Device Provisioning Service のグループ登録で使用する証明書について

こんにちは。Azure IoT 開発サポートチームの中神です。 Device Provisioning Service では X.509 証明書を使ったデバイスの認証ならびにプロビジョニング (デバイスの登録) をサポートします。その方法としては以下の 2 種類があります。 [1] デバイスの自己署名証明書を使った個別登録 (Individual Enrollment) [2] ルート認証局 (Root CA) や中間認証局 (Intermediate CA) で署名された証明書を使うグループ登録 (Group Enrollment) 今回は [2] のグループ登録で使用する証明書とその注意点についてご紹介します。 X.509 証明書を使ったデバイス登録では、SSL / TLS での接続時にデバイスがクライアント証明書を Device Provisioning Service に対して提示します。Device Provisioning Service は提示された証明書を検証して、デバイス登録の可否および対象となる登録エントリを判断します。そして該当する登録エントリで指定された接続情報をデバイスに対して返すことにより、デバイスは IoT Hub に接続することが可能になります。 ここでグループ登録に使用される証明書は一般に以下のような証明書チェーンを構成しています。左端が Root CA の発行する自己署名証明書、右端がデバイス個別のクライアント証明書です。 また Device Provisioning Service における検証済みの証明書とは、Device Provisioning…