デバイス プロビジョニング サービスを使用して Azure Sphere のAzure IoT Hubを設定する

Azure IoT Hub Device Provisioning Service (DPS) を使用すると、Azure Sphere カタログに要求されたすべてのデバイスが、最初にオンラインになったときにAzure IoT Hub インスタンスに接続し、X.509 証明書を使用して認証できます。

開始する前に

このセクションの手順では、次のことを前提としています。

• Azure Sphere デバイスが USB で PC に接続されている。
• Azure IoT Hub インスタンスを作成しました。

Device Provisioning Service を使用した認証

デバイス プロビジョニング サービス (DPS) を使用して認証するようにデバイスを構成するには、次の手順に従います。

大事な

DPS を使用する Azure IoT ベースのアプリケーションをテストする場合、DPS では 1000 操作あたり 0.123 ドルが課金されます。つまり、1,000 の操作あたり 12.3 米国セントです。 多くの新しいサブスクリプションに適用される無料クレジットには DPS の料金が含まれると予想されますが、サブスクリプション契約の詳細をチェックすることをお勧めします。 価格情報については、「Azure IoT Hub価格」を参照してください。

手順 1. 新しい Azure IoT Hub Device Provisioning Service を作成し、Azure IoT Hub インスタンスにリンクする

1. Azure portalにサインインします。
2. デバイス プロビジョニング サービスを作成します。
3. 既存のAzure IoT Hub インスタンスを DPS にリンクします。

手順 2. カタログ認証 CA 証明書をダウンロードする

1. コマンド プロンプトから、Azure ログインでサインインします。

   az login
   

2. Azure Sphere カタログのカタログ CA 証明書をダウンロードします。 このコマンドは、現在の作業ディレクトリの CAcertificate.cer という名前のファイルに証明書をダウンロードします。 書き込みアクセス許可があるディレクトリにファイルをダウンロードするか、ダウンロード操作が失敗することを確認します。 出力ファイルの拡張子は .cer である必要があります。

   az sphere ca-certificate download --resource-group MyResourceGroup --catalog MyCatalog --output-file CACertificate.cer
   

手順 3. カタログ CA 証明書のアップロードと所有証明

カタログ証明機関 (CA) 証明書を DPS にアップロードし、証明書を所有していることを自動的または手動で証明します。

1. Azure Portal で、作成した DPS に移動します。
2. [設定] セクションで [証明書] を選択します。
3. [ 追加] を選択 して、新しい証明書を追加します。
4. [ 証明書名] に、証明書の表示名を入力します。
5. [ 証明書 .pem または .cer ファイル] で、フォルダー アイコンを選択して、前の手順でダウンロードした証明書ファイルを選択します。
6. 次のいずれかの方法を使用して、CA 証明書の所有を証明します。
   • 証明書を自動的に確認する
   • 証明書を手動で確認する

証明書を自動的に確認する

証明書を追加し、それを自動的に検証するには (カタログ CA 証明書の所有を証明します)。

1. [証明書の追加] ボックスで、[アップロード時に証明書の状態を検証済みに設定する] ボックスをチェックします。
2. 検証後、証明書の状態は [証明書] リスト ビューの [検証済み] に変わります。 状態が自動的に更新されない場合は、[ 更新 ] を選択します。

次に、「 手順 4: 検証証明書を使用してデバイスを登録グループに追加する」に進みます。

証明書を手動で確認する

証明書を追加し、手動で確認するには (カタログ CA 証明書の所有を証明します)。

1. Azure portalから一意の検証コードを取得します。
2. Azure CLI からカタログ CA 証明書を所有していることを証明する所有証明証明書をダウンロードします。
3. 署名済み検証証明書をAzure portalにアップロードします。 このサービスは、検証対象の CA 証明書の公開部分を使用して検証証明書を検証するため、CA 証明書の秘密キーを所有していることを証明します。

Azure portalから一意の検証コードを取得する

1. [証明書の 追加] ブレードで証明書を選択した後、[ アップロード時に証明書の状態を検証済みに設定 する] ボックスをオフのままにします。 [ 保存] を選択します。

2. [証明書] リスト ビューには、証明書が表示されます。 作成した証明書の 状態 は [未確認] です。

   

3. 証明書の名前を選択して、その詳細を表示します。 [ 証明書 ] ブレードで、[ 確認コードの生成] を選択します。 次の手順で使用するために、検証コードをクリップボードにコピーします。 (まだ [確認 ] を選択しないでください)。

   

カタログ CA 証明書を所有していることを証明する所有証明証明書をダウンロードする

Azure CLI に戻り、Azure Sphere カタログの所有証明証明書をダウンロードします。 検証コードを使用して、X.509 .cer ファイルとして証明書を生成します。

az sphere ca-certificate download-proof --destination ValidationCertification.cer --verification-code <code>

署名済み検証証明書をアップロードする

Azure Sphere Security Service は、検証コードを使用して検証証明書に署名し、CA を所有していることを証明します。

1. Azure Portal の [証明書] から、[ 検証証明書 .pem または .cer ファイル ] フィールドで、署名された検証証明書を選択してアップロードします。 証明書は、download コマンドを呼び出したディレクトリにあります。

2. 証明書が正常にアップロードされたら、[確認] を選択 します。

   

3. 検証後、証明書の状態は [証明書] リスト ビューの [検証済み] に変わります。 状態が自動的に更新されない場合は、[ 更新 ] を選択します。

メモ

手順 1 ~ 3 は、Azure Sphere カタログごとに 1 回だけ実行します。

手順 4. 検証証明書を使用してデバイスを登録グループに追加する

1. [ 設定] セクションで、[ 登録の管理] を選択し、[ 登録グループの追加] を選択します。

2. [ 登録グループの追加] ウィンドウで、次の操作を行います。

   • 登録グループの名前を入力します。
   • [構成証明の種類] として [証明書] を、証明書の種類として [CA 証明書] を選択します。
   • [ プライマリ証明書] のドロップダウン リストから、前の手順で検証した証明書を選択します。

3. ページの上部にある [ 保存] を選択します 。 登録グループが正常に作成されると、[登録 グループ] タブ にグループ名が表示されます。

次の手順

これらの手順を完了すると、Azure Sphere カタログに要求されたすべてのデバイスは、最初にデバイスに接続するときに、Azure IoT Hub インスタンスに自動的に登録されます。

DPS 経由での接続に固有の手順に従って、 Azure IoT サンプルを実行できるようになりました。

追加情報

DPS の代わりに直接認証を使用するには、「 Azure Sphere 用の IoT ハブを設定する」を参照してください。