クラウドプラットフォームポリシーの作成
目的
Azure Event Grid MQTT ブローカーをデバイスにオンボーディングする。
証明書ベースの MQTT クライアント認証でデバイスをセキュアに接続する。
DigiCert® Device Trust Manager のクラウドプラットフォームポリシー機能によって、デバイスを自動的にプロビジョニングする。
開始する前に
Event Grid 名前空間とリソースを作成し管理する権限を持つアクティブな Microsoft Azure サブスクリプションが必要です。
Microsoft Azure Event Grid MQTT ブローカー:
MQTT ブローカー名前空間を作成します。
MQTT ブローカー名前空間の作成については、Azure Event Grid ドキュメントページで 「名前空間の作成、表示、管理」を参照してください。
証明書ベースの MQTT 認証を有効にします。
X.509 証明書を使用して MQTT クライアントを認証するための Microsoft Azure の構成については、Azure Event Grid ドキュメントページで「証明書を使用した MQTT クライアント認証」を参照してください。
Establish TLS Trust with Azure Event Grid:
To ensure a secure TLS connection between the device and the Azure Event Grid, the device must trust the Event Grid endpoint’s server certificate.
Retrieve the TLS certificate chain from the Event Grid endpoint using the following command:
openssl s_client -connect <eventgrid-endpoint>:443 -showcerts
Install the root and intermediate CA certificates on the device at the following location:
/etc/digicert/keystore/ca
Configure and keep the following details from your Azure account:
Tenant ID
To get a Tenant ID, you must register your application in Microsoft Entra ID. See Register an application in Microsoft Entra ID.
Client secret (this is used if the authentication includes identity-based integration)
To create a client secret for your registered application, see Create a new client secret.
Resource Group
You must assign the required Azure roles to your registered application. To assign the required permissions and roles, see Assign Azure roles using the Azure portal.
Azure アカウントから以下の構成情報を収集し、保管してください。
Azure サブスクリプション ID
名前空間名
クライアント ID
Device Trust Manager
初期 ID プロビジョニング用のブートストラップ証明書の証明書管理ポリシーを作成 します。
ランタイム認証に必要な運用証明書の証明書管理ポリシーを作成します。
デバイスグループを作成し、証明書管理ポリシーを割り当てます。
初期 ID プロビジョニングには、ブートストラップ証明書管理ポリシーが必要です。
ランタイム認証には、運用証明書管理ポリシーが必要です。
ステップ 1: クラウドプラットフォームポリシーの作成
以下の手順で、クラウドプラットフォームポリシーを作成します。
[Device Trust Manager]メニューで[クラウドプラットフォームポリシー]を選択します。
[Create cloud platform policy]をクリックします。
クラウドプラットフォームポリシー名を指定します。
ドロップダウンリストから[発行 CA]を選択します。
発行 CA 証明書をダウンロードします。
発行 CA 証明書を Azure Event Grid Services に登録します。
登録するには、「証明書を使用した MQTT クライアント認証」に記載されている手順に従ってください。
[Set up certificate issuance]チェックボックスを選択します。
[次へ]をクリックして、MQTT ブローカーを追加します。
ステップ 2: Microsoft Azure Event Grid MQTT ブローカーの追加
次に、Microsoft Azure Event Grid MQTT ブローカーを追加します。
[Add MQTT broker]タブに移動します。
[Add MQTT broker]をクリックします。
画面の指示に従って、Device Trust Manager で必要な構成条件の詳細を、Azure アカウントから指定します。
Azure アカウントから必要な構成条件をすべて入力したら、[Platform Onboarding Test]をクリックして、提供した構成パラメータが正しいかどうかを確認し、クラウドプラットフォームポリシーを追加します。
[Add broker]をクリックして、MQTT ブローカーを追加します。
ステップ 3: クラウドプラットフォームポリシーの設定
クラウドプラットフォームポリシーを設定する手順:
[クラウドプラットフォームポリシーの設定]タブに移動します。
オプション(クラウドプラットフォームポリシーをディビジョンに割り当てます)。
[Add assignment]をクリックして、MQTT ブローカーでデバイス認証用の X.509 証明書を発行する証明書管理ポリシーを選択します。
[デバイスグループ]ドロップダウンメニューから、デバイスグループを選択します。
このグループで選択したデバイスは、MQTT ブローカーでデバイス ID が作成され、接続する MQTT エンドポイントが割り当てられます。
選択したデバイスグループに基づいて、それに関連付けられた運用管理ポリシー証明書が自動的に[運用証明書管理ポリシー]ドロップダウンメニューに表示されます。
[Create cloud platform policy]をクリックします。
クラウドプラットフォームポリシーの作成に成功すると、ポリシーが[完了したポリシー]リストに表示されます。