Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Client-Authentifizierung
<a name="client-authentication"></a>

AWS IoT unterstützt drei Arten von Identitätsprinzipalen für die Geräte- oder Client-Authentifizierung:
+ [X.509-Clientzertifikate](x509-client-certs.md)
+ [IAM-Benutzer, -Gruppen und -Rollen](iam-users-groups-roles.md)
+ [Amazon-Cognito-Identitäten](cognito-identities.md)

Diese Identitäten können mit Geräten, mobilen, Web- oder Desktop-Anwendungen verwendet werden. Sie können sogar von Benutzern verwendet werden, die Befehle der AWS IoT Befehlszeilenschnittstelle (CLI) eingeben. In der Regel verwenden AWS IoT Geräte X.509-Zertifikate, während mobile Anwendungen Amazon Cognito Cognito-Identitäten verwenden. Web- und Desktop-Anwendungen verwenden IAM- oder Verbundidentitäten. AWS CLI -Befehle verwenden IAM. Weitere Informationen zu IAM-Identitäten finden Sie unter [Identitäts- und Zugriffsmanagement für AWS IoT](security-iam.md).

# X.509-Clientzertifikate
<a name="x509-client-certs"></a>

X.509-Zertifikate bieten die Möglichkeit, AWS IoT Client- und Geräteverbindungen zu authentifizieren. Client-Zertifikate müssen registriert werden, AWS IoT bevor ein Client mit ihnen kommunizieren kann. AWS IoT Ein Client-Zertifikat kann für mehrere AWS-Konto s in derselben Region registriert werden AWS-Region , um das Verschieben von Geräten zwischen Ihren AWS-Konto s in derselben Region zu erleichtern. Weitere Informationen finden Sie unter [Verwendung von X.509-Clientzertifikaten in mehreren AWS-Konto s mit Registrierung mehrerer Konten](#multiple-account-cert). 

Wir empfehlen, jedem Gerät oder Client ein eindeutiges Zertifikat zuzuordnen, damit feingranulare Client-Verwaltungsaktionen einschließlich Zertifikatswiderruf möglich sind. Geräte und Clients müssen darüber hinaus das Rotieren und Ersetzen von Zertifikaten unterstützen, um eine reibungslose Ausführung sicherzustellen, wenn Zertifikate ablaufen.

Informationen zur Verwendung von X.509-Zertifikaten zur Unterstützung mehrerer Geräte finden Sie unter [Gerätebereitstellung](iot-provision.md). Dort sind die verschiedenen Optionen für die Zertifikatsverwaltung und -bereitstellung aufgeführt, die von AWS IoT unterstützt werden.

**AWS IoT unterstützt die folgenden Typen von X.509-Client-Zertifikaten:**
+  X.509-Zertifikate, generiert von AWS IoT
+  X.509-Zertifikate, signiert von einer Zertifizierungsstelle, die bei registriert ist. AWS IoT
+  Von einer nicht bei AWS IoT registrierten Zertifizierungsstelle signierte X.509-Zertifikate

In diesem Abschnitt wird beschrieben, wie Sie X.509-Zertifikate in AWS IoT verwalten. Sie können die AWS IoT Konsole verwenden oder AWS CLI die folgenden Zertifikatsvorgänge ausführen:
+ [Erstellen Sie AWS IoT Client-Zertifikate](device-certs-create.md)
+ [Erstellen eigener Clientzertifikate](device-certs-your-own.md)
+ [Registrieren eines Clientzertifikats](register-device-cert.md)
+ [Aktivieren oder Deaktivieren eines Clientzertifikats](activate-or-deactivate-device-cert.md)
+ [Widerrufen eines Clientzertifikats](revoke-ca-cert.md)

Weitere Informationen zu den AWS CLI Befehlen, die diese Operationen ausführen, finden Sie unter [AWS IoT CLI-Referenz](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/index.html).

## Verwenden von X.509-Clientzertifikaten
<a name="x509-client-cert-basics"></a>

X.509-Zertifikate authentifizieren Client- und Geräteverbindungen zu. AWS IoT X.509-Zertifikate bieten mehrere Vorteile gegenüber anderen Identifikations- und Authentifizierungsmechanismen. X.509-Zertifikate ermöglichen die Verwendung asymmetrischer Schlüssel mit Geräten. Beispielsweise könnten Sie private Schlüssel nutzen und sicher auf einem Gerät aufbewahren, sodass vertrauliches kryptografisches Material das Gerät niemals verlässt. X.509-Zertifikate bieten eine stärkere Client-Authentifizierung als andere Systeme, wie z. B. Benutzername und Passwort oder Bearer-Token, da der private Schlüssel das Gerät nie verlässt.

AWS IoT authentifiziert Client-Zertifikate mithilfe des Client-Authentifizierungsmodus des TLS-Protokolls. TLS-Unterstützung ist in vielen Programmiersprachen und Betriebssystemen verfügbar und stellt die gängige Verschlüsselungsmethode für Daten dar. AWS IoT Fordert bei der TLS-Client-Authentifizierung ein X.509-Client-Zertifikat an und validiert den Status des Zertifikats AWS-Konto anhand einer Zertifikatsregistrierung. Anschließend fordert es den Client auf, den Besitz des privaten Schlüssels nachzuweisen, der dem im Zertifikat enthaltenen öffentlichen Schlüssel entspricht. AWS IoT verlangt von den Clients, die [Server Name Indication (SNI) -Erweiterung](https://tools.ietf.org/html/rfc3546#section-3.1) an das Transport Layer Security (TLS) -Protokoll zu senden. Weitere Informationen zum Konfigurieren der SNI-Erweiterung finden Sie unter [Transportsicherheit in AWS IoT Core](transport-security.md).

Um eine sichere und konsistente Client-Verbindung zum AWS IoT Core zu ermöglichen, muss ein X.509-Client-Zertifikat über Folgendes verfügen:
+ In AWS IoT Core registriert. Weitere Informationen finden Sie unter [Registrieren eines Clientzertifikats](register-device-cert.md).
+ Über den Status „`ACTIVE`“ verfügen. Weitere Informationen finden Sie unter [Aktivieren oder Deaktivieren eines Clientzertifikats](activate-or-deactivate-device-cert.md).
+ Das Ablaufdatum des Zertifikats ist noch nicht erreicht.

Sie können Clientzertifikate erstellen, die die Amazon Root CA verwenden, und Sie können Ihre eigenen von einer anderen Zertifizierungsstelle (Certificate Authority, CA) signierten Clientzertifikate verwenden. Weitere Informationen zur Verwendung der AWS IoT Konsole zum Erstellen von Zertifikaten, die die Amazon Root-CA verwenden, finden Sie unter[Erstellen Sie AWS IoT Client-Zertifikate](device-certs-create.md). Weitere Informationen zur Verwendung eigener X.509-Zertifikate finden Sie unter [Erstellen eigener Clientzertifikate](device-certs-your-own.md).

Der Ablaufzeitpunkt für mit einem CA-Zertifikat signierte Zertifikate wird bei der Erstellung des entsprechenden Zertifikats festgelegt. Von generierte X.509-Zertifikate AWS IoT laufen am 31. Dezember 2049 um Mitternacht UTC ab (2049-12-31T 23:59:59 Z).

AWS IoT Device Defender kann Audits an Ihren Geräten durchführen AWS-Konto und dabei die gängigen Best Practices für die IoT-Sicherheit unterstützen. Dazu gehört die Verwaltung der Ablaufdaten von X.509-Zertifikaten, die von Ihrer CA oder der Amazon Root CA signiert wurden. Weitere Informationen zur Verwaltung des Ablaufdatums eines Zertifikats finden Sie unter [Ablaufen von Gerätezertifikaten und Ablaufende](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-approaching-expiration.html) [Zertifizierungsstellenzertifikate](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-ca-cert-approaching-expiration.html).

Im offiziellen AWS IoT Blog finden Sie einen tieferen Einblick in die Verwaltung der Rotation von Gerätezertifikaten und bewährte Sicherheitsmethoden unter [So verwalten Sie die Rotation von IoT-Gerätezertifikaten mithilfe von AWS IoT](https://aws.amazon.com/blogs/iot/how-to-manage-iot-device-certificate-rotation-using-aws-iot/).

## Verwendung von X.509-Clientzertifikaten in mehreren AWS-Konto s mit Registrierung mehrerer Konten
<a name="multiple-account-cert"></a>

Die Registrierung für mehrere Konten ermöglicht das Verschieben von Geräten zwischen Ihren AWS-Konto innerhalb derselben Region oder in unterschiedlichen Regionen. Sie können ein Gerät in einem Testkonto registrieren, testen und konfigurieren und dasselbe Gerät samt Gerätezertifikat anschließend in einem Produktionskonto registrieren und verwenden. Sie können auch das Client-Zertifikat auf dem Gerät oder die Gerätezertifikate ohne registrierte Zertifizierungsstelle registrieren. AWS IoT Weitere Informationen finden Sie unter [Registrieren eines Clientzertifikats, das von einer nicht registrierten CA (CLI) signiert wurde](manual-cert-registration.md#manual-cert-registration-noca-cli).

**Anmerkung**  
Zertifikate, die für die Registrierung mehrerer Konten verwendet werden, werden auf den Endpunkttypen `iot:Data-ATS`, `iot:Data` (Legacy), `iot:Jobs` und `iot:CredentialProvider` unterstützt. Weitere Informationen zu AWS IoT Geräteendpunkten finden Sie unter[AWS IoT Gerätedaten und Dienstendpunkte](iot-connect-devices.md#iot-connect-device-endpoints).

Geräte, die die Registrierung mehrerer Konten verwenden, müssen die [Server Name Indication (SNI) -Erweiterung](https://tools.ietf.org/html/rfc3546#section-3.1) an das Transport Layer Security (TLS) -Protokoll senden und die vollständige Endpunktadresse im `host_name` Feld angeben, wenn sie eine Verbindung herstellen. AWS IoT AWS IoT verwendet die Endpunktadresse`host_name`, um die Verbindung an das richtige AWS IoT Konto weiterzuleiten. Vorhandene Geräte, die keine gültige Endpunktadresse in `host_name` senden, funktionieren weiterhin, können aber die Funktionen nicht nutzen, für die diese Informationen benötigt werden. Weitere Informationen zur SNI-Erweiterung und zum Identifizieren der Endpunktadresse für das Feld `host_name` finden Sie unter [Transportsicherheit in AWS IoT Core](transport-security.md). 

**So verwenden Sie die Registrierung für mehrere Konten**

1. Sie können die Gerätezertifikate ohne Zertifizierungsstelle registrieren. Sie können die signierende Zertifizierungsstelle in mehreren Konten im `SNI_ONLY`-Modus registrieren und diese Zertifizierungsstelle verwenden, um dasselbe Clientzertifikat für mehrere Konten zu registrieren. Weitere Informationen finden Sie unter [Registrieren Sie ein CA-Zertifikat im SNI\$1ONLY-Modus (CLI) – Empfohlen](manage-your-CA-certs.md#register-CA-cert-SNI-cli).

1. Sie können die Gerätezertifikate ohne Zertifizierungsstelle registrieren. Siehe [Registrieren eines von einer nicht registrierten CA signierten Clientzertifikats (CLI)](manual-cert-registration.md#manual-cert-registration-noca-cli). Die Registrierung einer Zertifizierungsstelle ist optional. Sie müssen die Zertifizierungsstelle, mit der die Gerätezertifikate signiert wurden, nicht registrieren AWS IoT.

## Algorithmen zum Signieren von Zertifikaten werden unterstützt von AWS IoT
<a name="x509-cert-algorithms"></a>

AWS IoT unterstützt die folgenden Algorithmen zum Signieren von Zertifikaten:
+ SHA256MIT RSA
+ SHA384MIT RSA
+ SHA512MIT RSA
+ SHA256WITHRSAANDMGF1 (RSASSA-PSS)
+ SHA384WITHRSAANDMGF1 (RSSA-PSS)
+ SHA512WITHRSAANDMGF1 (RSSA-PSS)
+ DSA\$1MIT\$1 SHA256
+ ECDSA-MIT- SHA256
+ ECDSA-MIT- SHA384
+ ECDSA-MIT- SHA512

Weitere Informationen zur Authentifizierung und Sicherheit von Zertifikaten finden Sie unter Qualität der [Gerätezertifikatschlüssel](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-key-quality.html).

**Anmerkung**  
Die Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) muss einen öffentlichen Schlüssel enthalten. Bei dem Schlüssel kann es sich entweder um einen RSA-Schlüssel mit einer Länge von mindestens 2048 Bit oder um einen ECC-Schlüssel aus NIST P-256, NIST P-384 oder NIST P-521-Kurven handeln. Weitere Informationen finden Sie unter [CreateCertificateFromCsr](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateCertificateFromCsr.html) in der *AWS IoT -API-Referenz*.

## Schlüsselalgorithmen werden unterstützt von AWS IoT
<a name="x509-cert-key-algorithms"></a>

Die folgende Tabelle zeigt, wie Schlüsselalgorithmen unterstützt werden:


****  

| Schlüsselalgorithmus | Algorithmus zum Signieren von Zertifikaten | TLS-Version | Unterstützt? Sie können zwischen Yes und No wählen | 
| --- | --- | --- | --- | 
| RSA mit einer Schlüsselgröße von mindestens 2048 Bit | Alle | TLS 1.2 TLS 1.3 | Ja | 
| ECC IST P-256/P-384/P-521 | Alle | TLS 1.2 TLS 1.3 | Ja | 
| RSA-PSS mit einer Schlüsselgröße von mindestens 2048 Bit | Alle | TLS 1.2 | Nein | 
| RSA-PSS mit einer Schlüsselgröße von mindestens 2048 Bit | Alle | TLS 1.3 | Ja | 

Um ein Zertifikat mithilfe von [CreateCertificateFromCSR](https://docs.aws.amazon.com//iot/latest/apireference/API_CreateCertificateFromCsr.html) zu erstellen, können Sie einen unterstützten Schlüsselalgorithmus verwenden, um einen öffentlichen Schlüssel für Ihre CSR zu generieren. Um Ihr eigenes Zertifikat mit [RegisterCertificate](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificate.html)unserer [RegisterCertificateWithoutCA](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificateWithoutCA.html) zu registrieren, können Sie einen unterstützten Schlüsselalgorithmus verwenden, um einen öffentlichen Schlüssel für das Zertifikat zu generieren.

Weitere Informationen finden Sie unter [Sicherheitsrichtlinien](https://docs.aws.amazon.com//iot/latest/developerguide/transport-security.html#tls-policy-table).

# Erstellen Sie AWS IoT Client-Zertifikate
<a name="device-certs-create"></a>

AWS IoT stellt Client-Zertifikate bereit, die von der Amazon Root Certificate Authority (CA) signiert wurden.

In diesem Thema wird beschrieben, wie Sie ein von der Amazon Root-Zertifizierungsstelle signiertes Clientzertifikat erstellen und die Zertifikatsdateien herunterladen. Nachdem Sie die Clientzertifikatdateien erstellt haben, müssen Sie sie auf dem Client installieren.

**Anmerkung**  
Jedes von bereitgestellte X.509-Client-Zertifikat AWS IoT enthält die Attribute des Ausstellers und des Antragstellers, die Sie bei der Erstellung des Zertifikats festgelegt haben. Die Zertifikatsattribute können erst ab der Erstellung des Zertifikats nicht mehr modifiziert werden.

Sie können die AWS IoT Konsole oder die verwenden AWS CLI , um ein von der Amazon Root-Zertifizierungsstelle signiertes AWS IoT Zertifikat zu erstellen.

## Erstellen Sie ein AWS IoT Zertifikat (Konsole)
<a name="device-certs-create-console"></a>

**Um ein AWS IoT Zertifikat mit der AWS IoT Konsole zu erstellen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im Navigationsbereich **Sichern**, **Zertifikate** und anschließend **Erstellen**.

1. Wählen Sie **Zertifikat mit einem Klick erstellen (empfohlen)** und dann **Zertifikat erstellen**.

1. Laden Sie die Clientzertifikatdateien für das Objekt, den öffentlichen Schlüssel und den privaten Schlüssel auf der Seite **Zertifikat erstellt\$1** an einen sicheren Speicherort herunter. Diese von generierten Zertifikate AWS IoT sind nur für die Verwendung mit AWS IoT Diensten verfügbar.

   Wenn Sie auch die Amazon-Root-CA-Zertifikatdatei benötigen, finden Sie auf dieser Seite auch den Link zu der Seite, auf der Sie sie herunterladen können.

1. Es wurde nun ein Clientzertifikat erstellt und bei AWS IoT registriert. Sie müssen das Zertifikat aktivieren, bevor Sie es in einem Client verwenden.

    Wählen Sie **Aktivieren**, um das Clientzertifikat jetzt zu aktivieren. Wenn Sie das Zertifikat jetzt nicht aktivieren möchten, können Sie unter [Aktivieren eines Clientzertifikats (Konsole)](activate-or-deactivate-device-cert.md#activate-device-cert-console) erfahren, wie Sie das Zertifikat zu einem späteren Zeitpunkt aktivieren können.

   

1. Wenn Sie eine Richtlinie an das Zertifikat anfügen möchten, wählen Sie **Anfügen einer Richtlinie**.

   Wenn Sie jetzt keine Richtlinie anfügen möchten, wählen Sie **Fertig** , um den Vorgang abzuschließen. Sie können zu einem späteren Zeitpunkt eine Richtlinie anfügen.

Wenn Sie den Vorgang abgeschlossen haben, installieren Sie die Zertifikatdateien auf dem Client.

## AWS IoT Zertifikat erstellen (CLI)
<a name="device-certs-create-cli"></a>

Das AWS CLI bietet den **[create-keys-and-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/create-keys-and-certificate.html)** Befehl zum Erstellen von Client-Zertifikaten, die von der Amazon Root-Zertifizierungsstelle signiert wurden. Mit diesem Befehl wird die Amazon Root-CA-Zertifikatdatei jedoch nicht heruntergeladen. Sie können die Amazon Root-CA-Zertifikatdatei von [CA-Zertifikate für die Serverauthentifizierung](server-authentication.md#server-authentication-certs) herunterladen. 

Dieser Befehl erstellt private Schlüssel-, öffentliche Schlüssel- und X.509-Zertifikatsdateien und registriert und aktiviert das Zertifikat mit AWS IoT.

```
aws iot create-keys-and-certificate \
    --set-as-active \
    --certificate-pem-outfile certificate_filename.pem \
    --public-key-outfile public_filename.key \
    --private-key-outfile private_filename.key
```

Wenn Sie das Zertifikat beim Erstellen und Registrieren nicht aktivieren möchten, erstellt dieser Befehl einen privaten und einen öffentlichen Schlüssel sowie X.509-Zertifikatdateien und registriert das Zertifikat, aktiviert es jedoch nicht. Unter [Aktivieren eines Clientzertifikats (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) wird beschrieben, wie Sie das Zertifikat zu einem späteren Zeitpunkt aktivieren können.

```
aws iot create-keys-and-certificate \
    --no-set-as-active \
    --certificate-pem-outfile certificate_filename.pem \
    --public-key-outfile public_filename.key \
    --private-key-outfile private_filename.key
```



Installieren Sie die Zertifikatdateien auf dem Client.

# Erstellen eigener Clientzertifikate
<a name="device-certs-your-own"></a>

AWS IoT unterstützt Client-Zertifikate, die von beliebigen Stamm- oder Zwischenzertifizierungsstellen (CA) signiert wurden. AWS IoT verwendet CA-Zertifikate, um den Besitz von Zertifikaten zu überprüfen. Um Gerätezertifikate verwenden zu können, die von einer Zertifizierungsstelle signiert wurden, die nicht die Zertifizierungsstelle von Amazon ist, muss das Zertifikat der Zertifizierungsstelle registriert sein, AWS IoT damit wir den Besitz des Gerätezertifikats überprüfen können.

AWS IoT unterstützt mehrere Möglichkeiten, eigene Zertifikate mitzubringen (BYOC): 
+ Registrieren Sie zunächst die Zertifizierungsstelle, die zum Signieren der Clientzertifikate verwendet wird, und registrieren Sie dann einzelne Clientzertifikate. Wenn Sie das Gerät oder den Client bei der ersten Verbindung mit seinem Client-Zertifikat registrieren möchten AWS IoT (auch bekannt als [Just-in-Time-Provisioning](https://docs.aws.amazon.com//iot/latest/developerguide/jit-provisioning.html)), müssen Sie die signierende Zertifizierungsstelle bei AWS IoT registrieren und die automatische Registrierung aktivieren.
+ Wenn Sie die signierende Zertifizierungsstelle nicht registrieren können, können Sie Clientzertifikate auch ohne CA registrieren. Bei Geräten, die ohne CA registriert sind, müssen Sie [Server Name Indication (SNI)](https://www.rfc-editor.org/rfc/rfc3546#section-3.1) angeben, wenn Sie eine Verbindung zu AWS IoT herstellen.

**Anmerkung**  
Um Client-Zertifikate mithilfe einer Zertifizierungsstelle zu registrieren, müssen Sie die signierende Zertifizierungsstelle bei AWS IoT keiner anderen Zertifizierungsstelle in der Hierarchie registrieren. CAs 

**Anmerkung**  
Ein CA-Zertifikat kann nur im `DEFAULT`-Modus von einem Konto in einer Region registriert werden. Ein CA-Zertifikat kann nur im `SNI_ONLY`-Modus von mehreren Konten in einer Region registriert werden. 

Weitere Informationen zur Verwendung von X.509-Zertifikaten zur Unterstützung mehrerer Geräte finden Sie unter [Gerätebereitstellung](iot-provision.md). Dort sind die verschiedenen Optionen für die Zertifikatsverwaltung und -bereitstellung aufgeführt, die von AWS IoT unterstützt werden.

**Topics**
+ [

# Verwalten eigener CA-Zertifikate
](manage-your-CA-certs.md)
+ [

# Erstellen eines Clientzertifikats mit Ihrem CA-Zertifikat
](create-device-cert.md)

# Verwalten eigener CA-Zertifikate
<a name="manage-your-CA-certs"></a>

In diesem Abschnitt werden allgemeine Aufgaben für die Verwaltung eigener Zertifizierungsstellenzertifikate (Certificate Authority, CA) beschrieben.

Sie können Ihre Zertifizierungsstelle (CA) bei registrieren, AWS IoT wenn Sie Client-Zertifikate verwenden, die von einer Zertifizierungsstelle signiert wurden, die diese AWS IoT nicht erkennt.

Wenn Sie möchten, dass Clients ihre Client-Zertifikate AWS IoT bei der ersten Verbindung automatisch registrieren, muss die Zertifizierungsstelle, die die Client-Zertifikate signiert hat, bei der registriert sein AWS IoT. Andernfalls müssen Sie das CA-Zertifikat, das die Clientzertifikate signiert hat, nicht registrieren.

**Anmerkung**  
Ein CA-Zertifikat kann nur im `DEFAULT`-Modus von einem Konto in einer Region registriert werden. Ein CA-Zertifikat kann nur im `SNI_ONLY`-Modus von mehreren Konten in einer Region registriert werden.

**Topics**
+ [

## So erstellen Sie ein CA-Zertifikat
](#create-your-CA-cert)
+ [

## Registrieren eines CA-Zertifikats
](#register-CA-cert)
+ [

## Deaktivieren eines CA-Zertifikats
](#deactivate-ca-cert)

## So erstellen Sie ein CA-Zertifikat
<a name="create-your-CA-cert"></a>

Wenn Sie kein CA-Zertifikat besitzen, können Sie [OpenSSL-v1.1.1i](https://www.openssl.org/)-Tools verwenden, um ein Zertifikat zu erstellen.

**Anmerkung**  
Sie können dieses Verfahren nicht in der AWS IoT Konsole ausführen.

**So erstellen Sie ein CA-Zertifikat mit [OpenSSL-v1.1.1i](https://www.openssl.org/)-Tools.**

1. Erzeugen Sie ein Schlüsselpaar.

   ```
   openssl genrsa -out root_CA_key_filename.key 2048
   ```

1. Verwenden Sie den privaten Schlüssel des Schlüsselpaars zur Erzeugung eines CA-Zertifikats.

   ```
   openssl req -x509 -new -nodes \
       -key root_CA_key_filename.key \
       -sha256 -days 1024 \
       -out root_CA_cert_filename.pem
   ```

## Registrieren eines CA-Zertifikats
<a name="register-CA-cert"></a>

Diese Verfahren beschreiben, wie Sie ein Zertifikat von einer Zertifizierungsstelle (CA) registrieren, die nicht die Zertifizierungsstelle von Amazon ist. AWS IoT Core verwendet CA-Zertifikate, um den Besitz von Zertifikaten zu überprüfen. Um Gerätezertifikate zu verwenden, die von einer Zertifizierungsstelle signiert wurden, bei der es sich nicht um die Zertifizierungsstelle von Amazon handelt, müssen Sie das CA-Zertifikat registrieren, AWS IoT Core damit die Inhaberschaft des Gerätezertifikats verifiziert werden kann.

### Registrieren eines CA-Zertifikats (Konsole)
<a name="register-CA-cert-console"></a>

**Anmerkung**  
Starten Sie die Konsole unter [CA-Zertifikat registrieren](https://console.aws.amazon.com//iot/home#/create/cacertificate), um ein CA-Zertifikat in der Konsole zu registrieren. Sie können Ihre CA im Modus für mehrere Konten registrieren, ohne dass Sie ein Verifizierungszertifikat bereitstellen müssen oder Zugriff auf den privaten Schlüssel benötigen. Eine CA kann im Modus für mehrere Konten von mehreren AWS-Konten gleichzeitig in derselben AWS-Region registriert werden. Sie können Ihre CA im Einzelkonto-Modus registrieren, indem Sie ein Verifizierungszertifikat und einen Eigentumsnachweis für den privaten Schlüssel der CA vorlegen.

### Registrieren eines CA-Zertifikats (CLI)
<a name="register-CA-cert-cli"></a>

Sie können ein CA-Zertifikat im `DEFAULT`-Modus oder im `SNI_ONLY`-Modus registrieren. Eine CA kann im `DEFAULT` Modus eins zu eins AWS-Konto registriert werden AWS-Region. Eine CA kann im `SNI_ONLY` Modus von mehreren AWS-Konten gleichzeitig registriert werden AWS-Region. Weitere Informationen zu CA-Zertifikaten finden Sie unter [certificateMode](https://docs.aws.amazon.com//iot/latest/apireference/API_CACertificateDescription.html#iot-Type-CACertificateDescription-certificateMode).

**Anmerkung**  
Es wird empfohlen, dass Sie eine CA im `SNI_ONLY`-Modus registrieren. Sie müssen weder ein Bestätigungszertifikat noch Zugriff auf den privaten Schlüssel vorlegen, und Sie können die Zertifizierungsstelle von mehreren AWS-Konten gleichzeitig registrieren AWS-Region.

#### Registrieren Sie ein CA-Zertifikat im SNI\$1ONLY-Modus (CLI) – Empfohlen
<a name="register-CA-cert-SNI-cli"></a>

**Voraussetzungen**

Stellen Sie sicher, dass Sie auf Ihrem Computer über Folgendes verfügen, bevor Sie fortfahren:
+ Die Zertifikatsdatei der Root-CA (im folgenden Beispiel referenziert als `root_CA_cert_filename.pem`)
+ [OpenSSL v1.1.1i](https://www.openssl.org/) oder höher

**Um ein CA-Zertifikat im `SNI_ONLY` Modus zu registrieren, verwenden Sie AWS CLI**

1. Registrieren Sie das CA-Zertifikat mit AWS IoT. Geben Sie mit dem Befehl **register-ca-certificate** den Namen der CA-Zertifikatsdatei ein. Weitere Informationen finden Sie unter [register-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) in der Referenz zum *AWS CLI -Befehl*.

   ```
   aws iot register-ca-certificate \
       --ca-certificate file://root_CA_cert_filename.pem \
       --certificate-mode SNI_ONLY
   ```

   Bei Erfolg gibt dieser Befehl den zurück*certificateId*.

1. Zu diesem Zeitpunkt wurde das CA-Zertifikat registriert, ist AWS IoT aber inaktiv. Das CA-Zertifikat muss aktiv sein, damit Sie Clientzertifikate registrieren können, die von diesem Zertifikat signiert sind.

   In diesem Schritt wird das CA-Zertifikat aktiviert.

   Verwenden Sie Befehl **update-certificate** wie folgt, um das CA-Zertifikat zu aktivieren. Weitere Informationen finden Sie unter [update-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) in der *AWS CLI -Befehlsreferenz*.

   ```
   aws iot update-ca-certificate \
       --certificate-id certificateId \
       --new-status ACTIVE
   ```

Verwenden Sie den Befehl **describe-ca-certificate**, um den Status des CA-Zertifikats anzuzeigen. Weitere Informationen finden Sie unter [describe-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) in der Referenz zum *AWS CLI -Befehl*.

#### Registrieren eines CA-Zertifikats im `DEFAULT`-Modus (CLI)
<a name="register-CA-cert-default-cli"></a>

**Voraussetzungen**

Stellen Sie sicher, dass Sie auf Ihrem Computer über Folgendes verfügen, bevor Sie fortfahren:
+ Die Zertifikatsdatei der Root-CA (im folgenden Beispiel referenziert als `root_CA_cert_filename.pem`)
+ Die private Schlüsseldatei des Root-CA-Zertifikats (im folgenden Beispiel referenziert als `root_CA_key_filename.key`)
+ [OpenSSL v1.1.1i](https://www.openssl.org/) oder höher

**Um ein CA-Zertifikat im `DEFAULT` Modus zu registrieren, verwenden Sie den AWS CLI**

1. Um einen Registrierungscode von zu erhalten AWS IoT, verwenden Sie**get-registration-code**. Speichern Sie den zurückgegebenen `registrationCode`, um ihn als `Common Name` des Verifizierungszertifikats für private Schlüssel zu verwenden. Weitere Informationen finden Sie unter [get-registration-code](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/get-registration-code.html) in der Referenz zum *AWS CLI -Befehl*.

   ```
   aws iot get-registration-code
   ```

1. Generieren Sie ein Schlüsselpaar für das Verifizierungszertifikat für private Schlüssel:

   ```
   openssl genrsa -out verification_cert_key_filename.key 2048
   ```

1. Erstellen Sie eine Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) für das Verifizierungszertifikat für private Schlüssel. Geben Sie im Feld `Common Name` des Zertifikats den von **get-registration-code** zurückgegebenen Wert für `registrationCode` ein.

   ```
   openssl req -new \
       -key verification_cert_key_filename.key \
       -out verification_cert_csr_filename.csr
   ```

   Sie werden aufgefordert, einige Informationen zum Zertifikat einzugeben, z. B. den `Common Name`.

   ```
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Country Name (2 letter code) [AU]:
       State or Province Name (full name) []:
       Locality Name (for example, city) []:
       Organization Name (for example, company) []:
       Organizational Unit Name (for example, section) []:
       Common Name (e.g. server FQDN or YOUR name) []:your_registration_code
       Email Address []:
   
       Please enter the following 'extra' attributes
       to be sent with your certificate request
       A challenge password []:
       An optional company name []:
   ```

1. Verwenden Sie die CSR, um ein Verifizierungszertifikat für private Schlüssel zu erstellen:

   ```
   openssl x509 -req \
       -in verification_cert_csr_filename.csr \
       -CA root_CA_cert_filename.pem \
       -CAkey root_CA_key_filename.key \
       -CAcreateserial \
       -out verification_cert_filename.pem \
       -days 500 -sha256
   ```

1. Registrieren Sie das CA-Zertifikat mit AWS IoT. Geben Sie den Dateinamen des CA-Zertifikats und den Dateinamen des Verifizierungszertifikat für private Schlüssel wie folgt an den Befehl **register-ca-certificate** weiter. Weitere Informationen finden Sie unter [register-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) in der Referenz zum *AWS CLI -Befehl*.

   ```
   aws iot register-ca-certificate \
       --ca-certificate file://root_CA_cert_filename.pem \
       --verification-cert file://verification_cert_filename.pem
   ```

   Dieser Befehl gibt bei Erfolg den *certificateId* zurück.

1. Zu diesem Zeitpunkt wurde das CA-Zertifikat registriert, ist AWS IoT aber nicht aktiv. Das CA-Zertifikat muss aktiv sein, damit Sie Clientzertifikate registrieren können, die von diesem Zertifikat signiert sind.

   In diesem Schritt wird das CA-Zertifikat aktiviert.

   Verwenden Sie Befehl **update-certificate** wie folgt, um das CA-Zertifikat zu aktivieren. Weitere Informationen finden Sie unter [update-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) in der *AWS CLI -Befehlsreferenz*.

   ```
   aws iot update-ca-certificate \
       --certificate-id certificateId \
       --new-status ACTIVE
   ```

Verwenden Sie den Befehl **describe-ca-certificate**, um den Status des CA-Zertifikats anzuzeigen. Weitere Informationen finden Sie unter [describe-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) in der Referenz zum *AWS CLI -Befehl*.

### Erstellen Sie ein CA-Verifizierungszertifikat, um das CA-Zertifikat in der Konsole zu registrieren.
<a name="create-CA-verification-cert"></a>

**Anmerkung**  
Dieses Verfahren wird nur verwendet, wenn Sie ein CA-Zertifikat von der AWS IoT Konsole aus registrieren.  
Wenn Sie dieses Verfahren nicht von der AWS IoT Konsole aus aufgerufen haben, starten Sie den Registrierungsprozess für das CA-Zertifikat in der Konsole unter [CA-Zertifikat registrieren](https://console.aws.amazon.com//iot/home#/create/cacertificate). 

Stellen Sie sicher, dass Sie auf demselben Computer über Folgendes verfügen, bevor Sie fortfahren:
+ Die Zertifikatsdatei der Root-CA (im folgenden Beispiel referenziert als `root_CA_cert_filename.pem`)
+ Die private Schlüsseldatei des Root-CA-Zertifikats (im folgenden Beispiel referenziert als `root_CA_key_filename.key`)
+ [OpenSSL v1.1.1i](https://www.openssl.org/) oder höher

**Erstellen Sie ein CA-Verifizierungszertifikat, um Ihr CA-Zertifikat in der Konsole zu registrieren und die Befehlszeilenschnittstelle zu verwenden.**

1. Ersetzen Sie `verification_cert_key_filename.key` durch den Namen der Schlüsseldatei für das Verifizierungszertifikat, die Sie erstellen möchten (z. B. **verification\$1cert.key**). Führen Sie anschließend diesen Befehl aus, um ein Schlüsselpaar für das Verifizierungszertifikat für private Schlüssel zu generieren:

   ```
   openssl genrsa -out verification_cert_key_filename.key 2048
   ```

1. Ersetzen Sie `verification_cert_key_filename.key` durch den Namen der Schlüsseldatei, die Sie in Schritt 1 erstellt haben.

   Ersetzen Sie `verification_cert_csr_filename.csr` durch den Namen der Zertifikatsignierungsanforderungsdatei (Certificate Signing Request, CSR), die Sie erstellen möchten. Beispiel, **verification\$1cert.csr**.

   Führen Sie den Befehl aus, um die CSR-Datei zu erstellen.

   ```
   openssl req -new \
       -key verification_cert_key_filename.key \
       -out verification_cert_csr_filename.csr
   ```

   Der Befehl fordert Sie zur Eingabe zusätzlicher Informationen auf, die an späterer Stelle erläutert werden.

1. Kopieren Sie in der AWS IoT Konsole im Container für das **Bestätigungszertifikat** den Registrierungscode.

1. Im folgenden Beispiel wird gezeigt, welche Informationen der Befehl **openssl** fordert. Mit Ausnahme des Felds `Common Name` können Sie Ihre eigenen Werte eingeben oder sie leer lassen.

   Fügen Sie in das Feld `Common Name` den Registrierungscode ein, den Sie im vorherigen Schritt kopiert haben.

   ```
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Country Name (2 letter code) [AU]:
       State or Province Name (full name) []:
       Locality Name (for example, city) []:
       Organization Name (for example, company) []:
       Organizational Unit Name (for example, section) []:
       Common Name (e.g. server FQDN or YOUR name) []:your_registration_code
       Email Address []:
   
       Please enter the following 'extra' attributes
       to be sent with your certificate request
       A challenge password []:
       An optional company name []:
   ```

   Danach erstellt der Befehl die CSR-Datei.

1. Ersetzen Sie die `verification_cert_csr_filename.csr` durch die `verification_cert_csr_filename.csr`, die Sie im vorherigen Schritt verwendet haben.

   Ersetzen Sie `root_CA_cert_filename.pem` durch den Namen der CA-Zertifikatsdatei, die Sie registrieren möchten.

   Ersetzen Sie `root_CA_key_filename.key` durch den Namen der privaten Schlüsseldatei des CA-Zertifikats.

   Ersetzen Sie `verification_cert_filename.pem` durch den Namen der Verifizierungszertifikatdatei, die Sie erstellen möchten. Beispiel, **verification\$1cert.pem**.

   ```
   openssl x509 -req \
       -in verification_cert_csr_filename.csr \
       -CA root_CA_cert_filename.pem \
       -CAkey root_CA_key_filename.key \
       -CAcreateserial \
       -out verification_cert_filename.pem \
       -days 500 -sha256
   ```

1. Nachdem der OpenSSL-Befehl abgeschlossen ist, sollten Sie diese Dateien bereit haben, wenn Sie zur Konsole zurückkehren.
   + Ihre CA-Zertifikatsdatei (wurde im vorherigen Befehl `root_CA_cert_filename.pem` verwendet)
   + Das Bestätigungszertifikat, das Sie im vorherigen Schritt erstellt haben (das im vorherigen Befehl *verification\$1cert\$1filename.pem* verwendet wurde)

## Deaktivieren eines CA-Zertifikats
<a name="deactivate-ca-cert"></a>

Wenn ein Zertifizierungsstellenzertifikat (CA) für die automatische Registrierung von Client-Zertifikaten aktiviert ist, wird das CA-Zertifikat AWS IoT überprüft, um sicherzustellen, dass es sich um die Zertifizierungsstelle handelt`ACTIVE`. Wenn das CA-Zertifikat aktiviert ist`INACTIVE`, kann das Client-Zertifikat AWS IoT nicht registriert werden.

Wenn Sie den Status des CA-Zertifikats auf `INACTIVE` setzen, verhindern Sie, dass neue Clientzertifikate, die von der CA ausgestellt werden, automatisch registriert werden.

**Anmerkung**  
Alle registrierten Clientzertifikate, die vom kompromittierten CA-Zertifikat signiert wurden, sind so lange weiterhin aktiv, bis Sie sie jeweils explizit widerrufen.

### Deaktivieren eines CA-Zertifikats (Konsole)
<a name="deactivate-ca-cert-console"></a>

**Um ein CA-Zertifikat mit der AWS IoT Konsole zu deaktivieren**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im linken Navigationsbereich die Option **Sicher**, wählen Sie **CAs**.

1. Suchen Sie in der Liste der Zertifizierungsstellen diejenige, die Sie deaktivieren möchten, und öffnen Sie das Optionsmenü über das Ellipsensymbol.

1. Wählen Sie im Optionsmenü die Option **Deaktivieren**.

Die Zertifizierungsstelle sollte in der Liste als **Inaktiv** angezeigt werden.

**Anmerkung**  
Die AWS IoT Konsole bietet keine Möglichkeit, die Zertifikate aufzulisten, die von der Zertifizierungsstelle signiert wurden, die Sie deaktiviert haben. Eine Option zum Auflisten dieser Zertifikate mithilfe der AWS CLI finden Sie unter [Deaktivieren eines CA-Zertifikats (CLI)](#deactivate-ca-cert-cli).

### Deaktivieren eines CA-Zertifikats (CLI)
<a name="deactivate-ca-cert-cli"></a>

Das AWS CLI stellt den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)Befehl zum Deaktivieren eines CA-Zertifikats bereit.

```
aws iot update-ca-certificate \
    --certificate-id certificateId \
    --new-status INACTIVE
```

Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-certificates-by-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-certificates-by-ca.html), um eine Liste aller registrierten Clientzertifikate zu erhalten, die von der angegebenen CA signiert wurden. Verwenden Sie für jedes Clientzertifikat, das mit dem angegebenen CA-Zertifikat signiert ist, den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html), um das Clientzertifikat zu widerrufen und dadurch zu verhindern, dass es verwendet wird.

Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html), um den Status des CA-Zertifikats anzuzeigen.

# Erstellen eines Clientzertifikats mit Ihrem CA-Zertifikat
<a name="create-device-cert"></a>

Sie können Ihre eigene Zertifizierungsstelle (Certificate Authority, CA) zum Erstellen von Clientzertifikaten verwenden. Das Client-Zertifikat muss AWS IoT vor der Verwendung registriert werden. Weitere Informationen zu den Registrierungsoptionen für Ihre Clientzertifikate finden Sie unter [Registrieren eines Clientzertifikats](register-device-cert.md).

## Erstellen eines Clientzertifikats (CLI)
<a name="create-device-cert-cli"></a>

**Anmerkung**  
Sie können dieses Verfahren nicht in der AWS IoT Konsole ausführen.

**Um ein Client-Zertifikat mit dem zu erstellen AWS CLI**

1. Erzeugen Sie ein Schlüsselpaar.

   ```
   openssl genrsa -out device_cert_key_filename.key 2048
   ```

1. Erstellen Sie eine CSR für das Clientzertifikat.

   ```
   openssl req -new \
       -key device_cert_key_filename.key \
       -out device_cert_csr_filename.csr
   ```

   Sie werden zur Eingabe einiger Informationen aufgefordert, wie hier gezeigt:

   ```
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Country Name (2 letter code) [AU]:
       State or Province Name (full name) []:
       Locality Name (for example, city) []:
       Organization Name (for example, company) []:
       Organizational Unit Name (for example, section) []:
       Common Name (e.g. server FQDN or YOUR name) []:
       Email Address []:
   
       Please enter the following 'extra' attributes
       to be sent with your certificate request
       A challenge password []:
       An optional company name []:
   ```

1. Erstellen Sie ein Clientzertifikat aus der CSR.

   ```
   openssl x509 -req \
       -in device_cert_csr_filename.csr \
       -CA root_CA_cert_filename.pem \
       -CAkey root_CA_key_filename.key \
       -CAcreateserial \
       -out device_cert_filename.pem \
       -days 500 -sha256
   ```

 Zu diesem Zeitpunkt wurde das Client-Zertifikat erstellt, aber es wurde noch nicht registriert AWS IoT. Weitere Informationen dazu, wie und wann das Clientzertifikat registriert werden soll, finden Sie unter [Registrieren eines Clientzertifikats](register-device-cert.md). 

# Registrieren eines Clientzertifikats
<a name="register-device-cert"></a>

Client-Zertifikate müssen registriert sein AWS IoT , um die Kommunikation zwischen dem Client und zu ermöglichen AWS IoT. Sie können jedes Client-Zertifikat manuell registrieren, oder Sie können die Client-Zertifikate so konfigurieren, dass sie automatisch registriert werden, wenn der Client AWS IoT zum ersten Mal eine Verbindung herstellt.

 Wenn Sie möchten, dass Ihre Clients und Geräte ihre Clientzertifikate registrieren, wenn sie sich zum ersten Mal verbinden, müssen Sie [Registrieren eines CA-Zertifikats](manage-your-CA-certs.md#register-CA-cert) das Clientzertifikat in den Regionen bei AWS IoT signieren, in denen Sie es verwenden möchten. Die Amazon Root-CA wird automatisch bei registriert AWS IoT. 

Kundenzertifikate können nach AWS-Konten Regionen gemeinsam genutzt werden. Die Verfahren in diesen Themen müssen in jedem Konto und jeder Region ausgeführt werden, in der Sie das Clientzertifikat verwenden möchten. Die Registrierung eines Clientzertifikats in einem Konto oder einer Region wird von einem anderen Konto/einer anderen Region nicht automatisch erkannt.

**Anmerkung**  
Clients, die das TLS-Protokoll (Transport Layer Security) verwenden, um eine Verbindung mit AWS IoT herzustellen, müssen die [SNI-Erweiterung (Server Name Indication)](https://tools.ietf.org/html/rfc3546#section-3.1) für TLS unterstützen. Weitere Informationen finden Sie unter [Transportsicherheit in AWS IoT Core](transport-security.md).

**Topics**
+ [

# Manuelles Registrieren eines Clientzertifikats
](manual-cert-registration.md)
+ [

# Registrieren Sie ein Client-Zertifikat, wenn der Client eine Verbindung zur AWS IoT just-in-time Registrierung herstellt (JITR)
](auto-register-device-cert.md)

# Manuelles Registrieren eines Clientzertifikats
<a name="manual-cert-registration"></a>

Sie können ein Client-Zertifikat manuell registrieren, indem Sie die AWS IoT Konsole und verwenden AWS CLI.

Das anzuwendende Registrierungsverfahren hängt davon ab, ob das Zertifikat von AWS-Konto s und Regionen gemeinsam genutzt wird. Die Registrierung eines Clientzertifikats in einem Konto oder einer Region wird von einem anderen Konto/einer anderen Region nicht automatisch erkannt.

Die Verfahren in diesem Thema müssen in jedem Konto und jeder Region ausgeführt werden, in der Sie das Clientzertifikat verwenden möchten. Client-Zertifikate können von AWS-Konto s und Regionen gemeinsam genutzt werden. 

## Registrieren eines von einer registrierten CA signierten Clientzertifikats (Konsole)
<a name="manual-cert-registration-console"></a>

**Anmerkung**  
Bevor Sie dieses Verfahren ausführen, stellen Sie sicher, dass Sie über die PEM-Datei des Client-Zertifikats verfügen und dass das Client-Zertifikat von einer Zertifizierungsstelle signiert wurde, bei der Sie sich [registriert](manage-your-CA-certs.md#register-CA-cert) haben. AWS IoT

**Um ein vorhandenes Zertifikat AWS IoT mithilfe der Konsole zu registrieren**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im Navigationsbereich im Abschnitt **Verwalten** die Option **Sicherheit** und anschließend **Zertifikate**.

1. Wählen Sie auf der Seite **Zertifikate** im Dialogfeld **Zertifikate** die Option **Zertifikat hinzufügen** und dann **Zertifikate registrieren**.

1. Gehen Sie auf der Seite **Zertifikat registrieren** im Dialogfeld **Hochzuladende Zertifikate** wie folgt vor:
   + Wählen Sie **Zertifizierungsstelle ist bei AWS IoT registriert**.
   + Wählen Sie unter **CA-Zertifikat auswählen** Ihre **Zertifizierungsstelle** aus. 
     + Wählen Sie **Neue Zertifizierungsstelle registrieren** aus, um eine neue **Zertifizierungsstelle** zu registrieren, die nicht bei AWS IoT registriert ist.
     + Lassen Sie **CA-Zertifikat auswählen** leer, wenn die **Amazon-Root-Zertifizierungsstelle** Ihre Zertifizierungsstelle ist.
   + Wählen Sie bis zu 10 Zertifikate aus, die Sie hochladen und mit denen Sie sich registrieren möchten AWS IoT.
     + Verwenden Sie die Zertifikatsdateien, die Sie in [Erstellen Sie AWS IoT Client-Zertifikate](device-certs-create.md) und [Erstellen eines Clientzertifikats mit Ihrem CA-Zertifikat](create-device-cert.md) erstellt haben.
   + Wählen Sie **Aktivieren** oder **Deaktivieren**. Wenn Sie **Deaktivieren** wählen, erklärt [Aktivieren oder Deaktivieren eines Clientzertifikats](activate-or-deactivate-device-cert.md), wie Sie Ihr Zertifikat nach der Zertifikatsregistrierung aktivieren.
   + Wählen Sie **Registrieren** aus.

Auf der Seite **Zertifikate** im Dialogfeld **Zertifikate** werden nun Ihre registrierten Zertifikate angezeigt.

## Registrieren eines von einer nicht registrierten CA signierten Clientzertifikats (Konsole)
<a name="manual-cert-registration-console-noca"></a>

**Anmerkung**  
Stellen Sie sicher, dass Sie über die PEM-Datei des Clientzertifikats verfügen, bevor Sie dieses Verfahren ausführen.

**Um ein vorhandenes Zertifikat AWS IoT mithilfe der Konsole zu registrieren**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im linken Navigationsbereich **Sichern**, **Zertifikate** und anschließend **Erstellen** aus.

1. Suchen Sie unter **Zertifikat erstellen** den Eintrag **Eigenes Zertifikat verwenden** und wählen Sie **Erste Schritte**.

1. Wählen Sie unter **CA auswählen** die Option **Weiter**.

1.  Wählen Sie unter **Vorhandene Gerätezertifikate registrieren** die Option **Zertifikate auswählen** und wählen Sie bis zu zehn Zertifikatdateien zum Registrieren aus. 

1.  Schließen Sie das Dateidialogfeld und wählen Sie aus, ob Sie die Clientzertifikate bei der Registrierung aktivieren oder widerrufen möchten.

   Wenn Sie ein Zertifikat bei der Registrierung nicht aktivieren, können Sie unter [Aktivieren eines Clientzertifikats (Konsole)](activate-or-deactivate-device-cert.md#activate-device-cert-console) nachlesen, wie Sie es zu einem späteren Zeitpunkt aktivieren können. 

   Wenn ein Zertifikat bei der Registrierung widerrufen wird, kann es später nicht aktiviert werden.

   Nachdem Sie die zu registrierenden Zertifikatdateien und die nach der Registrierung auszuführenden Aktionen ausgewählt haben, klicken Sie auf **Zertifikate registrieren**.

Die erfolgreich registrierten Clientzertifikate werden in der Liste der Zertifikate angezeigt.

## Registrieren eines von einer registrierten CA signierten Clientzertifikats (CLI)
<a name="manual-cert-registration-cli"></a>

**Anmerkung**  
Stellen Sie sicher, dass Sie über die PEM-Datei der CA und über die PEM-Datei des Clientzertifikats verfügen, bevor Sie dieses Verfahren ausführen. Das Client-Zertifikat muss von einer Zertifizierungsstelle (CA) signiert sein, [bei der Sie sich registriert](manage-your-CA-certs.md#register-CA-cert) haben AWS IoT.

Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html), um ein Clientzertifikat zu registrieren, ohne es zu aktivieren.

```
aws iot register-certificate \
    --certificate-pem file://device_cert_filename.pem \
    --ca-certificate-pem file://ca_cert_filename.pem
```

Das Client-Zertifikat ist bei registriert AWS IoT, aber es ist noch nicht aktiv. Informationen dazu, wie Sie es zu einem späteren Zeitpunkt aktivieren können, finden Sie unter [Aktivieren eines Clientzertifikats (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli).

Sie können das Clientzertifikat auch aktivieren, wenn Sie es mit dem folgenden Befehl registrieren.

```
aws iot register-certificate \
    --set-as-active \
    --certificate-pem file://device_cert_filename.pem \
    --ca-certificate-pem file://ca_cert_filename.pem
```

Weitere Informationen zur Aktivierung des Zertifikats, sodass es für die Herstellung einer Verbindung verwendet werden kann AWS IoT, finden Sie unter [Aktivieren oder Deaktivieren eines Clientzertifikats](activate-or-deactivate-device-cert.md)

## Registrieren eines von einer nicht registrierten CA signierten Clientzertifikats (CLI)
<a name="manual-cert-registration-noca-cli"></a>

**Anmerkung**  
Stellen Sie sicher, dass Sie über die PEM-Datei des Zertifikats verfügen, bevor Sie dieses Verfahren ausführen.

Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html), um ein Clientzertifikat zu registrieren, ohne es zu aktivieren.

```
aws iot register-certificate-without-ca \
    --certificate-pem file://device_cert_filename.pem
```

Das Client-Zertifikat ist registriert AWS IoT, aber es ist noch nicht aktiv. Informationen dazu, wie Sie es zu einem späteren Zeitpunkt aktivieren können, finden Sie unter [Aktivieren eines Clientzertifikats (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli).

Sie können das Clientzertifikat auch aktivieren, wenn Sie es mit dem folgenden Befehl registrieren.

```
aws iot register-certificate-without-ca \
    --status ACTIVE \
    --certificate-pem file://device_cert_filename.pem
```

Weitere Hinweise zur Aktivierung des Zertifikats, sodass es für die Herstellung einer Verbindung verwendet werden kann AWS IoT, finden Sie unter[Aktivieren oder Deaktivieren eines Clientzertifikats](activate-or-deactivate-device-cert.md).

# Registrieren Sie ein Client-Zertifikat, wenn der Client eine Verbindung zur AWS IoT just-in-time Registrierung herstellt (JITR)
<a name="auto-register-device-cert"></a>

Sie können ein CA-Zertifikat so konfigurieren, dass Client-Zertifikate, mit denen es signiert wurde, AWS IoT automatisch registriert werden, wenn der Client zum AWS IoT ersten Mal eine Verbindung herstellt.

Um Client-Zertifikate zu registrieren, wenn ein Client AWS IoT zum ersten Mal eine Verbindung herstellt, müssen Sie das CA-Zertifikat für die automatische Registrierung aktivieren und die erste Verbindung des Clients so konfigurieren, dass die erforderlichen Zertifikate bereitgestellt werden.

## Konfigurieren eines CA-Zertifikats zur Unterstützung der automatischen Registrierung (Konsole)
<a name="enable-auto-registration-console"></a>

**Um ein CA-Zertifikat zur Unterstützung der automatischen Registrierung von Client-Zertifikaten mithilfe der AWS IoT Konsole zu konfigurieren**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im linken Navigationsbereich **Secure**, wählen Sie **CAs**.

1. Suchen Sie in der Liste der Zertifizierungsstellen diejenige, für die Sie die automatische Registrierung aktivieren möchten, und öffnen Sie das Optionsmenü über das Ellipsensymbol.

1. Wählen Sie im Optionsmenü **Automatische Registrierung aktivieren**.

**Anmerkung**  
Der Status der automatischen Registrierung wird in der Liste der Zertifizierungsstellen nicht angezeigt. Um den Status der automatischen Registrierung einer Zertifizierungsstelle anzuzeigen, müssen Sie die Seite **Details** der Zertifizierungsstelle öffnen.

## Konfigurieren eines CA-Zertifikats zur Unterstützung der automatischen Registrierung (CLI)
<a name="enable-auto-registration-cli"></a>

Wenn Sie Ihr CA-Zertifikat bereits registriert haben AWS IoT, verwenden Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)Befehl, um das CA-Zertifikat auf festzulegen `autoRegistrationStatus``ENABLE`.

```
aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE
```

Wenn Sie `autoRegistrationStatus` bei der Registrierung des CA-Zertifikats aktivieren möchten, verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html).

```
aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```

Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html), um den Status des CA-Zertifikats anzuzeigen.

## Konfigurieren der ersten Verbindung durch einen Client für die automatische Registrierung
<a name="configure-auto-reg-first-connect"></a>

Wenn ein Client zum ersten Mal versucht, eine Verbindung herzustellen, muss das mit Ihrem CA-Zertifikat signierte Client-Zertifikat während des Transport Layer Security (TLS) -Handshakes auf dem Client vorhanden sein. AWS IoT 

Wenn der Client eine Verbindung herstellt AWS IoT, verwenden Sie das Client-Zertifikat, das Sie unter [AWS IoT Client-Zertifikate erstellen](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-create.html) oder [Eigene Client-Zertifikate erstellen](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html) erstellt haben. AWS IoT erkennt das CA-Zertifikat als registriertes CA-Zertifikat, registriert das Client-Zertifikat und setzt seinen Status auf`PENDING_ACTIVATION`. Das bedeutet, dass das Clientzertifikat automatisch registriert wurde und auf die Aktivierung wartet. Das Clientzertifikat muss den Status `ACTIVE` aufweisen, damit es zur Verbindung mit AWS IoT verwendet werden kann. Informationen zur Aktivierung eines Clientzertifikats finden Sie unter [Aktivieren oder Deaktivieren eines Clientzertifikats](activate-or-deactivate-device-cert.md).

**Anmerkung**  
Sie können Geräte mithilfe der AWS IoT Core just-in-time Registrierungsfunktion (JITR) bereitstellen, ohne die gesamte Vertrauenskette bei der ersten Verbindung der Geräte an senden zu müssen. AWS IoT Core Die Vorlage des CA-Zertifikats ist optional, aber das Gerät muss die [Server Name Indication (SNI)](https://datatracker.ietf.org/doc/html/rfc3546#section-3.1) senden, wenn es eine Verbindung herstellt.

Wenn ein Zertifikat AWS IoT automatisch registriert wird oder wenn ein Client ein Zertifikat im `PENDING_ACTIVATION` Status präsentiert, wird eine Nachricht zum folgenden MQTT-Thema AWS IoT veröffentlicht:

`$aws/events/certificates/registered/caCertificateId`

Dabei ist `caCertificateId` die ID des CA-Zertifikats, das das Gerätezertifikat ausgestellt hat.

Die im Topic veröffentlichte Nachricht weist die folgende Struktur auf:

```
{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}
```

Sie können eine Regel zum Beobachten dieses Topics und Ausführen bestimmter Aktionen erstellen. Wir empfehlen, eine Lambda-Regel zu erstellen, mit der sichergestellt wird, dass sich das Clientzertifikat nicht auf einer Zertifikataufhebungsliste (Certificate Revocation List, CRL) befindet, und mit der das Zertifikat aktiviert und eine Richtlinie erstellt und an das Zertifikat angefügt wird. Die Richtlinie bestimmt, auf welche Ressourcen der Client zugreifen kann. Wenn die Richtlinie, die Sie erstellen, die Client-ID von den Verbindungsgeräten benötigt, können Sie die Client-ID () -Funktion der Regel verwenden, um die Client-ID abzurufen. Ein Beispiel für eine Regeldefinition kann wie folgt aussehen:

```
SELECT *,
   clientid() as clientid
from $aws/events/certificates/registered/caCertificateId
```

In diesem Beispiel abonniert die Regel das JITR-Thema `$aws/events/certificates/registered/caCertificateID` und verwendet die Funktion clientid (), um die Client-ID abzurufen. Die Regel hängt dann die Client-ID an die JITR-Nutzlast an. [Weitere Hinweise zur clientid () -Funktion der Regel finden Sie unter clientid ().](https://docs.aws.amazon.com//iot/latest/developerguide/iot-sql-functions.html#iot-sql-function-clientid)

Weitere Informationen zum Erstellen einer Lambda-Regel, die das `$aws/events/certificates/registered/caCertificateID` Thema überwacht und diese Aktionen ausführt, finden Sie unter [just-in-time Registrierung von Client-Zertifikaten](https://aws.amazon.com/blogs/iot/just-in-time-registration-of-device-certificates-on-aws-iot/) am. AWS IoT

Wenn bei der automatischen Registrierung der Client-Zertifikate ein Fehler oder eine Ausnahme auftritt, AWS IoT sendet es Ereignisse oder Meldungen an Ihre Logs in CloudWatch Logs. Weitere Informationen zur Einrichtung der Logs für Ihr Konto finden Sie in der [ CloudWatch Amazon-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/).

# Kundenzertifikate verwalten
<a name="manage-device-cert"></a>

AWS IoT bietet Funktionen zur Verwaltung von Client-Zertifikaten.

**Topics**
+ [

# Aktivieren oder Deaktivieren eines Clientzertifikats
](activate-or-deactivate-device-cert.md)
+ [

# Anfügen eines Objekts oder einer Richtlinie an ein Clientzertifikat
](attach-to-cert.md)
+ [

# Widerrufen eines Clientzertifikats
](revoke-ca-cert.md)
+ [

# Übertragen eines Zertifikats in ein anderes Konto
](transfer-cert.md)

# Aktivieren oder Deaktivieren eines Clientzertifikats
<a name="activate-or-deactivate-device-cert"></a>

AWS IoT überprüft, ob ein Client-Zertifikat aktiv ist, wenn es eine Verbindung authentifiziert.

Sie können Clientzertifikate erstellen und registrieren, ohne sie zu aktivieren, sodass sie erst verwendet werden können, wenn Sie dies möchten. Sie können auch aktive Clientzertifikate deaktivieren, um sie vorübergehend zu deaktivieren. Und Sie können Clientzertifikate widerrufen, um deren zukünftige Verwendung zu verhindern. 

## Aktivieren eines Clientzertifikats (Konsole)
<a name="activate-device-cert-console"></a>

**Um ein Client-Zertifikat mit der Konsole zu aktivieren AWS IoT**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im linken Navigationsbereich **Sichern** und dann **Zertifikate**.

1. Suchen Sie in der Liste der Zertifikate dasjenige, die Sie aktivieren möchten, und öffnen Sie das Optionsmenü über das Ellipsensymbol.

1. Wählen Sie im Optionsmenü die Option **Aktivieren**.

Das Zertifikat sollte in der Liste der Zertifikate als **Aktiv** angezeigt werden.

## Deaktivieren eines Clientzertifikats (Konsole)
<a name="deactivate-device-cert-console"></a>

**Um ein Client-Zertifikat über die AWS IoT Konsole zu deaktivieren**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im linken Navigationsbereich **Sichern** und dann **Zertifikate**.

1. Suchen Sie in der Liste der Zertifikate dasjenige, die Sie deaktivieren möchten, und öffnen Sie das Optionsmenü über das Ellipsensymbol.

1. Wählen Sie im Optionsmenü die Option **Deaktivieren**.

Das Zertifikat sollte in der Liste der Zertifikate als **Inaktiv** angezeigt werden.

## Aktivieren eines Clientzertifikats (CLI)
<a name="activate-device-cert-cli"></a>

Das AWS CLI stellt den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)Befehl zur Aktivierung eines Zertifikats bereit.

```
aws iot update-certificate \
    --certificate-id certificateId \
    --new-status ACTIVE
```

Wenn der Befehl erfolgreich ist, wird der Status des Zertifikats auf `ACTIVE` gesetzt. Führen Sie [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html) aus, um den Status des Zertifikats anzuzeigen.

```
aws iot describe-certificate \
    --certificate-id certificateId
```

## Deaktivieren eines Clientzertifikats (CLI)
<a name="deactivate-device-cert-cli"></a>

Der AWS CLI stellt den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)Befehl zum Deaktivieren eines Zertifikats bereit.

```
aws iot update-certificate \
    --certificate-id certificateId \
    --new-status INACTIVE
```

Wenn der Befehl erfolgreich ist, wird der Status des Zertifikats auf `INACTIVE` gesetzt. Führen Sie [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html) aus, um den Status des Zertifikats anzuzeigen.

```
aws iot describe-certificate \
    --certificate-id certificateId
```

# Anfügen eines Objekts oder einer Richtlinie an ein Clientzertifikat
<a name="attach-to-cert"></a>

Wenn Sie ein Zertifikat unabhängig von einer AWS IoT Sache erstellen und registrieren, wird es weder über Richtlinien verfügen, die AWS IoT Operationen autorisieren, noch wird es mit einem Objekt verknüpft. AWS IoT In diesem Abschnitt wird beschrieben, wie Sie diese Beziehungen zu einem registrierten Zertifikat hinzufügen.

**Wichtig**  
Um dieses Verfahren ausführen zu können, müssen Sie das Objekt oder die Richtlinie, das/die Sie an das Zertifikat anfügen möchten, bereits erstellt haben.

Das Zertifikat authentifiziert ein Gerät mit, AWS IoT sodass es eine Verbindung herstellen kann. Durch das Anhängen des Zertifikats an eine Objektressource wird die Beziehung zwischen dem Gerät (über das Zertifikat) und der Objektressource hergestellt. Um das Gerät zur Ausführung von AWS IoT Aktionen zu autorisieren, z. B. damit das Gerät eine Verbindung herstellen und Nachrichten veröffentlichen kann, muss dem Zertifikat des Geräts eine entsprechende Richtlinie beigefügt werden. 

## Anfügen eines Objekts an ein Clientzertifikat (Konsole)
<a name="attach-to-cert-thing-console"></a>

Sie benötigen für dieses Verfahren den Namen des Objekts.

**So fügen Sie ein Objekt an ein registriertes Zertifikat an**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im linken Navigationsbereich **Sicher** und dann **Zertifikate**.

1. Suchen Sie in der Zertifikatsliste das Zertifikat, an das Sie eine Richtlinie anfügen möchten, öffnen Sie das Optionsmenü des Zertifikats über das Ellipsensymbol und wählen Sie **Objekt anfügen**.

1. Suchen Sie im Pop-up-Fenster den Namen des Objekts, das Sie an das Zertifikat anfügen möchten, markieren Sie das entsprechende Kontrollkästchen und wählen Sie **Anfügen**.

Das Objekt sollte nun in der Objektliste auf der Detailseite des Zertifikats angezeigt werden.

## Anfügen einer Richtlinie an ein Clientzertifikat (Konsole)
<a name="attach-to-cert-policy-console"></a>

Sie benötigen für dieses Verfahren den Namen des Richtlinienobjekts.

**So fügen Sie ein Richtlinienobjekt an ein registriertes Zertifikat an**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im linken Navigationsbereich **Sichern** und dann **Zertifikate**.

1. Suchen Sie in der Zertifikatsliste das Zertifikat, an das Sie eine Richtlinie anfügen möchten, öffnen Sie das Optionsmenü des Zertifikats über das Ellipsensymbol und wählen Sie **Richtlinie anfügen**. 

1. Suchen Sie im Pop-up-Fenster den Namen der Richtlinie, die Sie an das Zertifikat anfügen möchten, markieren Sie das entsprechende Kontrollkästchen und wählen Sie **Anfügen**.

Das Richtlinienobjekt sollte nun in der Richtlinienliste auf der Detailseite des Zertifikats angezeigt werden.

## Anfügen eines Objekts an ein Clientzertifikat (CLI)
<a name="attach-to-cert-thing-cli"></a>

Das AWS CLI stellt den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-thing-principal.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-thing-principal.html)Befehl zum Anhängen eines Dingobjekts an ein Zertifikat bereit.

```
aws iot attach-thing-principal \
    --principal certificateArn \
    --thing-name thingName
```

## Anfügen einer Richtlinie an ein Clientzertifikat (CLI)
<a name="attach-to-cert-policy-cli"></a>

Der AWS CLI stellt den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-policy.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-policy.html)Befehl zum Anhängen eines Richtlinienobjekts an ein Zertifikat bereit.

```
aws iot attach-policy \
    --target certificateArn \
    --policy-name policyName
```

# Widerrufen eines Clientzertifikats
<a name="revoke-ca-cert"></a>

Wenn Sie verdächtige Aktivitäten in einem registrierten Clientzertifikat erkennen, können Sie es widerrufen, damit es nicht noch einmal verwendet werden kann.

**Anmerkung**  
Sobald ein Zertifikat gesperrt wurde, kann sein Status nicht mehr geändert werden. Das heißt, dass der Status des Zertifikats nicht in `Active` oder einen anderen Status geändert werden kann.

## Widerrufen eines Clientzertifikats (Konsole)
<a name="revoke-device-cert-console"></a>

**Um ein Client-Zertifikat mithilfe der AWS IoT Konsole zu widerrufen**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im linken Navigationsbereich **Sichern** und dann **Zertifikate**.

1. Suchen Sie in der Liste der Zertifikate dasjenige, die Sie widerrufen möchten, und öffnen Sie das Optionsmenü über das Ellipsensymbol.

1. Wählen Sie im Optionsmenü die Option **Widerrufen**.

Wenn das Zertifikat erfolgreich widerrufen wurde, wird es in der Liste der Zertifikate als **Widerrufen** angezeigt.

## Widerrufen eines Clientzertifikats (CLI)
<a name="revoke-device-cert-cli"></a>

Das AWS CLI stellt den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)Befehl zum Widerrufen eines Zertifikats bereit.

```
aws iot update-certificate \
    --certificate-id certificateId \
    --new-status REVOKED
```

Wenn der Befehl erfolgreich ist, wird der Status des Zertifikats auf `REVOKED` gesetzt. Führen Sie [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html) aus, um den Status des Zertifikats anzuzeigen.

```
aws iot describe-certificate \
    --certificate-id certificateId
```

# Übertragen eines Zertifikats in ein anderes Konto
<a name="transfer-cert"></a>

X.509-Zertifikate, die zu einem Zertifikat gehören, AWS-Konto können auf ein anderes AWS-Kontoübertragen werden.

**Um ein X.509-Zertifikat von einem auf ein anderes zu AWS-Konto übertragen**

1. [Starten einer Zertifikatsübertragung](#transfer-cert-init)

   Das Zertifikat muss deaktiviert und von allen Richtlinien und Objekten getrennt werden, bevor die Übertragung gestartet wird.

1. [Annehmen oder Ablehnen einer Zertifikatsübertragung](#transfer-cert-accept)

   Das empfangende Konto muss das übertragene Zertifikat ausdrücklich akzeptieren oder ablehnen. Nachdem das Empfängerkonto das Zertifikat akzeptiert hat, muss das Zertifikat aktiviert werden, bevor es verwendet werden kann.

1. [Abbrechen einer Zertifikatsübertragung](#transfer-cert-cancel)

   Das ursprüngliche Konto kann eine Übertragung abbrechen, wenn das Zertifikat nicht akzeptiert wurde.

## Starten einer Zertifikatsübertragung
<a name="transfer-cert-init"></a>

Sie können mit der Übertragung eines Zertifikats auf ein anderes beginnen, AWS-Konto indem Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home) oder das AWS CLI verwenden.

### Starten einer Zertifikatsübertragung (Konsole)
<a name="transfer-cert-init-console"></a>

Sie benötigen die ID des Zertifikats, das Sie übertragen möchten. um dieses Verfahren abzuschließen.

Führen Sie dieses Verfahren von dem Konto aus, das das zu übertragende Zertifikat enthält.

**Um mit der Übertragung eines Zertifikats auf ein anderes zu beginnen AWS-Konto**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im linken Navigationsbereich **Sichern** und dann **Zertifikate**.

   Wählen Sie das Zertifikat mit dem Status **Aktiv** oder **Inaktiv** aus, das Sie übertragen möchten, und öffnen Sie die zugehörige Detailseite.

1. Wenn auf der Seite **Details** des Zertifikats im Menü **Aktionen** die Option **Deaktivieren** verfügbar ist, wählen Sie die Option **Deaktivieren**, um das Zertifikat zu deaktivieren.

1. Wählen Sie auf der Seite **Details** des Zertifikats im linken Menü die Option **Richtlinien**.

1. Wenn auf der Seite **Richtlinien** des Zertifikats Richtlinien mit dem Zertifikat verknüpft sind, trennen Sie die einzelnen Richtlinien, indem Sie das Optionsmenü der Richtlinie öffnen und **Trennen** wählen.

   Bevor Sie fortfahren, dürfen mit dem Zertifikat keine Richtlinien verbunden sein.

1. Wählen Sie auf der Seite **Richtlinien** des Zertifikats im linken Menü die Option **Objekte**.

1. Wenn auf der Seite **Objekte** des Zertifikats Objekte mit dem Zertifikat verknüpft sind, trennen Sie die einzelnen Objekte, indem Sie das Optionsmenü des Objekts öffnen und **Trennen** wählen.

   Bevor Sie fortfahren, dürfen mit dem Zertifikat keine Objekte verbunden sein.

1. Wählen Sie auf der Seite **Details** des Zertifikats im linken Menü die Option **Details**.

1. Wählen Sie auf der Seite **Details** des Zertifikats im Menü **Aktionen** die Option **Übertragung starten**, um das Dialogfeld **Übertragung starten** zu öffnen.

1. Geben **Sie im Dialogfeld Übertragung starten** die AWS-Konto Nummer des Kontos ein, das das Zertifikat erhalten soll, und optional eine Kurznachricht.

1. Wählen Sie **Übertragung starten**, um das Zertifikat zu übertragen.

Die Konsole sollte eine Meldung anzeigen, die den Erfolg oder Misserfolg der Übertragung angibt. Wenn die Übertragung gestartet wurde, wird der Status des Zertifikats auf **Übertragen** aktualisiert.

### Starten einer Zertifikatsübertragung (CLI)
<a name="transfer-cert-init-cli"></a>

Um dieses Verfahren abzuschließen, benötigen Sie das *certificateId* und das *certificateArn* Zertifikat, das Sie übertragen möchten.

Führen Sie dieses Verfahren von dem Konto aus, das das zu übertragende Zertifikat enthält.

**Um mit der Übertragung eines Zertifikats auf ein anderes AWS Konto zu beginnen**

1. Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) zum Deaktivieren des Zertifikats.

   ```
   aws iot update-certificate --certificate-id certificateId --new-status INACTIVE
   ```

1. Trennen Sie alle Richtlinien.

   1. Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-attached-policies.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-attached-policies.html), um die an das Zertifikat angehängten Richtlinien aufzulisten.

      ```
      aws iot list-attached-policies --target certificateArn
      ```

   1. Verwenden Sie für jede angehängte Richtlinie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-policy.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-policy.html), um die Richtlinie zu trennen.

      ```
      aws iot detach-policy --target certificateArn --policy-name policy-name
      ```

1. Trennen Sie alle Objekte.

   1. Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-principal-things.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-principal-things.html), um die an das Zertifikat angehängten Objekte aufzulisten.

      ```
      aws iot list-principal-things --principal certificateArn
      ```

   1. Verwenden Sie für jedes angehängte Objekt den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-thing-principal.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-thing-principal.html), um das Objekt zu trennen.

      ```
      aws iot detach-thing-principal --principal certificateArn --thing-name thing-name
      ```

1. Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/transfer-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/transfer-certificate.html), um die Zertifikatsübertragung zu starten.

   ```
   aws iot transfer-certificate --certificate-id certificateId --target-aws-account account-id
   ```

## Annehmen oder Ablehnen einer Zertifikatsübertragung
<a name="transfer-cert-accept"></a>

Sie können ein Zertifikat, das Ihnen AWS-Konto von einem anderen übertragen wurde, akzeptieren oder ablehnen, AWS-Konto indem Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home) oder das verwenden AWS CLI.

### Annehmen oder Ablehnen einer Zertifikatsübertragung (Konsole)
<a name="transfer-cert-accept-console"></a>

Sie benötigen die ID des Zertifikats, das in Ihr Konto übertragen wurde, um dieses Verfahren abzuschließen.

Führen Sie dieses Verfahren von dem Konto aus, das das übertragende Zertifikat empfängt.

**Um ein Zertifikat zu akzeptieren oder abzulehnen, das auf Ihr AWS-Konto**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im linken Navigationsbereich **Sichern** und dann **Zertifikate**.

   Wählen Sie das Zertifikat mit dem Status **Ausstehende Übertragung** aus, das Sie akzeptieren oder ablehnen möchten, und öffnen Sie die zugehörige Detailseite.

1. Auf der **Detailseite** des Zertifikats im Menü **Aktionen**,
   + Wählen Sie **Übertragung akzeptieren**, um das Zertifikat zu akzeptieren.
   + Wählen Sie **Übertragung ablehnen**, um das Zertifikat abzulehnen.

### Annehmen oder Ablehnen einer Zertifikatsübertragung (CLI)
<a name="transfer-cert-accept-cli"></a>

Um dieses Verfahren abzuschließen, benötigen Sie den Namen *certificateId* der Zertifikatsübertragung, die Sie akzeptieren oder ablehnen möchten.

Führen Sie dieses Verfahren von dem Konto aus, das das übertragende Zertifikat empfängt.

**Um ein Zertifikat zu akzeptieren oder abzulehnen, das auf Ihr AWS-Konto**

1. Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/accept-certificate-transfer.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/accept-certificate-transfer.html), um das Zertifikat zu akzeptieren.

   ```
   aws iot accept-certificate-transfer --certificate-id certificateId
   ```

1. Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/reject-certificate-transfer.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/reject-certificate-transfer.html), um das Zertifikat abzulehnen.

   ```
   aws iot reject-certificate-transfer --certificate-id certificateId
   ```

## Abbrechen einer Zertifikatsübertragung
<a name="transfer-cert-cancel"></a>

Sie können eine Zertifikatsübertragung abbrechen, bevor sie akzeptiert wurde, indem Sie die [AWS IoT -Konsole](https://console.aws.amazon.com/iot/home) oder die AWS CLI verwenden.

### Abbrechen einer Zertifikatsübertragung (Konsole)
<a name="transfer-cert-cancel-console"></a>

Sie benötigen die ID der Zertifikatsübertragung, die Sie abbrechen möchten, um dieses Verfahren abzuschließen.

Führen Sie dieses Verfahren von dem Konto aus, das die Zertifikatsübertragung gestartet hat.

**So brechen Sie eine Zertifikatsübertragung ab**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im linken Navigationsbereich **Sichern** und dann **Zertifikate**.

   Wählen Sie das Zertifikat mit dem Status **Übertragen** aus, dessen Übertragung Sie stornieren möchten, und öffnen Sie das zugehörige Optionsmenü.

1. Wählen Sie im Optionsmenü des Zertifikats die Option **Übertragung widerrufen**, um die Zertifikatsübertragung abzubrechen.
**Wichtig**  
Achten Sie darauf, die Option **Übertragung widerrufen** nicht mit der Option **Widerrufen** zu verwechseln.  
Mit der Option **Übertragung widerrufen** wird die Zertifikatsübertragung abgebrochen, während die Option **Widerrufen** das Zertifikat für das AWS IoT unwiderruflich unbrauchbar macht. 

### Abbrechen einer Zertifikatsübertragung (CLI)
<a name="transfer-cert-cancel-cli"></a>

Um dieses Verfahren abzuschließen, benötigen Sie den Namen *certificateId* der Zertifikatsübertragung, die Sie stornieren möchten.

Führen Sie dieses Verfahren von dem Konto aus, das die Zertifikatsübertragung gestartet hat.

Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/cancel-certificate-transfer.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/cancel-certificate-transfer.html), um die Zertifikatsübertragung abzubrechen.

```
aws iot cancel-certificate-transfer --certificate-id certificateId
```

# Benutzerdefinierte Validierung von Client-Zertifikaten
<a name="customize-client-auth"></a>

AWS IoT Core unterstützt die benutzerdefinierte Validierung von Client-Zertifikaten für X.509-Clientzertifikate, wodurch die Verwaltung der Client-Authentifizierung verbessert wird. Diese Methode zur Zertifikatsvalidierung wird auch als Zertifikatsprüfung vor der Authentifizierung bezeichnet. Dabei bewerten Sie Client-Zertifikate anhand Ihrer eigenen Kriterien (definiert in einer Lambda-Funktion) und widerrufen Client-Zertifikate oder das Zertifikat der Signing Certificate Authority (CA) der Zertifikate, um zu verhindern, dass Clients eine Verbindung herstellen können. AWS IoT Core Sie können beispielsweise Ihre eigenen Zertifikatssperrprüfungen erstellen, die den Status der Zertifikate anhand von Validierungsstellen überprüfen, die [Online Certificate Status Protocol (OCSP)](https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol) oder [Certificate Revocation Lists (CRL)](https://en.wikipedia.org/wiki/Certificate_revocation_list) Endpunkte unterstützen, und Verbindungen für Clients mit gesperrten Zertifikaten verhindern. Die Kriterien, die zur Bewertung von Client-Zertifikaten verwendet werden, werden in einer Lambda-Funktion (auch bekannt als Lambda vor der Authentifizierung) definiert. Sie müssen die in den Domänenkonfigurationen festgelegten Endpunkte verwenden und der [Authentifizierungstyp](protocols.md#connection-protocol-auth-mode) muss ein X.509-Zertifikat sein. Darüber hinaus müssen Clients die Erweiterung [Server Name Indication (SNI)](https://www.rfc-editor.org/rfc/rfc3546#section-3.1) angeben, wenn sie eine Verbindung herstellen. AWS IoT Core

**Anmerkung**  
Diese Funktion wird in den AWS GovCloud (US) Regionen nicht unterstützt.

**Topics**
+ [

## Schritt 1: Registrieren Sie Ihre X.509-Client-Zertifikate bei AWS IoT Core
](#client-auth-cert-verification)
+ [

## Schritt 2: Erstellen einer Lambda-Funktion
](#customize-client-auth-lambda)
+ [

## Schritt 3: Autorisieren Sie AWS IoT den Aufruf Ihrer Lambda-Funktion
](#customize-client-configuration-grant-permission)
+ [

## Schritt 4: Legen Sie die Authentifizierungskonfiguration für eine Domain fest
](#customize-client-configuration)

## Schritt 1: Registrieren Sie Ihre X.509-Client-Zertifikate bei AWS IoT Core
<a name="client-auth-cert-verification"></a>

Falls Sie dies noch nicht getan haben, registrieren und aktivieren Sie Ihre [X.509-Client-Zertifikate](https://docs.aws.amazon.com//iot/latest/developerguide/x509-client-certs.html) mit. AWS IoT Core Andernfalls überspringen Sie diesen Schritt und gehen Sie direkt zum nächsten.

Gehen Sie wie folgt vor AWS IoT Core, um Ihre Client-Zertifikate bei zu registrieren und zu aktivieren:

1. Wenn Sie [Kundenzertifikate direkt mit erstellen AWS IoT](https://docs.aws.amazon.com//iot/latest/developerguide/device-certs-create.html). Diese Client-Zertifikate werden automatisch bei registriert AWS IoT Core.

1. Wenn Sie [Ihre eigenen Client-Zertifikate erstellen](https://docs.aws.amazon.com//iot/latest/developerguide/device-certs-your-own.html), folgen Sie [diesen Anweisungen, um sie zu registrieren AWS IoT Core](https://docs.aws.amazon.com//iot/latest/developerguide/register-device-cert.html).

1. Folgen Sie [diesen Anweisungen](https://docs.aws.amazon.com//iot/latest/developerguide/activate-or-deactivate-device-cert.html), um Ihre Client-Zertifikate zu aktivieren.

## Schritt 2: Erstellen einer Lambda-Funktion
<a name="customize-client-auth-lambda"></a>

Sie müssen eine Lambda-Funktion erstellen, die die Zertifikatsverifizierung durchführt und bei jedem Verbindungsversuch eines Clients für den konfigurierten Endpunkt aufgerufen wird. Folgen Sie beim Erstellen dieser Lambda-Funktion den allgemeinen Anweisungen unter [Erstellen Sie Ihre erste Lambda-Funktion](https://docs.aws.amazon.com//lambda/latest/dg/getting-started.html). Stellen Sie außerdem sicher, dass die Lambda-Funktion die erwarteten Anfrage- und Antwortformate wie folgt einhält:

**Beispiel für ein Lambda-Funktionsereignis**

```
{
	"connectionMetadata": {
		"id": "string"
	},
	"principalId": "string",
	"serverName": "string",
	"clientCertificateChain": [
		"string",
		"string"
	]
}
```

`connectionMetadata`  
Metadaten oder zusätzliche Informationen im Zusammenhang mit der Verbindung des Clients zu AWS IoT Core.

`principalId`  
Die Haupt-ID, die dem Client in der TLS-Verbindung zugeordnet ist.

`serverName`  
Die [Hostnamenzeichenfolge (Server Name Indication, SNI)](https://www.rfc-editor.org/rfc/rfc3546#section-3.1). AWS IoT Core erfordert, dass Geräte die [SNI-Erweiterung](https://www.rfc-editor.org/rfc/rfc3546#section-3.1) an das Transport Layer Security (TLS) -Protokoll senden und die vollständige Endpunktadresse im Feld angeben. `host_name`

`clientCertificateChain`  
Das Zeichenkettenarray, das die X.509-Zertifikatskette des Clients darstellt. 

**Beispiel für eine Antwort auf eine Lambda-Funktion**

```
{
	"isAuthenticated": "boolean"
}
```

`isAuthenticated`  
Ein boolescher Wert, der angibt, ob die Anfrage authentifiziert ist.

**Anmerkung**  
In der Lambda-Antwort `isAuthenticated` muss `true` mit der weiteren Authentifizierung und Autorisierung fortgefahren werden. Andernfalls kann das IoT-Client-Zertifikat deaktiviert und die benutzerdefinierte Authentifizierung mit X.509-Client-Zertifikaten für die weitere Authentifizierung und Autorisierung blockiert werden.

## Schritt 3: Autorisieren Sie AWS IoT den Aufruf Ihrer Lambda-Funktion
<a name="customize-client-configuration-grant-permission"></a>

Nachdem Sie die Lambda-Funktion erstellt haben, müssen Sie mithilfe des AWS IoT CLI-Befehls [add-permission die Erlaubnis erteilen](https://docs.aws.amazon.com//cli/latest/reference/lambda/add-permission.html), sie aufzurufen. Beachten Sie, dass diese Lambda-Funktion bei jedem Verbindungsversuch zu Ihrem konfigurierten Endpunkt aufgerufen wird. Weitere Informationen finden Sie unter [Autorisieren des AWS IoT Aufrufs Ihrer Lambda-Funktion](custom-auth-authorize.md).

## Schritt 4: Legen Sie die Authentifizierungskonfiguration für eine Domain fest
<a name="customize-client-configuration"></a>

Im folgenden Abschnitt wird beschrieben, wie Sie die Authentifizierungskonfiguration für eine benutzerdefinierte Domain mithilfe von festlegen AWS CLI.

### Konfiguration des Client-Zertifikats für eine Domain festlegen (CLI)
<a name="customize-client-auth-cli"></a>

Wenn Sie keine Domänenkonfiguration haben, verwenden Sie den [https://docs.aws.amazon.com//cli/latest/reference/iot/create-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/create-domain-configuration.html)CLI-Befehl, um eine zu erstellen. Wenn Sie bereits über eine Domänenkonfiguration verfügen, verwenden Sie den [https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html)CLI-Befehl, um die Konfiguration des Client-Zertifikats für eine Domain zu aktualisieren. Sie müssen den ARN der Lambda-Funktion hinzufügen, die Sie im vorherigen Schritt erstellt haben.

```
aws iot create-domain-configuration \
    --domain-configuration-name domainConfigurationName \
    --authentication-type AWS_X509|CUSTOM_AUTH_X509 \
    --application-protocol SECURE_MQTT|HTTPS \
    --client-certificate-config 'clientCertificateCallbackArn":"arn:aws:lambda:us-east-2:123456789012:function:my-function:1"}'
```

```
aws iot update-domain-configuration \
    --domain-configuration-name domainConfigurationName \
    --authentication-type AWS_X509|CUSTOM_AUTH_X509 \
    --application-protocol SECURE_MQTT|HTTPS \
    --client-certificate-config '{"clientCertificateCallbackArn":"arn:aws:lambda:us-east-2:123456789012:function:my-function:1"}'
```

`domain-configuration-name`  
Der Name der Domänenkonfiguration.

`authentication-type`  
Der Authentifizierungstyp der Domänenkonfiguration. Weitere Informationen finden Sie unter [Auswahl eines Authentifizierungstyps](protocols.md#connection-protocol-auth-mode).

`application-protocol`  
Das Anwendungsprotokoll, mit dem Geräte kommunizieren AWS IoT Core. Weitere Informationen finden Sie unter [Auswahl eines Anwendungsprotokolls](protocols.md#protocol-selection).

`client-certificate-config`  
Ein Objekt, das die Konfiguration der Client-Authentifizierung für eine Domäne angibt.

`clientCertificateCallbackArn`  
Der Amazon-Ressourcenname (ARN) der Lambda-Funktion, die in der AWS IoT TLS-Schicht aufgerufen wird, wenn eine neue Verbindung hergestellt wird. Um die Client-Authentifizierung für die Durchführung einer benutzerdefinierten Client-Zertifikatsvalidierung anzupassen, müssen Sie den ARN der Lambda-Funktion hinzufügen, die Sie im vorherigen Schritt erstellt haben.

Weitere Informationen finden Sie in [CreateDomainConfiguration](https://docs.aws.amazon.com//iot/latest/apireference/API_CreateDomainConfiguration.html)und in [UpdateDomainConfiguration](https://docs.aws.amazon.com//iot/latest/apireference/API_UpdateDomainConfiguration.html)der *AWS IoT API-Referenz.* Weitere Informationen zu Domänenkonfigurationen finden Sie unter [Domänenkonfigurationen](https://docs.aws.amazon.com//iot/latest/developerguide/iot-custom-endpoints-configurable.html).

# IAM-Benutzer, -Gruppen und -Rollen
<a name="iam-users-groups-roles"></a>

IAM-Benutzer, -Gruppen und -Rollen sind die Standardmechanismen zum Verwalten von Identitäts- und Authentifizierungsmethoden in AWS. Sie können sie verwenden, um mithilfe des AWS SDK und eine Verbindung zu AWS IoT HTTP-Schnittstellen herzustellen AWS CLI.

Mit IAM-Rollen können AWS IoT Sie auch in Ihrem Namen auf andere AWS Ressourcen in Ihrem Konto zugreifen. Wenn Sie beispielsweise möchten, dass ein Gerät seinen Status in einer DynamoDB-Tabelle veröffentlicht, ermöglichen AWS IoT IAM-Rollen die Interaktion mit Amazon DynamoDB. Weitere Informationen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html).

 AWS IoT Authentifiziert bei Message-Broker-Verbindungen über HTTP Benutzer, Gruppen und Rollen mithilfe des Signaturprozesses von Signature Version 4. Weitere Informationen finden Sie unter [AWS API-Anfragen signieren](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html).

Wenn Sie AWS Signature Version 4 mit verwenden AWS IoT, müssen Clients in ihrer TLS-Implementierung Folgendes unterstützen:
+ TLS 1.2
+ SHA-256 RSA-Zertifikats-Signaturprüfung für RSA-Zertifikate
+ Eine der Cipher-Suiten aus dem Support-Abschnitt der TLS Cipher Suite.

Weitere Informationen finden Sie unter [Identitäts- und Zugriffsmanagement für AWS IoT](security-iam.md).

# Amazon-Cognito-Identitäten
<a name="cognito-identities"></a>

Amazon Cognito Identity ermöglicht es Ihnen, temporäre AWS Anmeldeinformationen mit eingeschränkten Rechten für die Verwendung in Mobil- und Webanwendungen zu erstellen. Wenn Sie Amazon Cognito Identity verwenden, erstellen Sie Identitätspools, die eindeutige Identitäten für Ihre Benutzer erstellen, und authentifizieren Sie sie bei Identitätsanbietern wie Login with Amazon, Facebook und Google. Sie können auch Amazon-Cognito-Identitäten mit Ihren eigenen vom Entwickler authentifizierten Identitäten verwenden. Weitere Informationen finden Sie unter [ Amazon Cognito Identity](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html).

Um Amazon Cognito Identity zu verwenden, definieren Sie einen Amazon Cognito Cognito-Identitätspool, der einer IAM-Rolle zugeordnet ist. Die IAM-Rolle ist mit einer IAM-Richtlinie verknüpft, die Identitäten aus Ihrem Identitätspool den Zugriff auf Ressourcen wie Anrufdienste gewährt. AWS AWS 

Amazon Cognito Identity erstellt nicht authentifizierte und authentifizierte Identitäten. Nicht authentifizierte Identitäten werden für Gastbenutzer in einer mobilen oder Webanwendung verwendet, die die App ohne Anmeldung nutzen möchten. Nicht authentifizierten Benutzern werden nur die Berechtigungen gewährt, die in der dem Identitätspool zugeordneten IAM-Richtlinie angegeben sind.

Wenn Sie authentifizierte Identitäten verwenden, müssen Sie zusätzlich zu der dem Identitätspool angehängten IAM-Richtlinie eine Richtlinie an eine Amazon Cognito AWS IoT Cognito-Identität anhängen. Um eine AWS IoT Richtlinie anzuhängen, verwenden Sie die [ AttachPolicy](https://docs.aws.amazon.com/iot/latest/apireference/API_AttachPolicy.html)API und erteilen Sie einem einzelnen Benutzer Ihrer Anwendung Berechtigungen. AWS IoT Sie können die AWS IoT Richtlinie verwenden, um spezifische Berechtigungen für bestimmte Kunden und deren Geräte zuzuweisen.

Authentifizierte und nicht authentifizierte Benutzer sind unterschiedliche Identitätstypen. Wenn Sie der Amazon Cognito Identity keine AWS IoT Richtlinie beifügen, schlägt ein authentifizierter Benutzer die Autorisierung fehl AWS IoT und hat keinen Zugriff auf AWS IoT Ressourcen und Aktionen. Weitere Informationen zum Erstellen von Richtlinien für Amazon-Cognito-Identitäten finden Sie unter [Beispiele für Veröffentlichungs-/Abonnement-Richtlinien](pub-sub-policy.md) und [Autorisierung mit Amazon-Cognito-Identitäten](cog-iot-policies.md).

![\[Anwendung, die mit Amazon Cognito Identity auf ein Gerät zugreift.\]](http://docs.aws.amazon.com/de_de/iot/latest/developerguide/images/device-cognito.png)