次の方法で共有

OPC Vault 証明書サービスを管理する

  • [アーティクル]

重要

この記事は更新を行いますが、最新の内容については、「Azure Industrial IoT」 (Azure 産業用 IoT) を参照してください。

この記事では、Azure にある OPC Vault 証明書管理サービスでの管理タスクについて説明します。 発行者 CA 証明書を更新する方法、証明書失効リスト (CRL) を更新する方法、ユーザー アクセスを許可および失効する方法についての情報が含まれています。

ルート CA 証明書を作成または更新する

OPC Vault をデプロイした後に、ルート CA 証明書を作成する必要があります。 有効な発行者 CA 証明書がない場合、アプリケーション証明書の署名や発行はできません。 妥当かつ安全な有効期間で証明書を管理するには、「証明書」を参照してください。 有効期間の半分を過ぎてから、発行者 CA 証明書を更新します。 更新時には、新しく署名されたアプリケーション証明書に構成される有効期間が、発行者 CA 証明書の有効期間を超えてはいけないことも考慮してください。

重要

発行者 CA 証明書を作成または更新するには、管理者ロールが必要です。

  1. https://myResourceGroup-app.azurewebsites.net で証明書サービスを開いて、サインインします。
  2. [Certificate Groups]\(証明書グループ\) に移動します。
  3. 既定の 1 つの証明書グループが一覧に示されています。 [編集] を選択します。
  4. [Edit Certificate Group Details]\(証明書グループの詳細を編集する\) で、お使いの CA およびアプリケーション証明書のサブジェクト名と有効期間を変更できます。 サブジェクトと有効期間は、最初の CA 証明書が発行される前に 1 回だけ設定する必要があります。 操作中に有効期間を変更すると、発行される証明書と CRL の有効期間が一致しなくなる可能性があります。
  5. 有効なサブジェクト (CN=My CA Root, O=MyCompany, OU=MyDepartment など) を入力します。

    重要

    サブジェクトを変更する場合は、発行者証明書を更新する必要があります。そうしないと、サービス上でアプリケーション証明書への署名に失敗します。 構成のサブジェクトは、アクティブな発行者証明書のサブジェクトに照らして、チェックされます。 サブジェクトが一致しない場合、証明書の署名は拒否されます。

  6. [保存] を選択します。
  7. この時点で "許可されていません" のエラーが表示される場合は、ユーザーの資格情報に、ルート証明書を変更または新しく作成するための管理者アクセス許可がありません。 既定では、サービスをデプロイしたユーザーが、そのサービスでの管理者ロールと署名ロールを保持します。 他のユーザーは、Azure Active Directory (Azure AD) アプリケーションの登録において、必要に応じて承認者、ライター、または管理者のロールに追加される必要があります。
  8. [詳細] を選択します。 これには、更新後の情報が表示されます。
  9. [CA 証明書の書き換え] を選択して、最初の発行者 CA 証明書を発行するか、または発行者証明書を更新します。 [OK] をクリックします。
  10. 数秒後に、[証明書の詳細] が表示されます。 最新の CA 証明書と OPC UA アプリケーションに配布するための CRL をダウンロードするには、[発行者] または [CRL] を選択します。

これで、OPC UA 証明書管理サービスにおいて、OPC UA アプリケーション用の証明書を発行する準備ができました。

CRL を更新する

CRL の更新は更新プログラムになっており、定期的にアプリケーションに配布される必要があります。 CRL 配布ポイント X509 拡張機能をサポートする OPC UA デバイスは、マイクロサービス エンドポイントから CRL を直接更新できます。 他の OPC UA デバイスは、手動による更新が必要になる場合があります。または、証明書と CRL が含まれた信頼リストを更新するために、GDS サーバー プッシュ拡張機能 (*) を使用して更新される場合があります。

以下に示すワークフローでは、削除済み状態のすべての証明書要求が、CRL では取り消されます。これにより、発行対象となった発行者 CA 証明書と一致します。 CRL のバージョン番号が 1 ずつ増加します。

注意

発行されたすべての CRL は、発行者 CA 証明書の有効期限が切れるまで有効です。 これは、OPC UA の仕様では CRL に対して必須かつ決定論的な分散モデルを必要としないためです。

重要

発行者 CRL を更新するためには、管理者ロールが必要です。

  1. https://myResourceGroup.azurewebsites.net で証明書サービスを開いて、サインインします。
  2. [Certificate Groups]\(証明書グループ\) ページに移動します。
  3. [詳細] を選択します。 これには、現在の証明書と CRL 情報が表示されます。
  4. [Update CRL Revocation List (CRL)]\(証明書失効リスト (CRL) の更新\) を選択して、OPC Vault ストレージ内のすべてのアクティブな発行者証明書に対して更新後の CRL を発行します。
  5. 数秒後に、[証明書の詳細] が表示されます。 最新の CA 証明書と OPC UA アプリケーションに配布するための CRL をダウンロードするには、[発行者] または [CRL] を選択します。

ユーザー ロールの管理

OPC Vault マイクロサービスのユーザー ロールは、Azure AD エンタープライズ アプリケーション上で管理します。 ロール定義の詳細な説明については、「ロール」を参照してください。

既定では、テナント内の認証されたユーザーは、閲覧者としてサービスにサインインできます。 特権ロールが高いほど、Azure portal 上で、または Powershell を使用して、手動による管理が必要になります。

ユーザーの追加

  1. Azure portal を開きます。
  2. [Azure Active Directory]>[エンタープライズ アプリケーション] の順に移動します。
  3. OPC Vault マイクロサービスの登録を選択します (既定では、ご自身の resourceGroupName-service)。
  4. [ユーザーとグループ] に移動します。
  5. [Add User]\(ユーザーの追加\) を選択します。
  6. 特定のロールに割り当てるユーザーを選択または招待します。
  7. ユーザーのロールを選択します。
  8. [割り当て] を選択します。
  9. 管理者または承認者ロールのユーザーは、Azure Key Vault アクセス ポリシーの追加に進みます。

ユーザーの削除

  1. Azure portal を開きます。
  2. [Azure Active Directory]>[エンタープライズ アプリケーション] の順に移動します。
  3. OPC Vault マイクロサービスの登録を選択します (既定では、ご自身の resourceGroupName-service)。
  4. [ユーザーとグループ] に移動します。
  5. 削除するために、ロールを備えたユーザーを選択して、[削除] を選択します。
  6. 管理者または承認者ロールに属する削除したユーザーについては、Azure Key Vault ポリシーからも削除します。

Azure Key Vault にユーザー アクセス ポリシーを追加する

承認者および管理者には、追加のアクセス ポリシーが必要です。

既定では、サービス ID には Key Vault にアクセスするための制限されたアクセス許可しかないため、管理者特権での操作や変更をユーザーの権限借用なしで実行することはできません。 基本のサービス アクセス許可は、シークレットと証明書の両方に対する "取得" と "リスト" です。 シークレットの場合、例外が 1 つだけあります。サービスでは、ユーザーによって受け入れられた後に、シークレット ストアから秘密キーを削除できます。 他のすべての操作では、ユーザーの権限借用が必要です。

承認者ロールの場合、次のアクセス許可を Key Vault に追加する必要があります

  1. Azure portal を開きます。
  2. デプロイ時に使用した OPC Vault resourceGroupName に移動します。
  3. Key Vault resourceGroupName-xxxxx に移動します。
  4. [アクセス ポリシー] に移動します。
  5. [新規追加] を選択します。
  6. テンプレートをスキップします。 要件に一致するテンプレートはありません。
  7. [プリンシパルの選択] を選択し、テナントに追加するユーザーを選択するか、新しいユーザーをテナントに招待します。
  8. 次の [キーのアクセス許可] を選択します。 [取得][リスト][署名] です。
  9. 次の [シークレットのアクセス許可] を選択します。 [取得][一覧][設定][削除] です。
  10. 次の [証明書のアクセス許可] を選択します。 [取得] および [一覧] です。
  11. [OK] を選択して、[保存] を選択します。

管理者ロールの場合、次のアクセス許可を Key Vault に追加する必要があります

  1. Azure portal を開きます。
  2. デプロイ時に使用した OPC Vault resourceGroupName に移動します。
  3. Key Vault resourceGroupName-xxxxx に移動します。
  4. [アクセス ポリシー] に移動します。
  5. [新規追加] を選択します。
  6. テンプレートをスキップします。 要件に一致するテンプレートはありません。
  7. [プリンシパルの選択] を選択し、テナントに追加するユーザーを選択するか、新しいユーザーをテナントに招待します。
  8. 次の [キーのアクセス許可] を選択します。 [取得][リスト][署名] です。
  9. 次の [シークレットのアクセス許可] を選択します。 [取得][一覧][設定][削除] です。
  10. 次の [証明書のアクセス許可] を選択します。 [取得][一覧][更新][作成] 、および [インポート] です。
  11. [OK] を選択して、[保存] を選択します。

Azure Key Vault からユーザー アクセス ポリシーを削除する

  1. Azure portal を開きます。
  2. デプロイ時に使用した OPC Vault resourceGroupName に移動します。
  3. Key Vault resourceGroupName-xxxxx に移動します。
  4. [アクセス ポリシー] に移動します。
  5. 削除するユーザーを見つけて、[削除] を選択します。

次の手順

ここでは、OPC Vault 証明書とユーザーを管理する方法を学習しました。以下に進むことができます。

OPC デバイスの通信をセキュリティで保護する