Edge は、Azure IoT Edge のバージョン 1.2 以降ではサポートされません。

Windows デバイスで IoT Edge を実行するための新しい方法として、Azure IoT Edge for Linux を Windows 上で使用することを検討してください。

Windows で Azure IoT Edge for Linux を使用する場合は、同等のハウツーガイドの手順に従。

タスクは次のとおりです。

証明書とキーを生成する。
単一のデバイスの個別登録を作成するか、一連のデバイスに対してグループ登録を作成する。
IoT Edge ランタイムをインストールし、デバイスを IoT Hub に登録する。

X.509 証明書を構成証明メカニズムとして使用することは、実稼働環境を拡張し、デバイスのプロビジョニングを簡素化するための優れた方法です。通常、X.509 証明書は信頼する証明書チェーンに配置されます。自己署名証明書または信頼されたルート証明書から開始して、チェーン内の各証明書によって、それよりも 1 つ下位にある証明書が署名されます。このパターンにより、ルート証明書から各中間証明書を経由して、デバイスにインストールされた最終的なダウンストリームデバイス証明書に至る、委任された信頼チェーンが作成されます。

前提条件

クラウドリソース

アクティブな IoT ハブ
自分の IoT ハブにリンクされた、Azure 内の IoT Hub デバイスプロビジョニングサービスのインスタンス
- デバイスプロビジョニングサービスのインスタンスをお持ちでない場合は、IoT Hub デバイスプロビジョニングサービスクイックスタートの「新しい IoT Hub デバイスプロビジョニングサービスの作成」および「IoT ハブとデバイスプロビジョニングサービスとをリンクさせる」の手順に従ってください。
- Device Provisioning Service を実行した後、概要ページから [ID スコープ] の値をコピーします。この値は、IoT Edge ランタイムを構成するときに使用します。

デバイスの要件

IoT Edge デバイスとなる物理または仮想 Windows デバイス。

デバイス ID 証明書を生成する

デバイス ID 証明書は、証明書の信頼チェーンを介して最上位の X.509 証明機関 (CA) 証明書につながるダウンストリームデバイス証明書です。デバイス ID 証明書の共通名 (CN) は、IoT ハブ内のデバイスに付けるデバイス ID に設定されている必要があります。

デバイス ID 証明書は、IoT Edge デバイスのプロビジョニングと、Azure IoT Hub でのデバイス認証を行うためにのみ使用されます。それらは、IoT Edge デバイスによって検証のためにモジュールやダウンストリームデバイスに提示される CA 証明書のような署名証明書ではありません。詳細については、Azure IoT Edge 証明書の使用方法に関する詳細のページを参照してください。

デバイス ID 証明書を作成すると、2 つのファイルができます。証明書の公開部分を含む .cer または pem ファイルと、証明書の秘密キーを含む .cer または pem ファイルです。 DPS でグループ登録を使用する予定がある場合は、同じ信頼する証明書チェーン内にある中間証明書またはルート CA 証明書の公開部分も必要です。

X.509 を使用して自動プロビジョニングを設定するには、次のファイルが必要です。

デバイス ID 証明書とその秘密キー証明書。個別登録を作成すると、デバイス ID 証明書が DPS にアップロードされます。秘密キーは IoT Edge ランタイムに渡されます。
完全なチェーン証明書。少なくともデバイス ID と中間証明書が含まれている必要があります。完全なチェーン証明書は IoT Edge ランタイムに渡されます。
信頼する証明書チェーンからの中間証明書またはルート CA 証明書。グループ登録を作成すると、この証明書は DPS にアップロードされます。

注

現時点では、libiothsm の制限により、2038 年 1 月 1 日以降に有効期限が切れる証明書は使用できません。

テスト証明書を使用する (省略可能)

新しい ID 証明書を作成するために使用できる証明機関がない場合、このシナリオを試すには、Azure IoT Edge の Git リポジトリにあるスクリプトを使用してテスト証明書を生成できます。それらの証明書は開発テスト専用に設計されているため、運用環境では使用できません。

テスト証明書を作成するには、「IoT Edge デバイスの機能をテストするためのデモ用の証明書を作成する」の手順に従います。証明書生成スクリプトを設定してルート CA 証明書を作成するために必要とされる、2 つのセクションを完了します。次に、手順に従ってデバイス ID 証明書を作成します。完了すると、次の証明書チェーンとキーの組が作成されます。

<WRKDIR>\certs\iot-edge-device-identity-<name>-full-chain.cert.pem
<WRKDIR>\private\iot-edge-device-identity-<name>.key.pem

これらの証明書の両方が IoT Edge デバイス上に必要です。 DPS で個別登録を使用する場合は、.cert.pem ファイルをアップロードします。 DPS でグループ登録を使用する場合は、同じ信頼する証明書チェーン内に、アップロードする中間証明書またはルート CA 証明書も必要です。デモ用の証明書を使用している場合は、グループ登録用に <WRKDIR>\certs\azure-iot-test-only.root.ca.cert.pem 証明書を使用します。

DPS の登録を作成する

生成された証明書とキーを使用して、DPS で 1 つまたは複数の IoT Edge デバイスの登録を作成します。

単一の IoT Edge デバイスをプロビジョニングする方法を求めている場合は、個別の登録を作成します。複数のデバイスをプロビジョニングする必要がある場合は、DPS グループ登録を作成する手順に従います。

DPSで登録を作成するときに、デバイスツインの初期状態を設定する機会があります。デバイスツインでは、ソリューションで必要な任意のメトリック (リージョン、環境、場所、デバイスの種類など) によってデバイスをグループ化するためのタグを設定できます。これらのタグは、自動展開を作成するために使用されます。

デバイスプロビジョニングサービスでの登録の詳細については、デバイス登録の管理方法に関するページをご覧ください。

個別登録
グループ登録

DPS 個別登録を作成する

個別登録では、デバイスの ID 証明書の公開部分が渡され、デバイス上の証明書と照合されます。

ヒント

この記事の手順は Azure portal 向けですが、Azure CLI を使用して個別登録を作成することもできます。詳細については、az iot dps enrollment を参照してください。この CLI コマンドの一部として、edge-enabled フラグを使用して、登録の対象が IoT Edge デバイスであることを指定します。

Azure portal で、IoT Hub Device Provisioning Service のインスタンスに移動します。
[設定] の下の [登録の管理] を選択します。
[Add individual enrollment]$個別登録の追加$ を選択し、登録を構成する次の手順を完了します。
- メカニズム: [X.509] を選択します。
- [プライマリ証明書の .pem ファイルまたは .cer ファイル]: デバイス ID 証明書からパブリックファイルをアップロードします。スクリプトを使用してテスト証明書を生成した場合は、次のファイルを選択します。
  
  <WRKDIR>\certs\iot-edge-device-identity-<name>.cert.pem
- [IoT Hub のデバイス ID]: 必要に応じて、デバイス ID を指定します。デバイス ID を使用して、個々のデバイスをモジュール展開のターゲットにすることができます。デバイス ID を指定しない場合は、X.509 証明書内の共通名 (CN) が使用されます。
- [IoT Edge デバイス]: [True] を選択して、その登録が IoT Edge デバイス用のものであることを宣言します。
- [このデバイスを割り当てることができる IoT ハブを選択する]: デバイスの接続先になるリンクされた IoT ハブを選択します。複数のハブを選択でき、デバイスは、選択した割り当てポリシーに従ってそれらのハブの 1 つに割り当てられます。
- [デバイスツインの初期状態]: 必要に応じて、デバイスツインに追加するタグ値を追加します。タグを使用して、デバイスグループを自動展開のターゲットにすることができます。例えば次が挙げられます。
```
{
    "tags": {
       "environment": "test"
    },
    "properties": {
       "desired": {}
    }
}
```
[保存] を選択します。

[登録を管理します] で、作成した登録の登録 ID を確認できます。デバイスをプロビジョニングするときに使用できるので、メモします。

これで、このデバイスの登録が存在しているので、IoT Edge ランタイムによってインストール時にデバイスを自動的にプロビジョニングできます。

DPS グループ登録を作成する

グループ登録では、個々のデバイス ID 証明書の生成に使用された信頼する証明書チェーンから、中間証明書またはルート CA 証明書を使用します。

ルート証明書を確認する

登録グループを作成するときに、確認済みの証明書を使用することもできます。ルート証明書の所有権があることを示すことによって、DPS で証明書を確認できます。詳細については、X.509 CA 証明書の所有証明を行う方法に関するページを参照してください。

Azure portal で、IoT Hub Device Provisioning Service のインスタンスに移動します。
左側のメニューから [証明書] を選択します。
[追加] を選択して新しい証明書を追加します。
証明書のフレンドリ名を入力し、X.509 証明書の公開部分を表す .cer または .pem ファイルを参照します。

デモ用の証明書を使用している場合は、<wrkdir>\certs\azure-iot-test-only.root.ca.cert.pem 証明書をアップロードします。
[保存] を選択します。
これで、その証明書が [証明書] ページに表示されます。それを選択して証明書の詳細を開きます。
[確認コードを生成します] を選択した後、生成されたコードをコピーします。
独自の CA 証明書を入手したか、デモ用の証明書を使用しているかにかかわらず、IoT Edge リポジトリに用意されている検証ツールを使用して、所有証明を確認することができます。検証ツールでは、CA 証明書を使用して、指定された確認コードをサブジェクト名として持つ新しい証明書に署名します。
```
New-CACertsVerificationCert "<verification code>"
```
Azure portal の同じ証明書詳細ページで、新しく生成された検証証明書をアップロードします。
[確認] を 選択します。

登録グループを作成する

デバイスプロビジョニングサービスでの登録の詳細については、デバイス登録の管理方法に関するページをご覧ください。

ヒント

この記事の手順は Azure portal 向けですが、Azure CLI を使用してグループ登録を作成することもできます。詳細については、az iot dps enrollment-group を参照してください。この CLI コマンドの一部として、edge-enabled フラグを使用して、登録の対象が IoT Edge デバイスであることを指定します。グループ登録の場合、すべてのデバイスを IoT Edge デバイスにする必要があります。そうしない場合、いずれも IoT Edge デバイスにすることはできません。

Azure portal で、IoT Hub Device Provisioning Service のインスタンスに移動します。
[設定] の下の [登録の管理] を選択します。
[登録グループの追加] を選択し、登録を構成する以下の手順を完了します。
- [グループ名]: このグループ登録の覚えやすい名前を入力します。
- [構成証明の種類]: [証明書] を選択します。
- [IoT Edge デバイス]: [True] を選択します。グループ登録の場合、すべてのデバイスを IoT Edge デバイスにする必要があります。そうしない場合、いずれも IoT Edge デバイスにすることはできません。
- [証明書の種類]: [CA 証明書] を選択します。
- [プライマリ証明書]: ドロップダウンリストからご利用の証明書を選択します。
- [このデバイスを割り当てることができる IoT ハブを選択する]: デバイスの接続先になるリンクされた IoT ハブを選択します。複数のハブを選択でき、デバイスは、選択した割り当てポリシーに従ってそれらのハブの 1 つに割り当てられます。
- [デバイスツインの初期状態]: 必要に応じて、デバイスツインに追加するタグ値を追加します。タグを使用して、デバイスグループを自動展開のターゲットにすることができます。例えば次が挙げられます。
```
{
    "tags": {
       "environment": "test"
    },
    "properties": {
       "desired": {}
    }
}
```
[保存] を選択します。

[登録を管理します] で、作成した登録の登録 ID を確認できます。デバイスをプロビジョニングするときに使用できるので、メモします。

これで、これらのデバイスの登録が存在しているので、IoT Edge ランタイムによってインストール時にデバイスを自動的にプロビジョニングできます。

IoT Edge をインストールする

このセクションでは、IoT Edge 用に Windows VM または物理デバイスを準備します。次に、IoT Edge をインストールします。

Azure IoT Edgeは、OCI と互換性のあるコンテナーランタイムに依存しています。 Moby ベースのエンジン Mobyはインストールスクリプトに含まれています。つまり、エンジンをインストールするための追加の手順はありません。

IoT Edge ランタイムをインストールするには:

PowerShell を管理者として実行します。

PowerShell (x86) ではなく、PowerShell の AMD64 セッションを使用します。使用しているセッションの種類がわからない場合は、次のコマンドを実行します。
```
(Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
```
Deploy-IoTEdge コマンドを実行すると、次のタスクが実行されます。
- Windows マシンがサポートされているバージョンにあることを確認します
- コンテナー機能を有効にする
- moby エンジンと IoT Edge ランタイムをダウンロードします
```
. {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
Deploy-IoTEdge
```
メッセージが表示されたら、デバイスを再起動します。

IoT Edge をデバイスにインストールする場合は、追加のパラメーターを使用して、次のようなプロセスを変更できます。

プロキシサーバーを経由するトラフィックを直接送信する
オフラインインストール用のローカルディレクトリにインストーラーをポイントする

これらの追加パラメーターの詳細については、Windows コンテナーを使用した IoT Edge 用の PowerShell スクリプトのを参照してください。

クラウド ID を使用してデバイスをプロビジョニングする

ランタイムがデバイスにインストールされたら、デバイスプロビジョニングサービスと IoT Hub に接続するための情報を使用してデバイスを構成します。

次の情報を用意しておきます。

DPS の ID スコープ値。 Azure portal で、使用している DPS インスタンスの概要ページから、この値を取得できます。
デバイス上のデバイス ID 証明書チェーンファイル。
デバイス上のデバイス ID キーファイル。

管理者モードで PowerShell ウィンドウを開きます。 PowerShell (x86) ではなく、IoT Edge をインストールするときは、必ず PowerShell の AMD64 セッションを使用してください。
Initialize-IoTEdge コマンドは、コンピューター上の IoT Edge ランタイムを構成します。このコマンドの既定値は Windows コンテナーを使用した手動プロビジョニングであるため、X.509 証明書認証で自動プロビジョニングを使用するには、 -DpsX509 フラグを使用します。

scope_id、identity cert chain path、identity key pathのプレースホルダーの値を、DPS インスタンスの適切な値とデバイス上のファイルパスに置き換えます。

デバイス ID を ID 証明書の CN 名以外の名前として設定する場合は、 -RegistrationId paste_registration_id_here パラメーターを追加します。
```
. {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
Initialize-IoTEdge -DpsX509 -ScopeId paste_scope_id_here -X509IdentityCertificate paste_identity_cert_chain_path_here -X509IdentityPrivateKey paste_identity_key_path_here
```
ヒント

構成ファイルには、証明書とキーの情報がファイル URI として格納されます。ただし、Initialize-IoTEdge コマンドは、この書式設定手順を自動的に処理するため、デバイス上の証明書とキーファイルへの絶対パスを指定できます。

インストールの成功を確認する

ランタイムが正常に起動されたら、IoT Hub にアクセスし、デバイスに IoT Edge モジュールを展開できます。

個別登録
グループ登録

デバイスプロビジョニングサービスで作成した個々の登録が使用されたことを確認できます。 Azure portal でデバイスプロビジョニングサービスインスタンスに移動します。作成した個々の登録の詳細を開きます。登録ステータスが割り当て済みであり、デバイス ID がリストされています。

IoT Edge が正常にインストールされ、起動されたことを確認するには、デバイスで次のコマンドを使用します。

IoT Edge サービスの状態を確認します。

Get-Service iotedge

サービスログを調べます。

. {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog

実行中のモジュールを一覧表示します。

iotedge list

次のステップ

デバイスプロビジョニングサービスの登録プロセスでは、新しいデバイスをプロビジョニングするときに、デバイス ID とデバイスツインタグを同時に設定できます。これらの値を使用して、個々のデバイスやデバイスグループを、自動デバイス管理によりターゲットできます。使用方法については、「Azure Portal を使用した大規模な IoT Edge モジュールの展開と監視」または「Azure CLI を使用した大規模な IoT Edge モジュールの展開と監視」を参照してください。