証明書

Device Trust Manager はデバイスに x.509 証明書を発行し、セキュアな通信を確立してプラットフォームと認証します。プロビジョニング中、デバイスは ブートストラップ証明書を受け取ってデバイスの ID を検証し、Device Trust Manager とのセキュアな通信を開始します。デバイスが稼動し続ける場合、ライフサイクルを通じて、必要に応じた短期間の特定の操作のための 運用証明書を要求できます。

表 1. 発行された証明書のユースケース

ユースケース
ブートストラップ証明書	ブートストラップ証明書は、有効期限の長い x.509 証明書です。ブートストラップ証明書の有効期間は、デバイスの耐用年数、たとえば 10 年をカバーするのが一般的です。これらの「誕生」証明書により、デバイスは Device Trust Manager とセキュアに通信できるようになります。ブートストラップ証明書は、運用証明書を要求する際やデバイスのオンボーディングの際にも使用されます。重要不正アクセスや改ざんを防止できるように、秘密鍵は必ず TPM、セキュアエレメント、または TEE（Trusted Execution Environment）に保管してください。
運用証明書	運用証明書とは、有効期限の短い x.509 証明書です。デバイスは、ブートストラップ証明書を使用して運用証明書を要求します。運用証明書は、クラウドサービスやその他の外部システムに使用することができ、有効期限が短く、必要に応じて失効または再発行することができます。注記運用証明書は、安全なエリアへの一時的なアクセスバッジのようなものです。デバイスがクラウドサービスや外部システムと通信する短期的な許可を与える証明書です。

ユースケース

ブートストラップ証明書

ブートストラップ証明書は、有効期限の長い x.509 証明書です。ブートストラップ証明書の有効期間は、デバイスの耐用年数、たとえば 10 年をカバーするのが一般的です。これらの「誕生」証明書により、デバイスは Device Trust Manager とセキュアに通信できるようになります。ブートストラップ証明書は、運用証明書を要求する際やデバイスのオンボーディングの際にも使用されます。

重要

不正アクセスや改ざんを防止できるように、秘密鍵は必ず TPM、セキュアエレメント、または TEE（Trusted Execution Environment）に保管してください。

運用証明書

運用証明書とは、有効期限の短い x.509 証明書です。デバイスは、ブートストラップ証明書を使用して運用証明書を要求します。運用証明書は、クラウドサービスやその他の外部システムに使用することができ、有効期限が短く、必要に応じて失効または再発行することができます。

注記

運用証明書は、安全なエリアへの一時的なアクセスバッジのようなものです。デバイスがクラウドサービスや外部システムと通信する短期的な許可を与える証明書です。

証明書の発行と更新

Device Trust Manager は、証明書の発行と更新に各種のプロトコルを使用しており、単一リクエストとバッチリクエストの両方、および自動更新をサポートしています。

EST
SCEP
CMPv2
ACME
TrustEdge エージェント

単一デバイス証明書のリクエスト

To perform this action, you must have a user role that contains the Device administrator permission.

単一デバイス証明書リクエストを発行すると、デバイスレコードに関連付けられます。

開始する前に:

ソリューション管理者が以下の手順を完了していることを確認します。

デバイスグループがすでに作成されている。
証明書管理ポリシーが作成されている。
デバイス名、説明、サブジェクトのコモンネームなど、デバイス固有の詳細を含む CSV ファイルが存在する。

［Device Trust Manager］メニューから［証明書管理］を選択します。
Select Request certificate > Request a certificate for a device.
［デバイスグループ］ドロップダウンメニューから、適切なデバイスグループを選択します。
［証明書管理ポリシー］ドロップダウンメニューから、そのデバイスグループに関連付けられている証明書管理ポリシーを選択します。
鍵生成タイプのステップでの操作:
注記
デバイスグループと証明書管理ポリシーの選択に基づいて、鍵生成タイプのオプションが表示されます。
1. 鍵ペアを持っており、リクエストの中で CSR または公開鍵を提供します:
  - デバイスデータを含む CSV ファイルまたは zip 圧縮された CSV をアップロードします。書式については、提供されているテンプレートをダウンロードしてご確認ください。
2. 鍵ペアはこのアプリケーションによってサーバー側で生成され、秘密鍵と証明書はレスポンスに含まれます:
  - ［鍵生成タイプ］ドロップダウンメニューを選択します。
証明書の［コモンネーム］を入力します。
オプションで組織名を入力します。
［値の追加］をクリックして、組織単位の値を入力します（オプション）。
［説明］を入力します（オプション）。
［証明書リクエストの提出］をクリックします。
証明書リクエストが正常に送信されたら、証明書をダウンロードします。

単一証明書の要求

To perform this action, you must have a user role that contains the Device administrator permission.

単一デバイス証明書リクエストを発行しても、デバイスレコードに関連付けられません。

開始する前に:

デバイスグループがすでに作成されている。
証明書管理ポリシーが作成されている。
デバイス名、説明、サブジェクトのコモンネームなど、デバイス固有の詳細を含む CSV ファイル。

［Device Trust Manager］メニューから［証明書管理］を選択します。
Select Request certificate > Request a certificate.
［証明書管理ポリシー］ドロップダウンメニューから、適切なポリシーを選択します。
鍵生成タイプのステップでの操作:
注記
証明書管理ポリシーの選択に基づいて、鍵生成タイプのオプションが表示されます。
1. 鍵ペアを持っており、リクエストの中で CSR または公開鍵を提供します:
  - デバイスデータを含む CSV ファイルまたは zip 圧縮された CSV をアップロードします。書式については、提供されているテンプレートをダウンロードしてご確認ください。
2. 鍵ペアはこのアプリケーションによってサーバー側で生成され、秘密鍵と証明書はレスポンスに含まれます:
  - 鍵生成タイプのドロップダウンメニューを選択します。
証明書の［コモンネーム］を入力します。
オプションで 組織名を入力します。
［値の追加］をクリックして、組織単位の値を入力します（オプション）。
［説明］を入力します（オプション）。
［証明書リクエストの提出］をクリックします。
証明書要求が正常に送信されたら、証明書をダウンロードします。

このセクションの内容:

証明書

重要

注記

証明書の発行と更新

単一デバイス証明書のリクエスト

注記

単一証明書の要求

注記

検索結果