Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Vom Kunden verwaltete Domains erstellen und konfigurieren

Fokusmodus
Vom Kunden verwaltete Domains erstellen und konfigurieren - AWS IoT Core

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mit Domänenkonfigurationen können Sie einen benutzerdefinierten vollqualifizierten Domainnamen (FQDN) angeben, zu dem Sie eine Verbindung herstellen möchten AWS IoT Core. Die Verwendung von kundenverwalteten Domains (auch als benutzerdefinierte Domains bezeichnet) bietet viele Vorteile: Sie können Ihre eigene Domain oder die Ihres Unternehmens Kunden zu Branding-Zwecken zugänglich machen; Sie können Ihre eigene Domain einfach ändern, sodass sie auf einen neuen Broker verweist; Sie können Multi-Tenancy unterstützen, um Kunden mit unterschiedlichen Domains innerhalb derselben zu bedienen AWS-Konto; und Sie können Ihre eigenen Serverzertifikatsdetails verwalten, z. B. die Root-Zertifizierungsstelle (CA), die zum Signieren des Zertifikats verwendet wurde, den Signaturalgorithmus, Tiefe der Zertifikatskette und der Lebenszyklus des Zertifikat.

Der Workflow zum Einrichten einer Domänenkonfiguration mit einer benutzerdefinierten Domäne besteht aus den folgenden drei Phasen.

Registrierung von Serverzertifikaten im AWS Zertifikatsmanager

Bevor Sie eine Domänenkonfiguration mit einer benutzerdefinierten Domäne erstellen, müssen Sie die Serverzertifikatskette in AWS Certificate Manager (ACM) registrieren. Sie können die folgenden drei Serverzertifikattypen verwenden.

Anmerkung

AWS IoT Core betrachtet ein Zertifikat als von einer öffentlichen Zertifizierungsstelle signiert, wenn es in Mozillas vertrauenswürdigem CA-Bundle enthalten ist.

Zertifikatanforderungen

Die Anforderungen für den Import von Zertifikaten in finden Sie unter Voraussetzungen für den Import von Zertifikaten inACM. Zusätzlich zu diesen Anforderungen fügt AWS IoT Core folgende Anforderungen hinzu.

  • Das Leaf-Zertifikat muss die Erweiterung Extended Key Usage x509 v3 mit dem Wert serverAuth(TLSWeb Server Authentication) enthalten. Wenn Sie das Zertifikat von anfordernACM, wird diese Erweiterung automatisch hinzugefügt.

  • Die maximale Tiefe der Zertifikatskette beträgt 5 Zertifikate.

  • Die maximale Größe der Zertifikatskette beträgt 16 KB.

  • Zu den unterstützten kryptografischen Algorithmen und Schlüsselgrößen gehören RSA 2048 Bit (RSA_2048) und ECDSA 256 Bit (EC_Prime256V1).

Verwenden eines Zertifikats für mehrere Domänen

Wenn Sie beabsichtigen, ein Zertifikat für mehrere Subdomänen zu verwenden, verwenden Sie eine Platzhalterdomäne im Feld Common Name (CN) oder Subject Alternative Names (). SAN Verwenden Sie zum Beispiel *.iot.example.com dev.iot.example.com, qa.iot.example.com und prod.iot.example.com. FQDNFür jede Domänenkonfiguration ist eine eigene Domänenkonfiguration erforderlich, aber mehrere Domänenkonfigurationen können denselben Platzhalterwert verwenden. Entweder der CN oder der SAN muss die Domäne abdeckenFQDN, die Sie als benutzerdefinierte Domäne verwenden möchten. Falls SANs vorhanden, wird der CN ignoriert und SAN muss die Domain abdeckenFQDN, die Sie als benutzerdefinierte Domain verwenden möchten. Hierbei kann es sich um eine exakte Übereinstimmung oder um eine Platzhalterübereinstimmung handeln. Nachdem ein Wildcard-Zertifikat validiert und für ein Konto registriert wurde, werden andere Konten in der Region daran gehindert, benutzerdefinierte Domänen zu erstellen, die sich mit dem Zertifikat überschneiden.

In den folgenden Abschnitten wird beschrieben, wie Sie die einzelnen Zertifikatstypen erhalten. Für jede Zertifikatsressource ist ein registrierter Amazon-Ressourcenname (ARN) erforderlichACM, den Sie bei der Erstellung Ihrer Domain-Konfiguration verwenden.

ACM-generierte öffentliche Zertifikate

Sie können ein öffentliches Zertifikat für Ihre benutzerdefinierte Domain generieren, indem Sie den RequestCertificateAPIverwenden. Wenn Sie auf diese Weise ein Zertifikat generieren, überprüft ACM Ihr Eigentum an der benutzerdefinierten Domäne. Weitere Informationen finden Sie unter Anfordern eines öffentlichen Zertifikats im AWS Certificate Manager -Benutzerhandbuch.

Von einer öffentlichen Zertifizierungsstelle signierte externe Zertifikate

Wenn Sie bereits über ein Serverzertifikat verfügen, das von einer öffentlichen Zertifizierungsstelle signiert ist (eine Zertifizierungsstelle, die im vertrauenswürdigen CA-Bundle von Mozilla enthalten ist), können Sie die Zertifikatskette direkt importieren, ACM indem Sie den ImportCertificateAPIverwenden. Weitere Informationen zu dieser Aufgabe und den Voraussetzungen und Anforderungen an das Zertifikatformat finden Sie unter Importieren von Zertifikaten.

Von einer privaten Zertifizierungsstelle signierte externe Zertifikate

Wenn Sie bereits über ein Serverzertifikat verfügen, das von einer privaten Zertifizierungsstelle signiert oder selbstsigniert ist, können Sie das Zertifikat zum Erstellen Ihrer Domänenkonfiguration verwenden. Sie müssen jedoch auch ein zusätzliches öffentliches Zertifikat in ACM erstellen, um den Besitz Ihrer Domäne zu überprüfen. Registrieren Sie dazu Ihre Serverzertifikatskette unter ACM Verwendung von. ImportCertificateAPI Weitere Informationen zu dieser Aufgabe und den Voraussetzungen und Anforderungen an das Zertifikatformat finden Sie unter Importieren von Zertifikaten.

Erstellen eines Validierungszertifikats

Nachdem Sie Ihr Zertifikat in importiert habenACM, generieren Sie mithilfe von ein öffentliches Zertifikat für Ihre benutzerdefinierte Domain RequestCertificateAPI. Wenn Sie auf diese Weise ein Zertifikat generieren, überprüft ACM Ihr Eigentum an der benutzerdefinierten Domäne. Weitere Informationen finden Sie unter Anfordern eines öffentlichen Zertifikats. Wenn Sie Ihre Domänenkonfiguration erstellen, verwenden Sie dieses öffentliche Zertifikat als Validierungszertifikat.

Erstellen einer Domänenkonfiguration

Sie erstellen einen konfigurierbaren Endpunkt in einer benutzerdefinierten Domain mithilfe von CreateDomainConfigurationAPI. Eine Domänenkonfiguration für eine benutzerdefinierte Domäne besteht aus folgenden Elementen:

  • domainConfigurationName

    Ein benutzerdefinierter Name, der die Domänenkonfiguration identifiziert Domänenkonfigurationsnamen, die mit IoT: beginnen, sind für Standardendpunkte reserviert und können nicht verwendet werden. Außerdem muss dieser Wert für Sie eindeutig sein AWS-Region.

  • domainName

    DerFQDN, mit dem Ihre Geräte eine Verbindung herstellen AWS IoT Core. AWS IoT Core nutzt die TLS Erweiterung „Servername Indication“ (SNI), um Domänenkonfigurationen anzuwenden. Geräte müssen diese Erweiterung verwenden, wenn sie eine Verbindung herstellen und einen Servernamen übergeben, der mit dem Domänennamen identisch ist, der in der Domänenkonfiguration angegeben ist.

  • serverCertificateArns

    Die ARN der Serverzertifikatskette, bei ACM der Sie sich registriert haben. AWS IoT Core unterstützt derzeit nur ein Serverzertifikat.

  • validationCertificateArn

    Das ARN des öffentlichen Zertifikats, das Sie generiert haben, ACM um die Inhaberschaft Ihrer benutzerdefinierten Domain zu bestätigen. Dieses Argument ist nicht erforderlich, wenn Sie ein öffentlich signiertes oder in ACM generiertes Serverzertifikat verwenden.

  • defaultAuthorizerName (optional)

    Der Name des benutzerdefinierten Autorisierers, der am Endpunkt verwendet werden soll.

  • allowAuthorizerOverride

    Ein boolescher Wert, der angibt, ob Geräte den Standardautorisierer überschreiben können, indem sie im HTTP Header der Anfrage einen anderen Autorisierer angeben. Dieser Wert ist erforderlich, wenn ein Wert für defaultAuthorizerName angegeben wird.

  • serviceType

    AWS IoT Core unterstützt derzeit nur den Diensttyp. DATA Wenn Sie angebenDATA, wird ein Endpunkt mit dem Endpunkttyp AWS IoT zurückgegebeniot:Data-ATS.

  • TlsConfig (optional)

    Ein Objekt, das die TLS Konfiguration für eine Domäne angibt. Weitere Informationen finden Sie unter Konfiguration von TLS Einstellungen in Domänenkonfigurationen.

  • serverCertificateConfig (optional)

    Ein Objekt, das die Serverzertifikatkonfiguration für eine Domäne angibt. Weitere Informationen finden Sie unter Konfiguration des Serverzertifikats für das OCSP Heften.

Der folgende AWS CLI Befehl erstellt eine Domänenkonfiguration für iot.example.com.

aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" --service-type "DATA" --domain-name "iot.example.com" --server-certificate-arns serverCertARN --validation-certificate-arn validationCertArn
Anmerkung

Nachdem Sie Ihre Domänenkonfiguration erstellt haben, kann es bis zu 60 Minuten dauern, bis Ihre benutzerdefinierten Serverzertifikate AWS IoT Core bereitgestellt werden.

Weitere Informationen finden Sie unter Verwalten von Domänenkonfigurationen.

DNSDatensätze erstellen

Nachdem Sie Ihre Serverzertifikatskette registriert und Ihre Domainkonfiguration erstellt haben, erstellen Sie einen DNS Datensatz, sodass Ihre benutzerdefinierte Domain auf eine AWS IoT Domain verweist. Dieser Datensatz muss auf einen AWS IoT Endpunkt vom Typ verweiseniot:Data-ATS. Sie können Ihren Endpunkt ermitteln, indem Sie den verwenden DescribeEndpointAPI.

Der folgende AWS CLI Befehl zeigt, wie Sie Ihren Endpunkt ermitteln.

aws iot describe-endpoint --endpoint-type iot:Data-ATS

Nachdem Sie Ihren iot:Data-ATS Endpunkt erhalten haben, erstellen Sie einen CNAME Datensatz von Ihrer benutzerdefinierten Domain zu diesem AWS IoT Endpunkt. Wenn Sie mehrere benutzerdefinierte Domains in derselben Domain erstellen AWS-Konto, geben Sie ihnen einen Alias für denselben iot:Data-ATS Endpunkt.

Fehlerbehebung

Wenn Sie Probleme haben, Geräte mit einer benutzerdefinierten Domain zu verbinden, stellen Sie sicher, dass diese Ihr Serverzertifikat akzeptiert und angewendet AWS IoT Core hat. Sie können überprüfen, ob Ihr Zertifikat akzeptiert AWS IoT Core wurde, indem Sie entweder die AWS IoT Core Konsole oder den verwenden AWS CLI.

Um die AWS IoT Core Konsole zu verwenden, navigieren Sie zur Seite mit den Domänenkonfigurationen und wählen Sie den Namen der Domänenkonfiguration aus. Überprüfen Sie im Abschnitt Serverzertifikatsdetails den Status und die Statusdetails. Wenn das Zertifikat ungültig ist, ersetzen Sie es durch ein Zertifikat, das die im vorherigen Abschnitt aufgeführten Zertifikatsanforderungen erfüllt. ACM Wenn das Zertifikat dasselbe hatARN, AWS IoT Core wird es automatisch abgeholt und beantragt.

Um den Status des Zertifikats mithilfe von zu überprüfen AWS CLI, rufen Sie den an DescribeDomainConfigurationAPIund geben Sie Ihren Domain-Konfigurationsnamen an.

Anmerkung

Wenn Ihr Zertifikat ungültig ist, AWS IoT Core wird weiterhin das letzte gültige Zertifikat ausgestellt.

Mit dem folgenden openssl-Befehl können Sie überprüfen, welches Zertifikat auf Ihrem Endpunkt zugestellt wird.

openssl s_client -connect custom-domain-name:8883 -showcerts -servername custom-domain-name

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.