Skip to main content

CSA Matter 証明書の発行

To perform this action, you must have a user role that contains the Solution administrator permission.

Matter は、スマートホームデバイスをシームレスに接続するための基準です。CSA( Connectivity Standards Alliance )によって開発されました。Matter を利用することで、コンシューマーデバイスのメーカー各社はデバイスの開発を簡素化し、消費者により親しみやすく互換性のある製品を提供することができます。消費者向け製品に Matter を導入するには、CSA の会員となり、認定プログラムを完了する必要があります。

DigiCert​​®​​Device Trust Manager では、Matter デバイス認証証明書(DAC)をデバイスに簡単に追加できます。当社のライフサイクル管理ソリューションは、生産台数やデバイスの使用ケースに関係なく、デバイスが Matter プロトコルに適合していることを確認しながら、市場投入戦略をスピードアップします。

DigiCert​​®​​ は CSA のメンバーであり、Matter の承認された非ベンダー ID 製品認証局(PAA)ルートを運用しています。DigiCert​​®​​は、PAA として、CSA メンバーに製品認証中間体(PAI)およびデバイス認証証明書(DAC)を提供しています。これらは Matter コンプライアンスのために必要です。 DigiCert​​®​​ では、開発段階でのテスト用 DAC の提供も可能です。

詳細は、以下のリンク先を参照してください。

開始する前に

DigiCert® Device Trust Manager で Matter DAC を発行する前に、DigiCert​​®​​ account の担当者と協力して Matter のアカウントを初期化してください。このプロセスの一環として、DigiCert​​®​​ システム管理者が以下を実行します。

DigiCert® Private CA で、以下の操作を実行します。

  • デジサートの製品認証局(PAA)ルートから、CSA メンバーの製品認証中間認証局(PAI)を発行します。

    • For production deployments, DigiCert will issue the PAI from the production DigiCert PAA root (CN=DigiCert Root CA for MATTER PKI G1) registered in the DCL at Distributed Compliance Ledger.

    • Optionally, for testing purposes, DigiCert can issue the PAI from the test DigiCert PAA root (CN=DigiCert TEST Root CA for MATTER PKI) registered in the DCL at https://testnet.iotledger.io/pki.

  • The PAI contains the member’s CSA vendor ID. A product ID in the PAI is optional.

  • メンバーの PAI を使って、証明書失効リスト(CRL)のサポートを有効化します。これは Matter バージョン 1.3(セクション 6.2.4)から必須になりました。

DigiCert® Account Manager で、以下の操作を実行します。

  • 必要なライセンスファイルを追加します。Device Trust Manager のサブスクリプションプランはすべて、CSA Matter DAC の発行をサポートしています。

  • プライマリの DigiCert アカウントを作成します。

  • プライマリ組織を作成します。

Device Trust Manager で、以下の操作を実行します。

Matter Standard Certificate Template と呼ばれるシステム Certificate template がコピーされ、カスタムテンプレートが作成されます。

注記

上記のいずれかが不足している場合は、DigiCert​​®​​ アカウント担当者にお問い合わせください。

Additionally, ensure your company’s DigiCert ONE Account admin has provided you with a user account that has the Solution Administrator role in Device Trust Manager.

Step 1: Create a certificate profile

  1. In the Device Trust Manager menu, go to Certificate management > Certificate profiles.

  2. Select Create certificate profile.

  3. Enter a Name for the certificate profile.

  4. Under Template, select the Matter Standard Certificate Template that was cloned for your account.

  5. Scroll down to the Value Sources section of the Vendor Identifier.

  6. Set the Value Sources for your Vendor Identifier.

    Your CSA-assigned Vendor ID (VID) is a 16-bit identifier in capitalized hexadecimal format. Your organization’s VID can be found at https://webui.dcl.csa-iot.org/vendors.

    For example, you can set a default value. A VID of 257 can be entered as 0101 (decimal value of 257).

  7. Scroll down to the Value Sources section of the Product Identifier.

  8. Set the Value Sources for your Product Identifier.

    Your Product ID (PID) is a 16-bit identifier in capitalized hexadecimal format.

    For example, you can set a default value. A PID of 59905 can be entered as EA01 (decimal value of 59905).

  9. Optionally, provide information for subject fields such as Common Name, Organization, and Organization Unit.

  10. Click Create.

Step 2: Create a certificate management policy

  1. In the Device Trust Manager menu, go to Certificate management > Certificate management policies.

  2. Select Create certificate management policy.

  3. Enter a Name for the certificate management policy.

  4. Choose a Division to assign the policy to.

  5. Under Select the certificate management model, choose Policy will be used for certificate issuance only. Requires an Essentials license.

  6. Under Certificate management methods, choose the certificate management method that this policy will support.

    For detailed information on available certificate management methods, see Create a certificate management policy.

  7. Select an Authentication policy if required.

    注記

    • If you are using EST, CMPv2, SCEP, or ACME, you must select an authentication policy to allow devices to authenticate using a passcode or an authentication certificate.

    • If you are using portal and REST API certificate management methods, selecting an authentication policy is optional if you intend to use an API key or a certificate in Account Manager for authentication.

  8. Click Next  to proceed to the certificate settings.

  9. Under Certificate settings:

    1. Select End entity certificate profile and choose the profile you created above.

    2. Select Issuing CA and choose your Product Attestation Intermediate (PAI) that will issue Device Attestation Certificates (DAC).

  10. Set the Keypair generation preferences.

  11. Click Next to proceed to the certificate management method settings.

  12. Under Certificate management method settings, complete configuring each issuance method to meet your requirements.

  13. Click Finish.

DCL で失効リストを公開

失効に対応するには、PAI ごとに証明書失効リスト(CRL)を有効化する必要があります。また、CSA Matter v1.3 に従って、CSA の分散コンプライアンス台帳(DCL)で公開する必要があります。CSA メンバーは、CSA メンバーログインを使用して、PAI CRL 情報を DCL に公開する必要があります。 DigiCert​​®​​ は、代理でこれを実行することはできません。

  1. アカウント管理者として DigiCert® ONE にサインインします。

  2. DigiCert ONE[マネージャ]メニュー(右上のグリッド)で、[CA Manager]を選択します。

  3. [CA の管理]>[Intermediates]で、PAI を選択して詳細を表示します。

  4. [CRL]設定セクションまでスクロールダウンして CRL URL をコピーします。たとえば、crl.one.digicert.com です。

  5. 会員ログインを使用して https://webui.dcl.csa-iot.org/ に移動し、CSA DCL にサインインします。

    アカウントをお持ちでない場合、またはサインインできない場合は、CSA にお問い合わせください。

  6. [PKI]>[PKI Revocation Distribution Point]>[Add Revocation Distribution Point]を選択します。

  7. 必須項目はすべて入力してください。

    各フィールドの詳細については、Matter v1.3「PKI Revocation Distribution Point Schema」(セクション 11.23.8)を参照してください。

    1. Issuer Subject Key ID: PAI 証明書のサブジェクト鍵識別子。たとえば、115045193344599B4665D459FD3A15F1C116EEBF

    2. Is PAA: false

    3. CRL Signer Certificate: X.509v3 PEM フォーマットでエンコードされた PAI 証明書。

      PAI は、ディストリビューションポイントエントリで示される失効情報に署名します。以下に例を示します:

      -----BEGIN CERTIFICATE----- MIICDTCCAbKgAwIBAgIQe3eNNaVHZutrY7gRg4ItsjAKBggqhkjOPQQDAjBTMQsw CQYDVQQGEwJVUzEXMBUGA1UEChMORGlnaUNlcnQsIEluYy4xKzApBgNVBAMTIkRp Z2lDZXJ0IFJvb3QgQ0EgZm9yIE1BVFRFUiBQS0kgRzEwIBcNMjIwODI0MDAwMDAw WhgPOTk5OTEyMzEyMzU5NTlaMFMxCzAJBgNVBAYTAlVTMRcwFQYDVQQKEw5EaWdp Q2VydCwgSW5jLjErMCkGA1UEAxMiRGlnaUNlcnQgUm9vdCBDQSBmb3IgTUFUVEVS IFBLSSBHMTBZMBMGByqGSM49AgEGCCqGSM49AwEHA0IABAVbq6wD9zzDXbEObnSN OMNLrGyLBok/Le7bYMzRBn8G4aNSEDw1ClO4gAbrZqpDJy5QSmF9VpKPx9FOsvmV bZujZjBkMBIGA1UdEwEB/wQIMAYBAf8CAQEwDgYDVR0PAQH/BAQDAgEGMB0GA1Ud DgQWBBQyUEUZM0RZm0Zl1Fn9OhXxwRbMvTAfBgNVHSMEGDAWgBQyUEUZM0RZm0Zl 1Fn9OhXxwRbMvTAKBggqhkjOPQQDAgNJADBGAiEAh88I/wwZ6/x4wrLLZeEZZEQi KqmgvTeRD3kPQ1LoCFgCIQCKVfavo16G+mSmMEFD2O/vsx15c2U1SS0rTK/ogRAP 4g== -----END CERTIFICATE-----

    4. DataURL: http://crl.one.digicert.com/.crl.たとえば、PAI 証明書のコモンネームが Contoso PAI の場合、DataURL は http://crl.one.digicert.com/ContosoPAI.crl です。

    5. Revocation Type: 1

  8. フォームを送信します。

  9. CSA が CRL を受け取って DCL に公開すると、ログインしなくても誰でも CRL を閲覧できるようになります。https://webui.dcl.csa-iot.org/ に移動し、ナビゲーションバーから PKI を選択すると、CRL を検索できます。

    注記

    CRL の URL は、DAC のサイズが大きくなるため、DAC には含まれません。

DAC の発行

アカウントを設定し、PAI CRL を分散コンプライアンス台帳に公開すると、Device Trust Managerを使用してデバイスへの DAC の発行を開始できます。

注記

When creating a CSR for a Matter DAC, ensure the VID and PID values are 16-bit identifiers in capitalized hexadecimal format.

Device Trust Manager によって証明書発行のためにサポートされている任意の方法を使って、デバイスに DAC を発行できます。

Troubleshoot

Follow these instructions if you encounter problems using the Matter Test Harness or the chip-tool from GitHub.

  • Set up the Test Matter DCL

    You must set up the Test Matter DCL for your product. Without this, you can’t commission your device on ecosystems like Apple Home if you’re using other certificates outside the default Matter SDK test set).

  • Chip-tool and PAA Root certificates

    By default, the chip-tool doesn’t check for PAA Root certificates (other than the ones it creates itself). To make it check, you must pass a parameter.

    Below is an example command:

    sudo ./chip-tool interactive start --paa-trust-store-path /var/paa-root-certs

    Replace the /var/paa-root-certs with the path to the folder that holds the PAA certificates you want it to use.

  • Test Harness and PAA Root certificates

    In the Test Harness, you must enable a setting so it reads PAA Root certificates.

    Open your project configuration and set the below parameter:

    "chip_use_paa_certs": true
このセクションの内容: