概要
Arculesゲートウェイは、オンボードされたデバイスとHTTPSを使用して通信することができ、ゲートウェイとデバイス間で送受信される通信(パスワード、デバイス設定、映像データなど)を暗号化します。これにより、ネットワークを監視している第三者が通信内容を読み取ることを防ぐことができます。一方、通常のHTTPでは、同じ情報が暗号化されずに送信されます。
このリリース以降、ゲートウェイはHTTPSをサポートしている新しいデバイスに対して、自動的にHTTPS接続を試行します。この処理はバックグラウンドで実行されるため、追加の設定作業は必要ありません。また、既にゲートウェイに登録されているデバイスには影響しません。
注: この機能は、本リリース以降に追加されるデバイスにのみ適用されます。すでに登録済みのデバイスは、これまでどおり動作し、影響を受けません。
注: 一部の古いカメラは、HTTPSによる映像ストリーミングに対応していない場合があります。このようなデバイスでは、映像データは暗号化されずに送信される可能性がありますが、ゲートウェイとのその他の通信は引き続き暗号化されます。
証明書の作成と利用の仕組み
証明書は、デバイスの身元を証明し、暗号化通信を確立するための小さなファイルです。ゲートウェイは証明書を利用して、接続のたびに同じデバイスと通信していることを確認します。
デバイスをHTTPS経由で追加すると、ゲートウェイは次のように証明書を設定します。
デバイス用の証明書を作成し、Arculesの署名を付与します。
作成した証明書をデバイスにインストールします。
将来の接続時にデバイスを識別できるよう、証明書のコピーを保持します。
証明書の秘密部分である秘密鍵はデバイス上で生成され、デバイス外へ送信されることはありません。
それ以降、ゲートウェイは接続のたびにデバイスが同じ証明書を提示することを期待します。この比較処理は整合性チェックと呼ばれ、デバイスの識別情報が変更されていないことを確認します。
デバイスの証明書は、Webポータルからいつでも確認できます。
デバイスのドロワーを開き、TLS/SSL証明書 の項目を選択するか、[設定] > [証明書の設定] に移動してください。
または、[デバイスドロワー] → [設定] → [証明書の設定] に移動することもできます。
2.証明書の状態を確認し、証明書を .cer 形式 でダウンロードできます。ダウンロードした証明書は、お使いのツールを使用して発行者や有効期限などの詳細情報を確認できます。
この記事で使用される用語:
証明書管理
デバイスが、ゲートウェイによる証明書の作成およびインストールを許可する機能です(すべてのカメラがこの機能をサポートしているわけではありません)。mDNS および WS-Discovery
カメラの設定にある自動検出機能で、カメラ自身をローカルネットワーク上に通知して、ゲートウェイがそのカメラを検出できるようにします。これは、カメラが標準以外のポートを使用している場合に特に重要です。
デバイス追加時の動作
デバイスの追加時:
ゲートウェイは、デバイスに HTTPS を使用して安全に接続できるかどうかを確認します。接続できる場合
Arcules 証明書を作成してデバイスにインストールし、安全な HTTPS 接続を確立します。
接続できない場合
HTTP を使用して接続します。いずれの場合も、デバイスは追加されます。
証明書のインストールが失敗するケース:
(ゲートウェイは HTTPS で接続できるものの、自身の証明書をインストールできない場合)カメラが 証明書管理をサポートしていない。
セットアップ中にカメラが一時的に応答しなかった。
この場合、ゲートウェイはデバイスに既にインストールされている証明書を使用し、その証明書のコピーを保存します。
結果:
通信は引き続き暗号化されます。ただし、Arcules が証明書を作成したわけではないため、その証明書の発行元や正当性を保証することはできません。
ポータル上では、この状態は 「HTTPS (Arcules)」ではなく「HTTPS (Device)」 と表示されます。
証明書はいつでも確認および承認できます「証明書フィールドの値」を参照してください)。
注:ゲートウェイは常に最初に HTTPSでの接続を試みます。安全な接続を確立できない場合にのみ、HTTPにフォールバックして接続を行います。
証明書フィールドの値
安全な通信が利用可能になると、デバイスのドロワーに証明書フィールドが表示されます。このフィールドには、ゲートウェイがどのようにデバイスへ接続しているか、および何らかの対応が必要かどうかが示されます。
HTTP:暗号化されていない接続です。特に対応は必要ありません。HTTPS に切り替えるには、デバイスで HTTPS ポートが有効になっていることを確認したうえで、「デバイスの交換」を実行してください。ゲートウェイは HTTPS サポートを自動的に検出するため、デバイスを削除して再追加する必要はありません。
HTTPS (Arcules):暗号化された接続です。ゲートウェイが信頼する証明書(Arcules が作成した証明書、またはお客様が確認・承認した証明書)が使用されています。これは正常な状態であり、特に対応は必要ありません。
HTTPS (Device):暗号化された接続ですが、Arcules が作成していない証明書、または Arcules がまだ承認していない証明書が使用されています。
例えば、デバイス追加直後にデバイスがオフラインになり、ゲートウェイが証明書の作成または確認を完了できなかった場合に発生することがあります。この場合は、証明書の設定を開いて証明書の内容を確認し、信頼できる場合は 完了を選択してください。承認後、状態は 「HTTPS (Arcules)」 に変わります。
例外
HTTPS 経由でデバイスを追加する際の注意事項:
デバイスで HTTPS ポート(通常はポート 443)が有効になっている必要があります。
標準以外の HTTPS ポート を使用している場合は、自動検出(mDNS、WS-Discovery、または UPnP) を有効にするか、ポート番号を手動で入力してください。
なお、UPnP はデバイスの HTTPS ポートを通知しないことが多いため、実際に HTTPS として検出されているかを 証明書の設定で確認してください。
デバイスが 証明書管理 をサポートしている場合、ゲートウェイは独自の証明書をインストールします。サポートしていない場合は、デバイスに既存の証明書を使用します。いずれの場合も、接続は安全に暗号化されます。
ゲートウェイは、接続時に常に同じ証明書が使用されることを前提としています。証明書が変更された場合、ゲートウェイは接続をブロックし、デバイスをオフラインとして扱います。接続を再開するには、新しい証明書を承認する必要があります(「証明書の確認と承認」を参照してください)。
接続できないデバイスや、セットアップ途中で応答しなくなったデバイスも、保存済み証明書なしで追加されることがあります。ただし、このケースは一般的ではありません。ゲートウェイは HTTP へフォールバックする前に数分間待機するためです。デバイスがオンラインに戻ったら、証明書設定を開いて証明書を承認してください。
HTTPS 経由でデバイスを追加したくない場合
HTTPS 経由でデバイスを追加したくない場合は、次のいずれかを実施してください。
デバイス追加時に HTTP ポートまたはアドレスを指定します。
例:192.168.20.1:80またはhttp://192.168.20.1カメラの Web インターフェースで HTTPS ポートを無効化します。
デバイスの追加時間と応答性
証明書の作成には、ほとんどのデバイスで30~60秒程度かかります。古いデバイスではさらに時間がかかる場合があります(この際、デバイスは安全な Web サーバーも再起動します)。そのため、HTTPS を利用した際の追加時間は HTTP よりも時間がかかることを想定してください。 また、この処理中はデバイスの応答が一時的に停止することがあるため、デバイスが応答しない状態の間は設定変更を行わないようにしてください。
注:証明書は、デバイスを初めて追加した際に一度だけ作成されます。その後の接続では同じ証明書が再利用されるため、接続速度が低下することはありません。
デバイスを追加する前の準備
HTTPS 経由でデバイスを追加する前に、次の作業を完了してください。
カメラの HTTPS ポートを有効にします。通常はネットワーク設定またはセキュリティ設定から有効化できます。設定場所が不明な場合は、カメラメーカーのドキュメントを確認してください。
HTTPS でアクセスできることを確認します。Web ブラウザーで
https://192.168.20.1/を開いてください。ページが表示されれば、HTTPS は正常に動作しています。標準以外のポートを使用している場合は、自動検出機能を有効にするか、ポート番号を手動で指定してください。例えば、
192.168.20.1:4443のように入力します。
UPnP はカスタムポートを通知しないことが多いため、UPnP のみを使用してデバイスを検出している場合は、手動でポートを指定する方法の方が確実です。
証明書の確認と承認
デバイスの証明書が追加後に変更された場合、またはゲートウェイがまだ承認していないデバイス提供の証明書を使用している場合は、証明書を確認して承認する必要があります。前者の場合、ゲートウェイは新しい証明書を確認するまで接続をブロックし、デバイスをオフラインとして表示します。
証明書を確認して承認するには:
デバイスのドロワーを開くか、デバイスの [設定] を選択します。
[証明書の設定] を選択します。デバイスドロワー内の TLS/SSL の値を選択して、この画面を開くこともできます。
証明書の詳細を確認します。
必要に応じて証明書を .cer 形式 でダウンロードし、お使いのツールで内容を確認したうえで承認するかどうかを判断できます。証明書が正当なものであり信頼できると判断した場合は、[完了] を選択します。
ゲートウェイはその証明書を保存し、今後の整合性チェックに使用します。また、ブロックされていたデバイスとの接続が復旧します。
注:デバイスに 「デバイス証明書エラー」 というメッセージが表示され、オフライン状態になっている場合は、そのデバイスの [証明書の設定] を開き、現在の証明書を確認して承認してください。
独自の証明書を使用する場合
Arcules が提供する証明書の代わりに、お客様独自の証明書(自己署名証明書またはお客様独自の認証局(CA)が発行した証明書)を使用することもできます。
現在、この設定は手動で行う必要があります。ほとんどのカメラでは、一度に有効にできる証明書は 1 つだけです(機種によっては内部的に複数の証明書を保持していても、最新の証明書しか表示されない場合があります)。そのため、作業の順序が重要になります。
カメラが 証明書管理をサポートしている場合:
(ゲートウェイが証明書を作成してカメラにインストールできる場合)は、次の手順に従ってください。
デバイスをゲートウェイに追加します。
これにより、ゲートウェイはまず自身の証明書を作成しようとします。カメラの Web インターフェースを使用して、お客様独自の証明書をカメラにインストールします。
ポータルで対象デバイスの [証明書設定] を開きます。
証明書の内容を確認し、[完了] を選択します。
カメラにお客様の証明書がすでにインストールされており、複数の証明書をサポートしている場合:
デバイスをゲートウェイに追加します。
カメラの証明書設定画面で、使用する証明書を選択します。
ポータルで対象デバイスの [証明書設定] を開き、[完了] を選択します。
例外: カメラが 証明書管理をサポートしていない場合、ゲートウェイはカメラ上の証明書を変更しません。そのため、この場合は元の手順どおりに進めても問題ありません。
よくある質問(FAQ)
既存のデバイスはこの変更の影響を受けますか?
いいえ。セキュアなオンボーディングは、このリリース以降に追加されるデバイスにのみ適用されます。すでに追加済みのデバイスは、これまでどおり動作します。
証明書の有効期間はどのくらいですか?
デフォルトでは、ゲートウェイは10 年間有効な証明書を要求します。ただし、実際の有効期限はデバイス側で独自に設定される場合があります。
有効期限は、ポータルまたはデバイスの Web インターフェースで確認できます。
証明書の有効期限が切れた場合、自動的に更新されますか?
現時点では対応していません。
証明書の自動更新機能や、有効期限が近づいた際の事前通知機能は現在提供されていません。ただし、将来のリリースで提供が検討される可能性があります。
注:証明書の有効期限が切れても、それだけを理由にデバイスがオフラインになることはありません。
証明書の有効期限が切れた場合、カメラを再登録する必要がありますか?
いいえ。既存のカメラをゲートウェイに再追加する必要はありません。将来のリリースでは、ポータルから直接デバイス上に新しい証明書を作成できる機能が提供される予定です。
証明書の設定が表示されないのはなぜですか?
証明書の設定は、組織でセキュアな通信が利用可能であり、かつデバイスに確認が必要な証明書が存在する場合にのみ表示されます。
HTTP 接続のみを使用しているデバイスには、このオプションは表示されません。
デバイスが証明書エラーでオフラインと表示されるのはなぜですか?
これは、デバイス上の証明書が、ゲートウェイに保存されている証明書のコピーと一致しなくなった場合に発生します。ゲートウェイはデバイスの正当性を確認できないため、接続をブロックし、デバイスをオフラインとして表示します。
接続を復旧するには、証明書の設定を開き、新しい証明書を確認して承認してください。
ゲートウェイでデバイスを検索した際に HTTP ポートしか表示されません。HTTPS で追加できますか?
はい。一部のカメラは、HTTPS が有効になっていても 1 つのポートしか通知せず、多くの場合は HTTP ポートのみを通知します。カメラが標準以外の HTTPS ポートを使用しており、HTTP ポートしか検出されない場合は、デバイス追加時に HTTPS ポートを手動で入力してください。





