Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Registrieren eines Clientzertifikats
<a name="register-device-cert"></a>

Client-Zertifikate müssen registriert sein AWS IoT , um die Kommunikation zwischen dem Client und zu ermöglichen AWS IoT. Sie können jedes Client-Zertifikat manuell registrieren, oder Sie können die Client-Zertifikate so konfigurieren, dass sie automatisch registriert werden, wenn der Client AWS IoT zum ersten Mal eine Verbindung herstellt.

 Wenn Sie möchten, dass Ihre Clients und Geräte ihre Clientzertifikate registrieren, wenn sie sich zum ersten Mal verbinden, müssen Sie [Registrieren eines CA-Zertifikats](manage-your-CA-certs.md#register-CA-cert) das Clientzertifikat in den Regionen bei AWS IoT signieren, in denen Sie es verwenden möchten. Die Amazon Root-CA wird automatisch bei registriert AWS IoT. 

Kundenzertifikate können nach AWS-Konten Regionen gemeinsam genutzt werden. Die Verfahren in diesen Themen müssen in jedem Konto und jeder Region ausgeführt werden, in der Sie das Clientzertifikat verwenden möchten. Die Registrierung eines Clientzertifikats in einem Konto oder einer Region wird von einem anderen Konto/einer anderen Region nicht automatisch erkannt.

**Anmerkung**  
Clients, die das TLS-Protokoll (Transport Layer Security) verwenden, um eine Verbindung mit AWS IoT herzustellen, müssen die [SNI-Erweiterung (Server Name Indication)](https://tools.ietf.org/html/rfc3546#section-3.1) für TLS unterstützen. Weitere Informationen finden Sie unter [Transportsicherheit in AWS IoT Core](transport-security.md).

**Topics**
+ [Manuelles Registrieren eines Clientzertifikats](manual-cert-registration.md)
+ [Registrieren Sie ein Client-Zertifikat, wenn der Client eine Verbindung zur AWS IoT just-in-time Registrierung herstellt (JITR)](auto-register-device-cert.md)

# Manuelles Registrieren eines Clientzertifikats
<a name="manual-cert-registration"></a>

Sie können ein Client-Zertifikat manuell registrieren, indem Sie die AWS IoT Konsole und verwenden AWS CLI.

Das anzuwendende Registrierungsverfahren hängt davon ab, ob das Zertifikat von AWS-Konto s und Regionen gemeinsam genutzt wird. Die Registrierung eines Clientzertifikats in einem Konto oder einer Region wird von einem anderen Konto/einer anderen Region nicht automatisch erkannt.

Die Verfahren in diesem Thema müssen in jedem Konto und jeder Region ausgeführt werden, in der Sie das Clientzertifikat verwenden möchten. Client-Zertifikate können von AWS-Konto s und Regionen gemeinsam genutzt werden. 

## Registrieren eines von einer registrierten CA signierten Clientzertifikats (Konsole)
<a name="manual-cert-registration-console"></a>

**Anmerkung**  
Bevor Sie dieses Verfahren ausführen, stellen Sie sicher, dass Sie über die PEM-Datei des Client-Zertifikats verfügen und dass das Client-Zertifikat von einer Zertifizierungsstelle signiert wurde, bei der Sie sich [registriert](manage-your-CA-certs.md#register-CA-cert) haben. AWS IoT

**Um ein vorhandenes Zertifikat AWS IoT mithilfe der Konsole zu registrieren**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im Navigationsbereich im Abschnitt **Verwalten** die Option **Sicherheit** und anschließend **Zertifikate**.

1. Wählen Sie auf der Seite **Zertifikate** im Dialogfeld **Zertifikate** die Option **Zertifikat hinzufügen** und dann **Zertifikate registrieren**.

1. Gehen Sie auf der Seite **Zertifikat registrieren** im Dialogfeld **Hochzuladende Zertifikate** wie folgt vor:
   + Wählen Sie **Zertifizierungsstelle ist bei AWS IoT registriert**.
   + Wählen Sie unter **CA-Zertifikat auswählen** Ihre **Zertifizierungsstelle** aus. 
     + Wählen Sie **Neue Zertifizierungsstelle registrieren** aus, um eine neue **Zertifizierungsstelle** zu registrieren, die nicht bei AWS IoT registriert ist.
     + Lassen Sie **CA-Zertifikat auswählen** leer, wenn die **Amazon-Root-Zertifizierungsstelle** Ihre Zertifizierungsstelle ist.
   + Wählen Sie bis zu 10 Zertifikate aus, die Sie hochladen und mit denen Sie sich registrieren möchten AWS IoT.
     + Verwenden Sie die Zertifikatsdateien, die Sie in [Erstellen Sie AWS IoT Client-Zertifikate](device-certs-create.md) und [Erstellen eines Clientzertifikats mit Ihrem CA-Zertifikat](create-device-cert.md) erstellt haben.
   + Wählen Sie **Aktivieren** oder **Deaktivieren**. Wenn Sie **Deaktivieren** wählen, erklärt [Aktivieren oder Deaktivieren eines Clientzertifikats](activate-or-deactivate-device-cert.md), wie Sie Ihr Zertifikat nach der Zertifikatsregistrierung aktivieren.
   + Wählen Sie **Registrieren** aus.

Auf der Seite **Zertifikate** im Dialogfeld **Zertifikate** werden nun Ihre registrierten Zertifikate angezeigt.

## Registrieren eines von einer nicht registrierten CA signierten Clientzertifikats (Konsole)
<a name="manual-cert-registration-console-noca"></a>

**Anmerkung**  
Stellen Sie sicher, dass Sie über die PEM-Datei des Clientzertifikats verfügen, bevor Sie dieses Verfahren ausführen.

**Um ein vorhandenes Zertifikat AWS IoT mithilfe der Konsole zu registrieren**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im linken Navigationsbereich **Sichern**, **Zertifikate** und anschließend **Erstellen** aus.

1. Suchen Sie unter **Zertifikat erstellen** den Eintrag **Eigenes Zertifikat verwenden** und wählen Sie **Erste Schritte**.

1. Wählen Sie unter **CA auswählen** die Option **Weiter**.

1.  Wählen Sie unter **Vorhandene Gerätezertifikate registrieren** die Option **Zertifikate auswählen** und wählen Sie bis zu zehn Zertifikatdateien zum Registrieren aus. 

1.  Schließen Sie das Dateidialogfeld und wählen Sie aus, ob Sie die Clientzertifikate bei der Registrierung aktivieren oder widerrufen möchten.

   Wenn Sie ein Zertifikat bei der Registrierung nicht aktivieren, können Sie unter [Aktivieren eines Clientzertifikats (Konsole)](activate-or-deactivate-device-cert.md#activate-device-cert-console) nachlesen, wie Sie es zu einem späteren Zeitpunkt aktivieren können. 

   Wenn ein Zertifikat bei der Registrierung widerrufen wird, kann es später nicht aktiviert werden.

   Nachdem Sie die zu registrierenden Zertifikatdateien und die nach der Registrierung auszuführenden Aktionen ausgewählt haben, klicken Sie auf **Zertifikate registrieren**.

Die erfolgreich registrierten Clientzertifikate werden in der Liste der Zertifikate angezeigt.

## Registrieren eines von einer registrierten CA signierten Clientzertifikats (CLI)
<a name="manual-cert-registration-cli"></a>

**Anmerkung**  
Stellen Sie sicher, dass Sie über die PEM-Datei der CA und über die PEM-Datei des Clientzertifikats verfügen, bevor Sie dieses Verfahren ausführen. Das Client-Zertifikat muss von einer Zertifizierungsstelle (CA) signiert sein, [bei der Sie sich registriert](manage-your-CA-certs.md#register-CA-cert) haben AWS IoT.

Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html), um ein Clientzertifikat zu registrieren, ohne es zu aktivieren.

```
aws iot register-certificate \
    --certificate-pem file://device_cert_filename.pem \
    --ca-certificate-pem file://ca_cert_filename.pem
```

Das Client-Zertifikat ist bei registriert AWS IoT, aber es ist noch nicht aktiv. Informationen dazu, wie Sie es zu einem späteren Zeitpunkt aktivieren können, finden Sie unter [Aktivieren eines Clientzertifikats (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli).

Sie können das Clientzertifikat auch aktivieren, wenn Sie es mit dem folgenden Befehl registrieren.

```
aws iot register-certificate \
    --set-as-active \
    --certificate-pem file://device_cert_filename.pem \
    --ca-certificate-pem file://ca_cert_filename.pem
```

Weitere Informationen zur Aktivierung des Zertifikats, sodass es für die Herstellung einer Verbindung verwendet werden kann AWS IoT, finden Sie unter [Aktivieren oder Deaktivieren eines Clientzertifikats](activate-or-deactivate-device-cert.md)

## Registrieren eines von einer nicht registrierten CA signierten Clientzertifikats (CLI)
<a name="manual-cert-registration-noca-cli"></a>

**Anmerkung**  
Stellen Sie sicher, dass Sie über die PEM-Datei des Zertifikats verfügen, bevor Sie dieses Verfahren ausführen.

Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html), um ein Clientzertifikat zu registrieren, ohne es zu aktivieren.

```
aws iot register-certificate-without-ca \
    --certificate-pem file://device_cert_filename.pem
```

Das Client-Zertifikat ist registriert AWS IoT, aber es ist noch nicht aktiv. Informationen dazu, wie Sie es zu einem späteren Zeitpunkt aktivieren können, finden Sie unter [Aktivieren eines Clientzertifikats (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli).

Sie können das Clientzertifikat auch aktivieren, wenn Sie es mit dem folgenden Befehl registrieren.

```
aws iot register-certificate-without-ca \
    --status ACTIVE \
    --certificate-pem file://device_cert_filename.pem
```

Weitere Hinweise zur Aktivierung des Zertifikats, sodass es für die Herstellung einer Verbindung verwendet werden kann AWS IoT, finden Sie unter[Aktivieren oder Deaktivieren eines Clientzertifikats](activate-or-deactivate-device-cert.md).

# Registrieren Sie ein Client-Zertifikat, wenn der Client eine Verbindung zur AWS IoT just-in-time Registrierung herstellt (JITR)
<a name="auto-register-device-cert"></a>

Sie können ein CA-Zertifikat so konfigurieren, dass Client-Zertifikate, mit denen es signiert wurde, AWS IoT automatisch registriert werden, wenn der Client zum AWS IoT ersten Mal eine Verbindung herstellt.

Um Client-Zertifikate zu registrieren, wenn ein Client AWS IoT zum ersten Mal eine Verbindung herstellt, müssen Sie das CA-Zertifikat für die automatische Registrierung aktivieren und die erste Verbindung des Clients so konfigurieren, dass die erforderlichen Zertifikate bereitgestellt werden.

## Konfigurieren eines CA-Zertifikats zur Unterstützung der automatischen Registrierung (Konsole)
<a name="enable-auto-registration-console"></a>

**Um ein CA-Zertifikat zur Unterstützung der automatischen Registrierung von Client-Zertifikaten mithilfe der AWS IoT Konsole zu konfigurieren**

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).

1. Wählen Sie im linken Navigationsbereich **Secure**, wählen Sie **CAs**.

1. Suchen Sie in der Liste der Zertifizierungsstellen diejenige, für die Sie die automatische Registrierung aktivieren möchten, und öffnen Sie das Optionsmenü über das Ellipsensymbol.

1. Wählen Sie im Optionsmenü **Automatische Registrierung aktivieren**.

**Anmerkung**  
Der Status der automatischen Registrierung wird in der Liste der Zertifizierungsstellen nicht angezeigt. Um den Status der automatischen Registrierung einer Zertifizierungsstelle anzuzeigen, müssen Sie die Seite **Details** der Zertifizierungsstelle öffnen.

## Konfigurieren eines CA-Zertifikats zur Unterstützung der automatischen Registrierung (CLI)
<a name="enable-auto-registration-cli"></a>

Wenn Sie Ihr CA-Zertifikat bereits registriert haben AWS IoT, verwenden Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)Befehl, um das CA-Zertifikat auf festzulegen `autoRegistrationStatus``ENABLE`.

```
aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE
```

Wenn Sie `autoRegistrationStatus` bei der Registrierung des CA-Zertifikats aktivieren möchten, verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html).

```
aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```

Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html), um den Status des CA-Zertifikats anzuzeigen.

## Konfigurieren der ersten Verbindung durch einen Client für die automatische Registrierung
<a name="configure-auto-reg-first-connect"></a>

Wenn ein Client zum ersten Mal versucht, eine Verbindung herzustellen, muss das mit Ihrem CA-Zertifikat signierte Client-Zertifikat während des Transport Layer Security (TLS) -Handshakes auf dem Client vorhanden sein. AWS IoT 

Wenn der Client eine Verbindung herstellt AWS IoT, verwenden Sie das Client-Zertifikat, das Sie unter [AWS IoT Client-Zertifikate erstellen](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-create.html) oder [Eigene Client-Zertifikate erstellen](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html) erstellt haben. AWS IoT erkennt das CA-Zertifikat als registriertes CA-Zertifikat, registriert das Client-Zertifikat und setzt seinen Status auf`PENDING_ACTIVATION`. Das bedeutet, dass das Clientzertifikat automatisch registriert wurde und auf die Aktivierung wartet. Das Clientzertifikat muss den Status `ACTIVE` aufweisen, damit es zur Verbindung mit AWS IoT verwendet werden kann. Informationen zur Aktivierung eines Clientzertifikats finden Sie unter [Aktivieren oder Deaktivieren eines Clientzertifikats](activate-or-deactivate-device-cert.md).

**Anmerkung**  
Sie können Geräte mithilfe der AWS IoT Core just-in-time Registrierungsfunktion (JITR) bereitstellen, ohne die gesamte Vertrauenskette bei der ersten Verbindung der Geräte an senden zu müssen. AWS IoT Core Die Vorlage des CA-Zertifikats ist optional, aber das Gerät muss die [Server Name Indication (SNI)](https://datatracker.ietf.org/doc/html/rfc3546#section-3.1) senden, wenn es eine Verbindung herstellt.

Wenn ein Zertifikat AWS IoT automatisch registriert wird oder wenn ein Client ein Zertifikat im `PENDING_ACTIVATION` Status präsentiert, wird eine Nachricht zum folgenden MQTT-Thema AWS IoT veröffentlicht:

`$aws/events/certificates/registered/caCertificateId`

Dabei ist `caCertificateId` die ID des CA-Zertifikats, das das Gerätezertifikat ausgestellt hat.

Die im Topic veröffentlichte Nachricht weist die folgende Struktur auf:

```
{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}
```

Sie können eine Regel zum Beobachten dieses Topics und Ausführen bestimmter Aktionen erstellen. Wir empfehlen, eine Lambda-Regel zu erstellen, mit der sichergestellt wird, dass sich das Clientzertifikat nicht auf einer Zertifikataufhebungsliste (Certificate Revocation List, CRL) befindet, und mit der das Zertifikat aktiviert und eine Richtlinie erstellt und an das Zertifikat angefügt wird. Die Richtlinie bestimmt, auf welche Ressourcen der Client zugreifen kann. Wenn die Richtlinie, die Sie erstellen, die Client-ID von den Verbindungsgeräten benötigt, können Sie die Client-ID () -Funktion der Regel verwenden, um die Client-ID abzurufen. Ein Beispiel für eine Regeldefinition kann wie folgt aussehen:

```
SELECT *,
   clientid() as clientid
from $aws/events/certificates/registered/caCertificateId
```

In diesem Beispiel abonniert die Regel das JITR-Thema `$aws/events/certificates/registered/caCertificateID` und verwendet die Funktion clientid (), um die Client-ID abzurufen. Die Regel hängt dann die Client-ID an die JITR-Nutzlast an. [Weitere Hinweise zur clientid () -Funktion der Regel finden Sie unter clientid ().](https://docs.aws.amazon.com//iot/latest/developerguide/iot-sql-functions.html#iot-sql-function-clientid)

Weitere Informationen zum Erstellen einer Lambda-Regel, die das `$aws/events/certificates/registered/caCertificateID` Thema überwacht und diese Aktionen ausführt, finden Sie unter [just-in-time Registrierung von Client-Zertifikaten](https://aws.amazon.com/blogs/iot/just-in-time-registration-of-device-certificates-on-aws-iot/) am. AWS IoT

Wenn bei der automatischen Registrierung der Client-Zertifikate ein Fehler oder eine Ausnahme auftritt, AWS IoT sendet es Ereignisse oder Meldungen an Ihre Logs in CloudWatch Logs. Weitere Informationen zur Einrichtung der Logs für Ihr Konto finden Sie in der [ CloudWatch Amazon-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/).