

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Serverauthentifizierung
<a name="server-authentication"></a>

Wenn Ihr Gerät oder ein anderer Client versucht, eine Verbindung herzustellen AWS IoT Core, sendet der AWS IoT Core Server ein X.509-Zertifikat, das Ihr Gerät zur Authentifizierung des Servers verwendet. Die Authentifizierung erfolgt auf der TLS-Ebene durch die Validierung der [X.509-Zertifikatskette](x509-client-certs.md). Dies ist dieselbe Methode, die Ihr Browser verwendet, wenn Sie eine HTTPS-URL besuchen. Informationen zum Verwenden von Zertifikaten von Ihrer eigenen Zertifizierungsstelle finden Sie unter [Verwalten eigener CA-Zertifikate](manage-your-CA-certs.md).

Wenn Ihre Geräte oder andere Clients eine TLS-Verbindung zu einem AWS IoT Core Endpunkt aufbauen, wird eine Zertifikatskette AWS IoT Core angezeigt, anhand derer die Geräte überprüfen, ob sie mit einem anderen Server kommunizieren AWS IoT Core und nicht, der sich als ein anderer Server ausgibt. AWS IoT Core Welche Kette angezeigt wird, hängt von einer Kombination aus dem Endpunkttyp, zu dem das Gerät eine Verbindung herstellt, und der [Cipher Suite](transport-security.md) ab, die der Client und die während des TLS-Handshakes AWS IoT Core ausgehandelt haben.

## Endpunkttypen
<a name="endpoint-types"></a>

AWS IoT Core unterstützt. `iot:Data-ATS` `iot:Data-ATS`Endgeräte legen ein Serverzertifikat vor, das von einer [Amazon Trust Services-Zertifizierungsstelle](https://www.amazontrust.com/repository/) signiert wurde.

Zertifikate, die von ATS-Endpunkten vorgewiesen werden, sind von Starfield gegensigniert. Einige TLS-Client-Implementierungen erfordern die Überprüfung der Vertrauenswürdigkeit und die Installation der Starfield CA-Zertifikate in den Vertrauensspeichern des Clients.

**Warnung**  
Die Verwendung einer Zertifikat-Pinning-Methode, die das gesamte Zertifikat (einschließlich des Ausstellernamens usw.) hasht, wird nicht empfohlen, da dies zum Scheitern der Zertifikatsprüfung führt, da die von uns bereitgestellten ATS-Zertifikate von Starfield gegensigniert sind und einen anderen Ausstellernamen haben.

**Wichtig**  
Verwenden Sie `iot:Data-ATS` Endpunkte. Zertifikate von Symantec und Verisign sind veraltet und werden von nicht mehr unterstützt. AWS IoT Core

Sie können den Befehl `describe-endpoint` verwenden, um Ihren ATS-Endpunkt zu erstellen.

```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```

Der Befehl `describe-endpoint` gibt einen Endpunkt im folgenden Format zurück.

```
account-specific-prefix.iot.your-region.amazonaws.com
```

**Anmerkung**  
Beim ersten Aufruf von `describe-endpoint` wird ein Endpunkt erstellt. Alle nachfolgenden Aufrufe von `describe-endpoint` geben den gleichen Endpunkt zurück.

**Anmerkung**  
**Um Ihren `iot:Data-ATS` Endpunkt in der Konsole zu sehen, wählen Sie Einstellungen AWS IoT Core .** Die Konsole zeigt nur den `iot:Data-ATS`-Endpunkt an.

### Erstellen eines `IotDataPlaneClient` mit dem AWS SDK for Java
<a name="java-client"></a>

Um eine zu erstellen`IotDataPlaneClient`, die einen `iot:Data-ATS` Endpunkt verwendet, müssen Sie wie folgt vorgehen. 
+ Erstellen Sie mithilfe der [DescribeEndpoint](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeEndpoint.html)API einen `iot:Data-ATS` Endpunkt.
+ Geben Sie diesen Endpunkt an, wenn Sie den `IotDataPlaneClient` erstellen.

Im folgenden Beispiel werden beide Operationen ausgeführt.

```
public void setup() throws Exception {
        IotClient client = IotClient.builder().credentialsProvider(CREDENTIALS_PROVIDER_CHAIN).region(Region.US_EAST_1).build();
        String endpoint = client.describeEndpoint(r -> r.endpointType("iot:Data-ATS")).endpointAddress();
        iot = IotDataPlaneClient.builder()
                                .credentialsProvider(CREDENTIALS_PROVIDER_CHAIN)
                                .endpointOverride(URI.create("https://" + endpoint))
                                .region(Region.US_EAST_1)
                                .build();
}
```

## CA-Zertifikate für die Serverauthentifizierung
<a name="server-authentication-certs"></a>

Je nachdem, welchen Typ von Datenendpunkt Sie verwenden und welche Verschlüsselungssuite Sie ausgehandelt haben, werden AWS IoT Core Serverauthentifizierungszertifikate mit einem der folgenden Root-CA-Zertifikate signiert:

**Amazon Trust Services-Endpunkte (bevorzugt)**

**Anmerkung**  
Möglicherweise müssen Sie mit der rechten Maustaste auf diese Links klicken und **Link speichern unter...** auswählen, um diese Zertifikate als Dateien zu speichern.
+ RSA 2048-Bit-Schlüssel: [https://www.amazontrust.com/repository/AmazonRootCA1.pem](https://www.amazontrust.com/repository/AmazonRootCA1.pem).
+ RSA 4096-Bit-Schlüssel: Amazon Root CA 2. Für die spätere Verwendung reserviert.
+ ECC-256-Bit-Schlüssel: [https://www.amazontrust.com/repository/AmazonRootCA3.pem](https://www.amazontrust.com/repository/AmazonRootCA3.pem).
+ ECC-384-Bit-Schlüssel: Amazon Root CA 4. Für die spätere Verwendung reserviert.

Diese Zertifikate werden alle durch das [Starfield Root CA-Zertifikat](https://www.amazontrust.com/repository/SFSRootCAG2.pem) signiert. Alle neuen AWS IoT Core Regionen, beginnend mit der Markteinführung von AWS IoT Core in der Region Asien-Pazifik (Mumbai) am 9. Mai 2018, bieten ausschließlich ATS-Zertifikate an.

**VeriSign Endgeräte (veraltet)**
+ RSA 2048-Bit-Schlüssel: [Öffentliches primäres G5-Root-CA-Zertifikat der VeriSign Klasse 3](https://www.digicert.com/kb/digicert-root-certificates.htm)

## Richtlinien für die Serverauthentifizierung
<a name="server-authentication-guidelines"></a>

Es gibt viele Variablen, die die Fähigkeit eines Geräts zur Überprüfung des AWS IoT Core -Server-Authentifizierungszertifikats beeinflussen können. So können beispielsweise Geräte zu speicherbeschränkt sein, um alle möglichen Root-CA-Zertifikate aufzunehmen, oder Geräte können eine nicht standardmäßige Methode der Zertifikatsvalidierung implementieren. Aus diesen Gründen empfehlen wir, diese Richtlinien zu befolgen:
+ Wir empfehlen, dass Sie Ihren ATS-Endpunkt verwenden und alle unterstützten Amazon Root CA-Zertifikate installieren.
+ Wenn Sie nicht alle diese Zertifikate auf Ihrem Gerät speichern können und wenn Ihre Geräte keine ECC-basierte Validierung verwenden, können Sie die ECC-Zertifikate [https://www.amazontrust.com/repository/AmazonRootCA3.pem](https://www.amazontrust.com/repository/AmazonRootCA3.pem) und [https://www.amazontrust.com/repository/AmazonRootCA4.pem](https://www.amazontrust.com/repository/AmazonRootCA4.pem) weglassen. Wenn Ihre Geräte keine RSA-basierte Zertifikatsvalidierung implementieren, können Sie die RSA-Zertifikate [https://www.amazontrust.com/repository/AmazonRootCA1.pem](https://www.amazontrust.com/repository/AmazonRootCA1.pem) und [https://www.amazontrust.com/repository/AmazonRootCA2.pem](https://www.amazontrust.com/repository/AmazonRootCA2.pem) weglassen. Möglicherweise müssen Sie mit der rechten Maustaste auf diese Links klicken und **Link speichern unter...** auswählen, um diese Zertifikate als Dateien zu speichern.
+ Wenn bei der Verbindung mit Ihrem ATS-Endpunkt Probleme bei der Validierung von Serverzertifikaten auftreten, versuchen Sie, das entsprechende signierte Amazon Root CA-Zertifikat in Ihrem Vertrauensspeicher hinzuzufügen. Möglicherweise müssen Sie mit der rechten Maustaste auf diese Links klicken und **Link speichern unter...** auswählen, um diese Zertifikate als Dateien zu speichern.
  + [Gegensigniertes Amazon Root CA 1](https://www.amazontrust.com/repository/G2-RootCA1.pem)
  + [Gegensigniertes Amazon Root CA 2](https://www.amazontrust.com/repository/G2-RootCA2.pem): Für die spätere Verwendung reserviert.
  + [Gegensigniertes Amazon Root CA 3](https://www.amazontrust.com/repository/G2-RootCA3.pem)
  + [Gegensigniertes Amazon Root CA 4: Für die spätere Verwendung reserviert.](https://www.amazontrust.com/repository/G2-RootCA4.pem)
+ Wenn bei der Validierung von Serverzertifikaten Probleme auftreten, muss Ihr Gerät möglicherweise explizit der Stammzertifizierungsstelle vertrauen. Versuchen Sie, das [https://www.amazontrust.com/repository/SFSRootCAG2.pem](https://www.amazontrust.com/repository/SFSRootCAG2.pem) zu Ihrem Trust Store hinzuzufügen.
+ Wenn nach der Ausführung der obigen Schritte immer noch Probleme auftreten, wenden Sie sich bitte an den [AWS -Developer Support](https://aws.amazon.com/premiumsupport/plans/developers/). 

**Anmerkung**  
CA-Zertifikate haben ein Ablaufdatum, nach dem sie nicht mehr zur Validierung eines Serverzertifikats verwendet werden können. Es kann sein, dass CA-Zertifikate vor ihrem Ablaufdatum ersetzt werden müssen. Stellen Sie sicher, dass Sie die CA-Stammzertifikate auf all Ihren Geräten oder Clients aktualisieren können, um eine ununterbrochene Verbindung sicherzustellen und bei bewährten Sicherheitsmethoden stets auf dem aktuellen Stand zu sein.

**Anmerkung**  
Wenn Sie AWS IoT Core in Ihrem Gerätecode eine Verbindung herstellen, übergeben Sie das Zertifikat an die API, die Sie für die Verbindung verwenden. Die von Ihnen verwendete API hängt vom SDK ab. Weitere Informationen finden Sie unter [AWS IoT Core Gerät SDKs](iot-sdks.md).