Skip to main content

CSA Matter 証明書の発行

To perform this action, you must have a user role that contains the Solution administrator permission.

Matter は、スマートホームデバイスをシームレスに接続するための基準です。CSA( Connectivity Standards Alliance )によって開発されました。Matter を利用することで、コンシューマーデバイスのメーカー各社はデバイスの開発を簡素化し、消費者により親しみやすく互換性のある製品を提供することができます。消費者向け製品に Matter を導入するには、CSA の会員となり、認定プログラムを完了する必要があります。

DigiCert​​®​​Device Trust Manager では、Matter デバイス認証証明書(DAC)をデバイスに簡単に追加できます。当社のライフサイクル管理ソリューションは、生産台数やデバイスの使用ケースに関係なく、デバイスが Matter プロトコルに適合していることを確認しながら、市場投入戦略をスピードアップします。

DigiCert​​®​​ は CSA のメンバーであり、Matter の承認された非ベンダー ID 製品認証局(PAA)ルートを運用しています。DigiCert​​®​​は、PAA として、CSA メンバーに製品認証中間体(PAI)およびデバイス認証証明書(DAC)を提供しています。これらは Matter コンプライアンスのために必要です。 DigiCert​​®​​ では、開発段階でのテスト用 DAC の提供も可能です。

詳細は、以下のリンク先を参照してください。

開始する前に

DigiCert® Device Trust Manager で Matter DAC を発行する前に、DigiCert​​®​​ account の担当者と協力して Matter のアカウントを初期化してください。このプロセスの一環として、DigiCert​​®​​ システム管理者が以下を実行します。

DigiCert® Private CA で、以下の操作を実行します。

  • デジサートの製品認証局(PAA)ルートから、CSA メンバーの製品認証中間認証局(PAI)を発行します。

    • For production deployments, DigiCert will issue the PAI from the production DigiCert PAA root (CN=DigiCert Root CA for MATTER PKI G1) registered in the DCL at Distributed Compliance Ledger.

    • Optionally, for testing purposes, DigiCert can issue the PAI from the test DigiCert PAA root (CN=DigiCert TEST Root CA for MATTER PKI) registered in the DCL at https://testnet.iotledger.io/pki.

  • The PAI contains the member’s CSA vendor ID. A product ID in the PAI is optional.

  • メンバーの PAI を使って、証明書失効リスト(CRL)のサポートを有効化します。これは Matter バージョン 1.3(セクション 6.2.4)から必須になりました。

DigiCert® Account Manager で、以下の操作を実行します。

  • 必要なライセンスファイルを追加します。Device Trust Manager のサブスクリプションプランはすべて、CSA Matter DAC の発行をサポートしています。

  • プライマリの DigiCert アカウントを作成します。

  • プライマリ組織を作成します。

Device Trust Manager で、以下の操作を実行します。

Matter Standard Certificate Template と呼ばれるシステム Certificate template がコピーされ、カスタムテンプレートが作成されます。

注記

上記のいずれかが不足している場合は、DigiCert​​®​​ アカウント担当者にお問い合わせください。

Additionally, ensure your company’s DigiCert ONE Account admin has provided you with a user account that has the Solution Administrator role in Device Trust Manager.

Step 1: Create a certificate profile

  1. In the Device Trust Manager menu, go to Certificate management > Certificate profiles.

  2. Select Create certificate profile.

  3. Enter a Name for the certificate profile.

  4. Under Template, select the Matter Standard Certificate Template that was cloned for your account.

  5. Scroll down to the Value Sources section of the Vendor Identifier.

  6. Set the Value Sources for Vendor Identifier with your CSA-assigned Vendor ID (VID).

    Your CSA-assigned Vendor ID (VID) is a 16-bit identifier in capitalized hexadecimal format. Your organization’s VID can be found at https://webui.dcl.csa-iot.org/vendors.

    Example:

    A VID value of 257 in decimal corresponds to 0101 in hexadecimal.

    When specifying default values, use the hexadecimal format without the 0x prefix.

    You can set a default value as 0101.

  7. Scroll down to the Value Sources section of the Product Identifier.

  8. Set the Value Sources for your Product Identifier with your Product ID (PID).

    Your Product ID (PID) is a 16-bit identifier in capitalized hexadecimal format.

    Example:

    A PID value of 59905 in decimal corresponds to EA01 in hexadecimal.

    When specifying default values, use the hexadecimal format without the 0x prefix.

    You can set a default value as EA01.

  9. Optionally, provide information for subject fields such as Common Name, Organization, and Organization Unit.

  10. Click Create.

Step 2: Create a certificate management policy

  1. In the Device Trust Manager menu, go to Certificate management > Certificate management policies.

  2. Select Create certificate management policy.

  3. Enter a Name for the certificate management policy.

  4. Choose a Division to assign the policy to.

  5. Under Select the certificate management model, choose Policy will be used for certificate issuance only. Requires an Essentials license.

  6. Under Certificate management methods, choose the certificate management method that this policy will support.

    For detailed information on available certificate management methods, see Create a certificate management policy.

  7. Select an Authentication policy if required.

    注記

    • If you are using EST, CMPv2, SCEP, or ACME, you must select an authentication policy to allow devices to authenticate using a passcode or an authentication certificate.

    • If you are using portal and REST API certificate management methods, selecting an authentication policy is optional if you intend to use an API key or a certificate in Account Manager for authentication.

  8. Click Next  to proceed to the certificate settings.

  9. Under Certificate settings:

    1. Select End entity certificate profile and choose the profile you created above.

    2. Select Issuing CA and choose your Product Attestation Intermediate (PAI) that will issue Device Attestation Certificates (DAC).

  10. Set the Keypair generation preferences.

  11. Click Next to proceed to the certificate management method settings.

  12. Under Certificate management method settings, complete configuring each issuance method to meet your requirements.

  13. Click Finish.

DCL で失効リストを公開

失効に対応するには、PAI ごとに証明書失効リスト(CRL)を有効化する必要があります。また、CSA Matter v1.3 に従って、CSA の分散コンプライアンス台帳(DCL)で公開する必要があります。CSA メンバーは、CSA メンバーログインを使用して、PAI CRL 情報を DCL に公開する必要があります。 DigiCert​​®​​ は、代理でこれを実行することはできません。

  1. アカウント管理者として DigiCert® ONE にサインインします。

  2. DigiCert ONE[マネージャ]メニュー(右上のグリッド)で、[CA Manager]を選択します。

  3. [CA の管理]>[Intermediates]で、PAI を選択して詳細を表示します。

  4. [CRL]設定セクションまでスクロールダウンして CRL URL をコピーします。たとえば、crl.one.digicert.com です。

  5. 会員ログインを使用して https://webui.dcl.csa-iot.org/ に移動し、CSA DCL にサインインします。

    アカウントをお持ちでない場合、またはサインインできない場合は、CSA にお問い合わせください。

  6. [PKI]>[PKI Revocation Distribution Point]>[Add Revocation Distribution Point]を選択します。

  7. 必須項目はすべて入力してください。

    各フィールドの詳細については、Matter v1.3「PKI Revocation Distribution Point Schema」(セクション 11.23.8)を参照してください。

    1. Issuer Subject Key ID: PAI 証明書のサブジェクト鍵識別子。たとえば、115045193344599B4665D459FD3A15F1C116EEBF

    2. Is PAA: false

    3. CRL Signer Certificate: X.509v3 PEM フォーマットでエンコードされた PAI 証明書。

      PAI は、ディストリビューションポイントエントリで示される失効情報に署名します。以下に例を示します:

      -----BEGIN CERTIFICATE----- MIICDTCCAbKgAwIBAgIQe3eNNaVHZutrY7gRg4ItsjAKBggqhkjOPQQDAjBTMQsw CQYDVQQGEwJVUzEXMBUGA1UEChMORGlnaUNlcnQsIEluYy4xKzApBgNVBAMTIkRp Z2lDZXJ0IFJvb3QgQ0EgZm9yIE1BVFRFUiBQS0kgRzEwIBcNMjIwODI0MDAwMDAw WhgPOTk5OTEyMzEyMzU5NTlaMFMxCzAJBgNVBAYTAlVTMRcwFQYDVQQKEw5EaWdp Q2VydCwgSW5jLjErMCkGA1UEAxMiRGlnaUNlcnQgUm9vdCBDQSBmb3IgTUFUVEVS IFBLSSBHMTBZMBMGByqGSM49AgEGCCqGSM49AwEHA0IABAVbq6wD9zzDXbEObnSN OMNLrGyLBok/Le7bYMzRBn8G4aNSEDw1ClO4gAbrZqpDJy5QSmF9VpKPx9FOsvmV bZujZjBkMBIGA1UdEwEB/wQIMAYBAf8CAQEwDgYDVR0PAQH/BAQDAgEGMB0GA1Ud DgQWBBQyUEUZM0RZm0Zl1Fn9OhXxwRbMvTAfBgNVHSMEGDAWgBQyUEUZM0RZm0Zl 1Fn9OhXxwRbMvTAKBggqhkjOPQQDAgNJADBGAiEAh88I/wwZ6/x4wrLLZeEZZEQi KqmgvTeRD3kPQ1LoCFgCIQCKVfavo16G+mSmMEFD2O/vsx15c2U1SS0rTK/ogRAP 4g== -----END CERTIFICATE-----

    4. DataURL: http://crl.one.digicert.com/.crl.たとえば、PAI 証明書のコモンネームが Contoso PAI の場合、DataURL は http://crl.one.digicert.com/ContosoPAI.crl です。

    5. Revocation Type: 1

  8. フォームを送信します。

  9. CSA が CRL を受け取って DCL に公開すると、ログインしなくても誰でも CRL を閲覧できるようになります。https://webui.dcl.csa-iot.org/ に移動し、ナビゲーションバーから PKI を選択すると、CRL を検索できます。

    注記

    CRL の URL は、DAC のサイズが大きくなるため、DAC には含まれません。

DAC の発行

アカウントを設定し、PAI CRL を分散コンプライアンス台帳に公開すると、Device Trust Managerを使用してデバイスへの DAC の発行を開始できます。

注記

When creating a CSR for a Matter DAC, ensure the VID and PID values are 16-bit identifiers in capitalized hexadecimal format.

Device Trust Manager によって証明書発行のためにサポートされている任意の方法を使って、デバイスに DAC を発行できます。

Troubleshoot

Follow these instructions if you encounter problems using the Matter Test Harness or the chip-tool from GitHub.

  • Set up the Test Matter DCL

    You must set up the Test Matter DCL for your product. Without this, you can’t commission your device on ecosystems like Apple Home if you’re using other certificates outside the default Matter SDK test set).

  • Chip-tool and PAA Root certificates

    By default, the chip-tool does not check for PAA Root certificates (other than the ones it generates internally).

    To force the tool to check, you must specify a parameter.

    Example:

    sudo ./chip-tool interactive start --paa-trust-store-path /var/paa-root-certs

    Replace the /var/paa-root-certs with the path to the folder that holds the PAA certificates you want it to use.

  • Validate Matter certificates with the chip-tool

    Use the chip-tool to validate that your PAA, PAI, and DAC certificates conform to the Matter specification. This helps ensure that the Device Attestation Certificates are properly formatted and chained.

    Example command:

    ./chip-cert validate-att-cert --dac ./dac.pem --pai ./pai.pem --paa ./paa.pem

  • Validate a DAC

    If the chip-tool reports that your DAC is invalid, verify that your DAC resembles a valid x.509 certificate as shown in the following example:

    Example of a DAC x.509 certificate:

    Certificate:
 Data:
 Version: 3 (0x2)
 Serial Number: 1010560536528535133 (0xe063b742bcfbe5d)
 Signature Algorithm: ecdsa-with-SHA256
 Issuer: CN = Matter Test PAI, 1.3.6.1.4.1.37244.2.1 = FFF1, 1.3.6.1.4.1.37244.2.2 = 8000
 Validity
 Not Before: Jun 28 14:23:43 2021 GMT
 Not After : Dec 31 23:59:59 9999 GMT
 Subject: CN = Matter Test DAC 0001, 1.3.6.1.4.1.37244.2.1 = FFF1, 1.3.6.1.4.1.37244.2.2 = 8000
 Subject Public Key Info:
 Public Key Algorithm: id-ecPublicKey
 Public-Key: (256 bit)
 pub:
 04:c2:25:83:22:c7:dc:72:73:7c:33:be:ed:70:73:
 37:aa:24:85:bc:46:79:3e:4d:5a:c9:a7:5a:d7:43:
 52:66:c9:0a:02:8e:ec:af:26:50:fe:70:09:ef:fc:
 ae:cb:ea:d1:f2:c3:d1:24:35:de:c2:ea:d3:d9:92:
 95:bf:ce:d6:c3
 ASN1 OID: prime256v1
 NIST CURVE: P-256
 X509v3 extensions:
 X509v3 Basic Constraints: critical
 CA:FALSE
 X509v3 Key Usage: critical
 Digital Signature
 X509v3 Subject Key Identifier:
 96:C2:D9:24:94:EA:97:85:C0:D1:67:08:E3:88:F1:C0:91:EA:0F:D5
 X509v3 Authority Key Identifier:
 keyid:AF:42:B7:09:4D:EB:D5:15:EC:6E:CF:33:B8:11:15:22:5F:32:52:88
 Signature Algorithm: ecdsa-with-SHA256
 30:45:02:20:5f:cb:29:a4:0d:3c:35:a6:e8:ce:60:65:c6:d0:
 9d:a6:17:3d:c5:b2:45:ec:32:04:91:e3:d3:49:32:b7:3e:17:
 02:21:00:b4:56:99:0f:52:05:10:04:5a:38:8f:75:4e:77:15:
 40:a0:44:97:92:31:96:45:5e:44:0d:68:25:d9:61:03:64

  • Test Harness and PAA Root certificates

    In the Test Harness, you must enable a setting so it reads PAA Root certificates.

    Open your project configuration and set the below parameter:

    "chip_use_paa_certs": true
このセクションの内容: