すべてのプロダクト
Search

このプロダクト

    ApsaraMQ for MQTT:CA 証明書の管理

    ドキュメントセンター

    ApsaraMQ for MQTT:CA 証明書の管理

    最終更新日:Aug 02, 2025

    ApsaraMQ for MQTT では、デバイス証明書を使用してクライアントからのアクセスを認証できます。認証局(CA)証明書は、デバイス、サーバー、および検証証明書の発行に使用できます。ApsaraMQ for MQTT クライアントがデバイス証明書を使用して認証を実行する場合、ApsaraMQ for MQTTApsaraMQ for MQTT ブローカーは、デバイス証明書に関連付けられた CA 証明書を使用して、デバイス証明書の有効性を認証します。 CA 証明書は、 ブローカーに登録した後でのみ使用できます。

    背景情報

    ApsaraMQ for MQTT クライアントがデバイス証明書を使用して認証を実行する場合、ApsaraMQ for MQTT ブローカーは、デバイス証明書に関連付けられた CA 証明書を使用して、デバイス証明書の有効性を認証します。 CA 証明書は、ApsaraMQ for MQTT ブローカーに登録した後でのみ使用できます。

    ApsaraMQ for MQTT ブローカーに CA 証明書を登録するには、証明書情報をブローカーにアップロードしてから、証明書を指定したインスタンスにバインドする必要があります。以下の項目では、CA 証明書とインスタンスの関係について説明します。

    • 複数の CA 証明書を 1 つのインスタンスにバインドできます。

    • 1 つの CA 証明書を複数のインスタンスにバインドできます。

    制限事項

    • CA 証明書は、ApsaraMQ for MQTT Enterprise Platinum Edition インスタンスでのみ管理できます。

    • 取得した CA 証明書のシリアル番号は一意である必要があります。

    • CA 証明書のシリアル番号は 128 バイトを超えることはできません。

    • CA 証明書は、RSA(Rivest-Shamir-Adleman)アルゴリズムと ECC(Elliptic Curve Cryptography)アルゴリズムをサポートしています。

    前提条件

    OpenSSL v1.1.1i 以降がインストールされていること。

    自己署名 CA 証明書

    CA から CA 証明書を購入できます。自己署名 CA 証明書を作成することもできます。このトピックでは、OpenSSL を使用して自己署名 CA 証明書を作成する方法について説明します。

    OpenSSL のダウンロードとインストール

    1. OpenSSL をダウンロードしてインストールします

      説明

      OpenSSL をインストールした後、Windows オペレーティングシステムを使用する場合は、OpenSSL インストールディレクトリの bin サブディレクトリを PATH 環境変数に追加する必要があります。

    2. コマンドプロンプトウィンドウを開きます。

    RSA CA 証明書

    1. 次のコマンドを実行して、RSA CA 証明書の秘密鍵を生成します。

      openssl genrsa -out CA.key 2048

    2. 次のコマンドを実行して、CA 証明書の秘密鍵を使用して、証明書の証明書署名要求(CSR)ファイルを作成します。

      openssl req -new -key CA.key -out CA.csr

      次のコードが返されます。対応するパラメータの値を入力します。

      Country Name (2 letter code) [AU]:
    State or Province Name (full name) []:
    Locality Name (for example, city) []:
    Organization Name (for example, company) []:
    Organizational Unit Name (for example, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:
    Email Address []:

    3. 次のコマンドのいずれかを実行して、オペレーティングシステムに基づいて CA.crt という名前の自己署名 RSA CA 証明書を作成します。 extfile ファイルの場所は、オペレーティングシステムによって異なります。

      • Mac

        openssl x509 -req -extfile /System/Library/OpenSSL/openssl.cnf -extensions v3_ca -in CA.csr -out CA.crt -signkey CA.key -CAcreateserial -days 3650

      • CentOS

        openssl x509 -req -extfile /etc/pki/tls/openssl.cnf -extensions v3_ca -in CA.csr -out CA.crt -signkey CA.key -CAcreateserial -days 3650

      • Windows

        openssl x509 -req -extfile C:\Progra~1\OpenSSL-Win64\bin\cnf\openssl.cnf  -extensions v3_ca -in CA.csr -out CA.crt -signkey CA.key -CAcreateserial -days 3650

    4. 次のコマンドを実行して、作成された RSA CA 証明書を表示します。

      openssl x509 -in CA.crt -text

    ECC CA 証明書

    1. 次のコマンドを実行して、ECC CA 証明書の秘密鍵を生成します。

      openssl ecparam -genkey -name prime256v1 -out CA.key

    2. 次のコマンドのいずれかを実行して、オペレーティングシステムに基づいて CA.crt という名前の自己署名 CA 証明書を作成します。

      • Mac

        openssl req -new -x509 -days 3650 -config /System/Library/OpenSSL/openssl.cnf -extensions v3_ca -key CA.key -out CA.crt

      • CentOS

        openssl req -new -x509 -days 3650 -config /etc/pki/tls/openssl.cnf -extensions v3_ca -key CA.key -out CA.crt

      • Windows

        openssl req -new -x509 -days 3650 -config C:\Progra~1\OpenSSL-Win64\bin\cnf\openssl.cnf -extensions v3_ca -key CA.key -out CA.crt
        説明

        この手順でエラーが報告された場合は、コマンドの openssl.cnf ファイルパスが正しいかどうかを確認してください。

      次のコードが返されます。対応するパラメータの値を入力します。

          Country Name (2 letter code) [AU]:
    State or Province Name (full name) []:
    Locality Name (for example, city) []:
    Organization Name (for example, company) []:
    Organizational Unit Name (for example, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:
    Email Address []:

    3. 次のコマンドを実行して、作成された ECC CA 証明書を表示します。

      openssl x509 -in CA.crt -text

    CA 証明書の登録

    説明

    CA 証明書は、登録されるとデフォルトで有効になります。

    1. CA 証明書の登録コードを取得します。

      1. ApsaraMQ for MQTT コンソール にログインします。左側のナビゲーションウィンドウで、インスタンスリスト をクリックします。

      2. 上部のナビゲーションバーで、管理する ApsaraMQ for MQTT インスタンスが存在するリージョンを選択します。 [インスタンス] ページで、目的のインスタンスの名前をクリックして、インスタンスの詳細 ページに移動します。左側のナビゲーションウィンドウで、[証明書] > [CA 証明書] を選択します。

      3. [CA 証明書] ページで、[証明書の登録] をクリックします。

        表示されるパネルで、CA 証明書の登録コードを取得できます。image

    2. CA 証明書の検証証明書を作成します。

      ApsaraMQ for MQTT ブローカーに CA 証明書を登録するには、CA 証明書の秘密鍵を持っていることを証明する必要があります。 CA 証明書を使用して検証証明書を作成する必要があります。検証証明書を作成するときは、ApsaraMQ for MQTT によって提供される登録コードを指定します。システムは、作成された検証証明書と指定された登録コードに基づいて、CA 証明書を使用できるかどうかを判断します。

      RSA CA 証明書

      1. 次のコマンドを実行して、検証証明書の秘密鍵を生成します。

        openssl genrsa -out verificationCert.key 2048

      2. 次のコマンドを実行して、検証証明書の CSR ファイルを作成します。

        openssl req -new -key verificationCert.key -out verificationCert.csr

        次のコードが返されます。対応するパラメータの値を入力します。

        Country Name (2 letter code) [AU]:
    State or Province Name (full name) []:
    Locality Name (for example, city) []:
    Organization Name (for example, company) []:
    Organizational Unit Name (for example, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:i29adsjfp29jfj92jlajsdf******
    Email Address []:
        重要

        CommonName パラメータを除くすべてのパラメータはオプションです。 CommonName パラメータの値を 手順 1 で取得した登録コードに置き換えます。

      3. 次のコマンドを実行して、CA 証明書の verificationCert.crt という名前の検証証明書を作成します。

        openssl x509 -req -in verificationCert.csr -CA CA.crt -CAkey CA.key -CAcreateserial -out verificationCert.crt -days 300 -sha512
        説明

        CA 証明書が自己署名でない場合は、CSR ファイルを証明書を発行した CA に送信して、証明書を生成できます。

      ECC CA 証明書

      1. 次のコマンドを実行して、検証証明書の秘密鍵を生成します。

        openssl ecparam -out verificationCert.key -name prime256v1 -genkey

      2. 次のコマンドを実行して、検証証明書の CSR ファイルを作成します。

        openssl req -new -key verificationCert.key -out verificationCert.csr

        次のコードが返されます。対応するパラメータの値を入力します。

        Country Name (2 letter code) [AU]:
    State or Province Name (full name) []:
    Locality Name (for example, city) []:
    Organization Name (for example, company) []:
    Organizational Unit Name (for example, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:i29adsjfp29jfj92jlajsdf******
    Email Address []:
        重要

        CommonName パラメータを除くすべてのパラメータはオプションです。 CommonName パラメータの値を 手順 1 で取得した登録コードに置き換えます。

      3. 次のコマンドを実行して、CA 証明書の verificationCert.crt という名前の検証証明書を作成します。

        openssl x509 -req -in verificationCert.csr -CA CA.crt -CAkey CA.key -CAcreateserial -out verificationCert.crt -days 300 -sha512
        説明

        CA 証明書が自己署名でない場合は、CSR ファイルを証明書を発行した CA に送信して、証明書を生成できます。

    3. CA.crt CA 証明書と verificationCert.crt 検証証明書をアップロードします。

      1. [CA 証明書] ページで、[証明書の登録] をクリックします。

      2. [CA 証明書の登録] パネルで、[検証証明書のアップロード][CA 証明書のアップロード] をクリックし、画面の指示に従って CA 証明書と検証証明書をアップロードして、[OK] をクリックします。

    CA 証明書のダウンロード

    CA 証明書をオンプレミス マシンにダウンロードして、証明書をバックアップしたり、証明書の詳細を表示したりできます。

    CA 証明書リストで、ダウンロードする CA 証明書を見つけ、ダウンロード操作 列の をクリックします。

    CA 証明書のクエリ

    すべての CA 証明書のクエリ

    [CA 証明書] ページには、ApsaraMQ for MQTT インスタンスに登録されているすべての CA 証明書が表示されます。

    単一の CA 証明書のクエリ

    CA 証明書リストの上部に、クエリする CA 証明書のシリアル番号を入力し、[検索] をクリックします。

    CA 証明書によって発行されたデバイス証明書のクエリ

    CA 証明書リストで、管理する CA 証明書を見つけ、デバイス証明書[アクション] 列の をクリックします。

    [デバイス証明書] ページにリダイレクトされます。このページには、CA 証明書によって発行され、ApsaraMQ for MQTT ブローカーに登録されているすべてのデバイス証明書が表示されます。

    CA 証明書の有効化または登録解除

    CA 証明書を有効化または登録解除して、そのステータスを変更できます。 CA 証明書は、[有効] または [無効] の状態になります。デフォルトでは、CA 証明書は ApsaraMQ for MQTT ブローカーに登録されると有効になります。

    重要

    CA 証明書を登録解除すると、CA 証明書によって発行され、ApsaraMQ for MQTT ブローカーに登録されているすべてのデバイス証明書が登録解除されます。同様に、CA 証明書を有効化すると、その CA 証明書によって発行されたすべてのデバイス証明書が有効になります。

    • [有効] 状態の CA 証明書:CA 証明書を一時的に無効にする場合は、証明書を登録解除できます。 CA 証明書を登録解除すると、証明書は使用できなくなります。

    • [無効] 状態の CA 証明書:無効になっている CA 証明書を再利用する場合は、証明書を再度有効化できます。

    CA 証明書リストで、管理する CA 証明書を見つけ、[登録解除] または [有効化]操作 列でクリックします。

    CA 証明書の削除

    重要

    CA 証明書を削除すると、CA 証明書に関する情報と、CA 証明書によって発行されたすべてのデバイス証明書に関する情報が、ApsaraMQ for MQTT ブローカーのストレージレコードから削除されます。 CA 証明書を削除した後は、証明書と、証明書によって発行されたデバイス証明書を使用して認証を実行するには、ApsaraMQ for MQTT ブローカーに再度登録する必要があります。

    1. CA 証明書リストで、削除する CA 証明書を見つけ、[削除]操作 列でクリックします。

    2. 表示されるメッセージで、[OK] をクリックします。