Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Autenticación del cliente
<a name="client-authentication"></a>

AWS IoT admite tres tipos de principios de identidad para la autenticación de dispositivos o clientes:
+ [Certificados de cliente X.509](x509-client-certs.md)
+ [Usuarios, grupos y roles de IAM](iam-users-groups-roles.md)
+ [Identidades de Amazon Cognito](cognito-identities.md)

Estas identidades se pueden usar con dispositivos, aplicaciones móviles, web o de escritorio. Incluso los puede usar un usuario que escribe AWS IoT comandos de la interfaz de línea de comandos (CLI). Por lo general, AWS IoT los dispositivos utilizan certificados X.509, mientras que las aplicaciones móviles utilizan las identidades de Amazon Cognito. Las aplicaciones web y de escritorio usan identidades federadas o de IAM. Los comandos de la AWS CLI utilizan IAM. Para obtener más información acerca de las identidades de IAM, consulte [Gestión de identidad y acceso para AWS IoT](security-iam.md).

# Certificados de cliente X.509
<a name="x509-client-certs"></a>

Los certificados X.509 permiten AWS IoT autenticar las conexiones de clientes y dispositivos. Los certificados de cliente deben estar registrados AWS IoT antes de que un cliente pueda comunicarse con ellos. AWS IoT Un certificado de cliente se puede registrar en varios Cuenta de AWS s de la misma región Región de AWS para facilitar el traslado de dispositivos entre Cuenta de AWS los de la misma región. Para obtener más información, consulte [Uso de certificados de cliente X.509 en varios Cuenta de AWS s con registro de varias cuentas](#multiple-account-cert). 

Se recomienda que cada dispositivo o cliente reciba un certificado único para permitir acciones de administración de clientes precisas, incluida la revocación de certificados. Los dispositivos y los clientes deben ser compatibles con la rotación y la sustitución de certificados para garantizar un buen funcionamiento cuando los certificados caduquen.

Para obtener más información sobre el uso de certificados X.509 con el fin de admitir más de unos pocos dispositivos, consulte [Aprovisionamiento de dispositivos](iot-provision.md) para revisar las distintas opciones de aprovisionamiento y administración de certificados que admite AWS IoT .

**AWS IoT admite los siguientes tipos de certificados de cliente X.509:**
+  Certificados X.509 generados por AWS IoT
+  Certificados X.509 firmados por una entidad emisora de certificados registrada en. AWS IoT
+  Certificados X.509 firmados por una entidad de certificación que no está registrada con AWS IoT.

En esta sección se describe cómo administrar certificados X.509 en AWS IoT. Puede utilizar la AWS IoT consola o AWS CLI realizar las siguientes operaciones de certificación:
+ [Cree certificados de AWS IoT cliente](device-certs-create.md)
+ [Creación de sus propios certificados de cliente](device-certs-your-own.md)
+ [Registrar un certificado de cliente](register-device-cert.md)
+ [Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md)
+ [Revocar un certificado de cliente](revoke-ca-cert.md)

Para obtener más información sobre los AWS CLI comandos que realizan estas operaciones, consulte la [referencia de AWS IoT CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/index.html).

## Uso de certificados de cliente X.509
<a name="x509-client-cert-basics"></a>

Los certificados X.509 autentican las conexiones de clientes y dispositivos a. AWS IoT Los certificados X.509 ofrecen varios beneficios con respecto a otros mecanismos de identificación y autenticación. Los certificados X.509 permiten usar claves asimétricas con los dispositivos. Por ejemplo, podría forzar claves privadas en un almacenamiento seguro en un dispositivo para que el material criptográfico confidencial nunca salga del dispositivo. Los certificados X.509 proporcionan una autenticación del cliente más fiable que los otros sistemas, como el nombre de usuario y la contraseña o los tokens de portador, ya que la clave privada jamás abandona el dispositivo.

AWS IoT autentica los certificados de cliente mediante el modo de autenticación de cliente del protocolo TLS. La compatibilidad con TLS está disponible en numerosos lenguajes de programación y sistemas operativos, y se utiliza generalmente para cifrar datos. En la autenticación de clientes TLS, AWS IoT solicita un certificado de cliente X.509 y valida el estado del certificado y lo Cuenta de AWS compara con un registro de certificados. A continuación, pide al cliente que demuestre que es propietario de la clave privada que corresponde a la clave pública contenida en el certificado. AWS IoT exige que los clientes envíen la [extensión de indicación del nombre del servidor (SNI)](https://tools.ietf.org/html/rfc3546#section-3.1) al protocolo Transport Layer Security (TLS). Para obtener más información sobre la configuración de la extensión SNI, consulte [Seguridad del transporte en AWS IoT Core](transport-security.md).

Para facilitar una conexión segura y coherente del cliente con el AWS IoT núcleo, un certificado de cliente X.509 debe tener lo siguiente:
+ Registrado en AWS IoT Core. Para obtener más información, consulte [Registrar un certificado de cliente](register-device-cert.md).
+ Tener un estado `ACTIVE`. Para obtener más información, consulte [Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md).
+ No haber alcanzado aún la fecha de caducidad del certificado.

Puede crear certificados de cliente que utilicen la entidad de certificación Amazon Root y puede utilizar sus propios certificados de cliente firmados por otra entidad de certificación (CA). Para obtener más información sobre el uso de la AWS IoT consola para crear certificados que usen la CA raíz de Amazon, consulte[Cree certificados de AWS IoT cliente](device-certs-create.md). Para obtener más información sobre el uso de sus propios certificados X.509, consulte [Creación de sus propios certificados de cliente](device-certs-your-own.md).

La fecha y hora de caducidad de los certificados firmados por un certificado de entidad de certificación se establecen en el momento de su creación. Los certificados X.509 generados por AWS IoT vencen a medianoche (UTC) del 31 de diciembre de 2049 (2049-12-31T 23:59:59 Z).

AWS IoT Device Defender puede realizar auditorías en sus dispositivos Cuenta de AWS y en sus dispositivos, de acuerdo con las mejores prácticas comunes de seguridad de IoT. Esto incluye administrar las fechas de caducidad de los certificados X.509 firmados por su entidad de certificación o la entidad de certificación de Amazon Root. Para obtener más información sobre la administración de la fecha de vencimiento de un certificado, consulte [El certificado de dispositivo está caducando](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-approaching-expiration.html) y [El certificado de entidad de certificación está caducando](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-ca-cert-approaching-expiration.html).

En el AWS IoT blog oficial, se profundiza en la gestión de la rotación de certificados de dispositivos y las mejores prácticas de seguridad en [Cómo gestionar la rotación de certificados de dispositivos de IoT mediante el uso AWS IoT](https://aws.amazon.com/blogs/iot/how-to-manage-iot-device-certificate-rotation-using-aws-iot/).

## Uso de certificados de cliente X.509 en varios Cuenta de AWS s con registro de varias cuentas
<a name="multiple-account-cert"></a>

El registro de varias cuentas permite mover dispositivos entre sus Cuenta de AWS en la misma región o en regiones diferentes. Puede registrar, probar y configurar un dispositivo en una cuenta de preproducción y, a continuación, registrar y utilizar el mismo dispositivo y certificado de dispositivo en una cuenta de producción. También puede registrar el certificado de cliente en el dispositivo o los certificados del dispositivo sin una CA en la que esté registrada. AWS IoT Para obtener más información, consulte [Registrar un certificado de cliente firmado por una entidad de certificación no registrada (CLI)](manual-cert-registration.md#manual-cert-registration-noca-cli).

**nota**  
Los certificados utilizados para el registro de varias cuentas son compatibles con los tipos de puntos de conexión `iot:Data-ATS`, `iot:Data` (heredados), `iot:Jobs` y `iot:CredentialProvider`. Para obtener más información sobre los puntos finales de los AWS IoT dispositivos, consulte[AWS IoT datos del dispositivo y puntos finales de servicio](iot-connect-devices.md#iot-connect-device-endpoints).

Los dispositivos que utilizan el registro de varias cuentas deben enviar la [extensión de indicación del nombre del servidor (SNI)](https://tools.ietf.org/html/rfc3546#section-3.1) al protocolo Transport Layer Security (TLS) y proporcionar la dirección completa del punto final en el `host_name` campo cuando se conecten a. AWS IoT AWS IoT utiliza la dirección del punto final `host_name` para enrutar la conexión a la cuenta correcta. AWS IoT Los dispositivos existentes que no envíen una dirección de punto de conexión válida en `host_name` seguirán funcionando, pero no podrán utilizar las características que requiere esta información. Para obtener más información acerca de la extensión SNI y para aprender a identificar la dirección del punto de conexión del campo `host_name`, consulte [Seguridad del transporte en AWS IoT Core](transport-security.md). 

**Para utilizar el registro de varias cuentas**

1. Puede registrar los certificados de dispositivo con una entidad de certificación. Puede registrar la CA emisora de certificados en varias cuentas en modo `SNI_ONLY` y utilizar esa entidad de certificación para registrar el mismo certificado de cliente en varias cuentas. Para obtener más información, consulte [Registro de un certificado de entidad de certificación en modo SNI\$1ONLY (CLI) - Recomendado](manage-your-CA-certs.md#register-CA-cert-SNI-cli).

1. Puede registrar los certificados de dispositivo sin una entidad de certificación. Consulte [Registro de un certificado de cliente firmado por una entidad de certificación no registrada (CLI)](manual-cert-registration.md#manual-cert-registration-noca-cli). El registro de una entidad de certificación es opcional. No es necesario que registre la CA con la que firmó los certificados del dispositivo AWS IoT.

## Los algoritmos de firma de certificados son compatibles con AWS IoT
<a name="x509-cert-algorithms"></a>

AWS IoT admite los siguientes algoritmos de firma de certificados:
+ SHA256CON RSA
+ SHA384CON RSA
+ SHA512CON RSA
+ SHA256WITHRSAANDMGF1 (RSASSA-PSS)
+ SHA384WITHRSAANDMGF1 (RSASSA-PSS)
+ SHA512WITHRSAANDMGF1 (RSASSA-PSS)
+ DSA\$1WITH\$1 SHA256
+ ECDSA-CON- SHA256
+ ECDSA-CON- SHA384
+ ECDSA-CON- SHA512

Para obtener más información acerca de la autenticación y la seguridad de los certificados, consulte [Calidad de la clave del certificado del dispositivoy](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-key-quality.html).

**nota**  
La solicitud de firma de certificado (CSR) debe incluir una clave pública. Puede tratarse de una clave RSA con una longitud de al menos 2048 bits o una clave ECC de curvas NIST P-256, NIST P-384 o NIST P-521. Para obtener más información, consulte [CreateCertificateFromCsr](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateCertificateFromCsr.html) en la *Guía de referencia de la API de AWS IoT *.

## Algoritmos clave compatibles con AWS IoT
<a name="x509-cert-key-algorithms"></a>

En la siguiente tabla se muestra cómo se admiten los algoritmos de clave:


****  

| Algoritmo clave | Algoritmo de firma de certificados | Versión de TLS | ¿Se admite? Yes o No | 
| --- | --- | --- | --- | 
| RSA con un tamaño de clave de al menos 2048 bits | Todos | TLS 1.2 y TLS 1.3 | Sí | 
| ECC NIST P-256/P-384/P-521 | Todos | TLS 1.2 y TLS 1.3 | Sí | 
| RSA-PSS con un tamaño de clave de al menos 2048 bits | Todos | TLS 1.2 | No | 
| RSA-PSS con un tamaño de clave de al menos 2048 bits | Todos | TLS 1.3 | Sí | 

Para crear un certificado mediante la [CreateCertificateFromCSR](https://docs.aws.amazon.com//iot/latest/apireference/API_CreateCertificateFromCsr.html), puede utilizar un algoritmo de clave compatible para generar una clave pública para su CSR. Para registrar su propio certificado mediante [RegisterCertificate](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificate.html)una [RegisterCertificateWithoutCA](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificateWithoutCA.html), puede utilizar un algoritmo de clave compatible para generar una clave pública para el certificado.

Para obtener más información, consulte [Security policies](https://docs.aws.amazon.com//iot/latest/developerguide/transport-security.html#tls-policy-table).

# Cree certificados de AWS IoT cliente
<a name="device-certs-create"></a>

AWS IoT proporciona certificados de cliente firmados por la autoridad de certificación (CA) raíz de Amazon.

En este tema se describe cómo crear un certificado de cliente firmado por la entidad de certificación Amazon Root y descargar los archivos de certificado. Después de crear los archivos de certificado de cliente, debe instalarlos en el cliente.

**nota**  
Cada certificado de cliente X.509 proporcionado por él AWS IoT contiene los atributos de emisor y sujeto que usted estableció en el momento de la creación del certificado. Los atributos del certificado solo son inmutables una vez creado el certificado.

Puede usar la AWS IoT consola o la AWS CLI para crear un AWS IoT certificado firmado por la autoridad de certificación raíz de Amazon.

## Cree un AWS IoT certificado (consola)
<a name="device-certs-create-console"></a>

**Para crear un AWS IoT certificado mediante la AWS IoT consola**

1. Inicie sesión en la [AWS IoT consola Consola de administración de AWS y ábrala](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación, elija **Seguridad**, **Certificados** y, a continuación, elija **Crear**.

1. Elija **One-click certificate creation (recommended) [Creación de un certificado con un clic (recomendado)]** - **Create certificate (Crear certificado)**.

1. En la página **Certificado creado**, descargue los archivos de certificado del cliente para el objeto, la clave pública y la clave privada en una ubicación segura. Estos certificados generados por solo AWS IoT están disponibles para su uso con AWS IoT los servicios.

   Si necesita además el archivo de certificado de entidad de certificación de Amazon Root, esta página también tiene el enlace a la página desde la que puede descargarlo.

1. Ahora se ha creado y registrado un certificado de cliente con AWS IoT. Debe activar el certificado antes de usarlo en un cliente.

    Elija **Activar** para activar el certificado de cliente ahora. Si no desea activar el certificado ahora, consulte [Activar un certificado de cliente (consola)](activate-or-deactivate-device-cert.md#activate-device-cert-console) para saber cómo activarlo más adelante.

   

1. Si desea asociar una política al certificado, elija **Asociar una política**.

   Si no desea asociar una política ahora, elija **Hecho** para finalizar. Puede asociar una política más adelante.

Después de completar el procedimiento, instale los archivos de certificado en el cliente.

## Crear un AWS IoT certificado (CLI)
<a name="device-certs-create-cli"></a>

 AWS CLI Proporciona el **[create-keys-and-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/create-keys-and-certificate.html)** comando para crear certificados de cliente firmados por la autoridad de certificación raíz de Amazon. No obstante, este comando no descarga el archivo de certificado de entidad de certificación de Amazon Root. Puede descargar el archivo de certificado de entidad de certificación de Amazon Root desde [Certificados de entidad de certificación para autenticación de servidor](server-authentication.md#server-authentication-certs). 

Este comando crea archivos de claves privadas, claves públicas y certificados X.509, y registra y activa el certificado con AWS IoT ellos.

```
aws iot create-keys-and-certificate \
    --set-as-active \
    --certificate-pem-outfile certificate_filename.pem \
    --public-key-outfile public_filename.key \
    --private-key-outfile private_filename.key
```

Si no desea activar el certificado al crearlo y registrarlo, este comando crea archivos de clave privada, clave pública y certificado X.509 y registra el certificado, pero no lo activa. [Activar un certificado de cliente (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) describe cómo activar el certificado más adelante.

```
aws iot create-keys-and-certificate \
    --no-set-as-active \
    --certificate-pem-outfile certificate_filename.pem \
    --public-key-outfile public_filename.key \
    --private-key-outfile private_filename.key
```



Instale los archivos de certificado en el cliente.

# Creación de sus propios certificados de cliente
<a name="device-certs-your-own"></a>

AWS IoT admite certificados de cliente firmados por cualquier autoridad de certificación (CA) raíz o intermedia. AWS IoT utiliza los certificados de CA para comprobar la propiedad de los certificados. Para utilizar certificados de dispositivo firmados por una entidad emisora de certificados que no sea la entidad de certificación de Amazon, el certificado de la entidad emisora debe estar registrado en ella AWS IoT para que podamos comprobar la propiedad del certificado del dispositivo.

AWS IoT admite varias formas de traer tus propios certificados (BYOC): 
+ En primer lugar, registre la entidad de certificación que se utiliza para firmar los certificados de los clientes y, a continuación, registre los certificados de los clientes por separado. Si desea registrar el dispositivo o el cliente en su certificado de cliente cuando se conecte por primera vez AWS IoT (también conocido como [aprovisionamiento justo a tiempo](https://docs.aws.amazon.com//iot/latest/developerguide/jit-provisioning.html)), debe registrar la CA firmante AWS IoT y activar el registro automático.
+ Si no puede registrar la CA emisora de certificados, puede optar por registrar los certificados de cliente sin la CA. En el caso de los dispositivos registrados sin una CA, tendrá que presentar la [indicación de nombre del servidor (SNI)](https://www.rfc-editor.org/rfc/rfc3546#section-3.1) al conectarlos a AWS IoT.

**nota**  
Para registrar los certificados de cliente mediante una CA, debe registrar la CA firmante y no con ninguna otra AWS IoT CAs entidad jerárquica.

**nota**  
Un certificado de entidad de certificación se puede registrar en modo `DEFAULT` solo mediante una cuenta en una región. Un certificado de entidad de certificación se puede registrar en modo `SNI_ONLY` mediante varias cuentas en una región. 

Para obtener más información acerca del uso de certificados X.509 con el fin de admitir más de unos pocos dispositivos, consulte [Aprovisionamiento de dispositivos](iot-provision.md) para revisar las diferentes opciones de administración y aprovisionamiento de certificados que admite AWS IoT .

**Topics**
+ [Administración de sus certificados de entidad de certificación](manage-your-CA-certs.md)
+ [Crear un certificado de cliente mediante el certificado de entidad de certificación](create-device-cert.md)

# Administración de sus certificados de entidad de certificación
<a name="manage-your-CA-certs"></a>

En esta sección se describen las tareas comunes para administrar sus propios certificados de entidad de certificación.

Puede registrar su entidad emisora de certificados (CA) AWS IoT si utiliza certificados de cliente firmados por una entidad emisora de certificados que AWS IoT no los reconoce.

Si desea que los clientes registren automáticamente sus certificados de cliente AWS IoT cuando se conecten por primera vez, la CA que firmó los certificados de cliente debe estar registrada AWS IoT. De lo contrario, no es necesario registrar el certificado de entidad de certificación que firmó los certificados de cliente.

**nota**  
Un certificado de entidad de certificación se puede registrar en modo `DEFAULT` solo mediante una cuenta en una región. Un certificado de entidad de certificación se puede registrar en modo `SNI_ONLY` mediante varias cuentas en una región.

**Topics**
+ [Creación de un certificado de entidad de certificación](#create-your-CA-cert)
+ [Registro del certificado CA](#register-CA-cert)
+ [Desactivar un certificado de entidad de certificación](#deactivate-ca-cert)

## Creación de un certificado de entidad de certificación
<a name="create-your-CA-cert"></a>

Si no dispone de certificado de entidad de certificación, puede crear uno con las herramientas de [OpenSSL v1.1.1i](https://www.openssl.org/).

**nota**  
No puede realizar este procedimiento en la AWS IoT consola.

**Para crear un certificado de entidad de certificación con las herramientas de [OpenSSL v1.1.1i](https://www.openssl.org/)**

1. Genere un par de claves.

   ```
   openssl genrsa -out root_CA_key_filename.key 2048
   ```

1. Utilice la clave privada del par de claves para generar un certificado de entidad de certificación.

   ```
   openssl req -x509 -new -nodes \
       -key root_CA_key_filename.key \
       -sha256 -days 1024 \
       -out root_CA_cert_filename.pem
   ```

## Registro del certificado CA
<a name="register-CA-cert"></a>

Estos procedimientos describen cómo registrar un certificado de una autoridad de certificación (CA) que no es la CA de Amazon. AWS IoT Core utiliza certificados de CA para verificar la propiedad de los certificados. Para usar certificados de dispositivo firmados por una CA que no sea la CA de Amazon, debes registrar el certificado de CA con el AWS IoT Core fin de comprobar la propiedad del certificado del dispositivo.

### Registro de un certificado de entidad de certificación (consola).
<a name="register-CA-cert-console"></a>

**nota**  
Para registrar un certificado de entidad de certificación en la consola, comience en la consola en [Registro de un certificado de entidad de certificación](https://console.aws.amazon.com//iot/home#/create/cacertificate). Puede registrar su entidad emisora de certificados en el modo multicuenta y sin necesidad de proporcionar un certificado de verificación ni de acceder a la clave privada. Una entidad emisora de certificados se puede registrar en el modo multicuenta mediante varias Cuentas de AWS en la misma Región de AWS. Puede registrar su entidad emisora de certificados en el modo de cuenta única proporcionando un certificado de verificación y una prueba de propiedad de la clave privada de la entidad emisora de certificados.

### Registro de un certificado de entidad de certificación (CLI)
<a name="register-CA-cert-cli"></a>

Puede registrar un certificado de entidad de certificación en el modo `DEFAULT` o el modo `SNI_ONLY`. Una CA se puede registrar en `DEFAULT` modo uno Cuenta de AWS a uno Región de AWS. Una CA se puede registrar en `SNI_ONLY` modo varias veces Cuentas de AWS en la misma modalidad Región de AWS. Para obtener más información acerca del modo de certificados de CA, consulte [certificateMode](https://docs.aws.amazon.com//iot/latest/apireference/API_CACertificateDescription.html#iot-Type-CACertificateDescription-certificateMode).

**nota**  
Se recomienda registrar una entidad emisora de certificados en el modo `SNI_ONLY`. No necesita proporcionar un certificado de verificación ni acceder a la clave privada, y puede registrar la CA varias veces Cuentas de AWS en la misma Región de AWS.

#### Registro de un certificado de entidad de certificación en modo SNI\$1ONLY (CLI) - Recomendado
<a name="register-CA-cert-SNI-cli"></a>

**Requisitos previos**

Asegúrese de que dispone de lo siguiente en el ordenador antes de continuar:
+ El archivo de certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como `root_CA_cert_filename.pem`).
+ [OpenSSL v1.1.1i](https://www.openssl.org/) o versiones posteriores.

**Para registrar un certificado de CA en `SNI_ONLY` modo mediante el AWS CLI**

1. Registre el certificado de CA con AWS IoT. Con el comando **register-ca-certificate**, introduzca el nombre del archivo del certificado de entidad de certificación. Para obtener más información, consulte [register-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) en la *Referencia de comandos de la AWS CLI *.

   ```
   aws iot register-ca-certificate \
       --ca-certificate file://root_CA_cert_filename.pem \
       --certificate-mode SNI_ONLY
   ```

   Si se ejecuta correctamente, este comando devuelve el*certificateId*.

1. En este momento, el certificado de CA se ha registrado AWS IoT pero está inactivo. El certificado de entidad de certificación debe estar activo antes de poder registrar los certificados de cliente firmados por él.

   Este paso activa el certificado de entidad de certificación.

   Para activar el certificado de entidad de certificación, utilice el comando **update-certificate** del modo siguiente. Para obtener más información, consulte [update-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) en la *Referencia de comandos de la AWS CLI *.

   ```
   aws iot update-ca-certificate \
       --certificate-id certificateId \
       --new-status ACTIVE
   ```

Utilice el comando **describe-ca-certificate** para ver el estado del certificado de entidad de certificación. Para obtener más información, consulte [describe-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) en la *Referencia de comandos de la AWS CLI *.

#### Registro de un certificado de entidad de certificación en modo `DEFAULT` (CLI)
<a name="register-CA-cert-default-cli"></a>

**Requisitos previos**

Asegúrese de que dispone de lo siguiente en el ordenador antes de continuar:
+ El archivo de certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como `root_CA_cert_filename.pem`).
+ El archivo de clave privada del certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como `root_CA_key_filename.key`).
+ [OpenSSL v1.1.1i](https://www.openssl.org/) o versiones posteriores.

**Para registrar un certificado de CA en `DEFAULT` modo mediante el AWS CLI**

1. Para obtener un código de registro AWS IoT, utilice**get-registration-code**. Guarde el `registrationCode` devuelto para usarlo como `Common Name` del certificado de verificación de clave privada. Para obtener más información, consulte [get-registration-code](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/get-registration-code.html) en la *Referencia de comandos de la AWS CLI *.

   ```
   aws iot get-registration-code
   ```

1. Genere un par de claves para el certificado de verificación de clave privada:

   ```
   openssl genrsa -out verification_cert_key_filename.key 2048
   ```

1. Cree una solicitud de firma de certificado (CSR) para el certificado de verificación de clave privada. Establezca el campo `Common Name` del certificado en el `registrationCode` devuelto por **get-registration-code**.

   ```
   openssl req -new \
       -key verification_cert_key_filename.key \
       -out verification_cert_csr_filename.csr
   ```

   Se le solicita información, incluido el `Common Name` del certificado.

   ```
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Country Name (2 letter code) [AU]:
       State or Province Name (full name) []:
       Locality Name (for example, city) []:
       Organization Name (for example, company) []:
       Organizational Unit Name (for example, section) []:
       Common Name (e.g. server FQDN or YOUR name) []:your_registration_code
       Email Address []:
   
       Please enter the following 'extra' attributes
       to be sent with your certificate request
       A challenge password []:
       An optional company name []:
   ```

1. Utilice la CSR para crear un certificado de verificación de la clave privada:

   ```
   openssl x509 -req \
       -in verification_cert_csr_filename.csr \
       -CA root_CA_cert_filename.pem \
       -CAkey root_CA_key_filename.key \
       -CAcreateserial \
       -out verification_cert_filename.pem \
       -days 500 -sha256
   ```

1. Registre el certificado de CA con AWS IoT. Pase el nombre de archivo del certificado de entidad de certificación y el nombre de archivo del certificado de verificación de clave privada al comando **register-ca-certificate**, tal como sigue: Para obtener más información, consulte [register-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) en la *Referencia de comandos de la AWS CLI *.

   ```
   aws iot register-ca-certificate \
       --ca-certificate file://root_CA_cert_filename.pem \
       --verification-cert file://verification_cert_filename.pem
   ```

   Este comando devuelve el*certificateId*, si tiene éxito.

1. En este momento, el certificado de CA se ha registrado AWS IoT pero no está activo. El certificado de entidad de certificación debe estar activo antes de poder registrar los certificados de cliente firmados por él.

   Este paso activa el certificado de entidad de certificación.

   Para activar el certificado de entidad de certificación, utilice el comando **update-certificate** del modo siguiente. Para obtener más información, consulte [update-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) en la *Referencia de comandos de la AWS CLI *.

   ```
   aws iot update-ca-certificate \
       --certificate-id certificateId \
       --new-status ACTIVE
   ```

Utilice el comando **describe-ca-certificate** para ver el estado del certificado de entidad de certificación. Para obtener más información, consulte [describe-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) en la *Referencia de comandos de la AWS CLI *.

### Creación un certificado de verificación de CA para registrarlo en la consola
<a name="create-CA-verification-cert"></a>

**nota**  
Este procedimiento solo se utiliza si va a registrar un certificado de CA desde la AWS IoT consola.  
Si no ha realizado este procedimiento desde la AWS IoT consola, inicie el proceso de registro del certificado de CA en la consola en [Registrar el certificado de CA](https://console.aws.amazon.com//iot/home#/create/cacertificate). 

Asegúrese de que dispone de lo siguiente en el mismo ordenador antes de continuar:
+ El archivo de certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como `root_CA_cert_filename.pem`).
+ El archivo de clave privada del certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como `root_CA_key_filename.key`).
+ [OpenSSL v1.1.1i](https://www.openssl.org/) o versiones posteriores.

**Para usar la interfaz de línea de comandos con el fin de crear un certificado de verificación de CA para registrar su certificado de entidad de certificación en la consola:**

1. Reemplace `verification_cert_key_filename.key` por el nombre del archivo de clave del certificado de verificación que quiera crear (por ejemplo, **verification\$1cert.key**). Luego ejecute este comando para generar un par de claves para el certificado de verificación de clave privada:

   ```
   openssl genrsa -out verification_cert_key_filename.key 2048
   ```

1. Reemplace `verification_cert_key_filename.key` por el nombre del archivo de clave que creó en el paso 1.

   Reemplace `verification_cert_csr_filename.csr` por el nombre del archivo de solicitud de firma de certificado (CSR) que quiera crear. Por ejemplo, **verification\$1cert.csr**.

   Ejecute el comando para crear el archivo CSR.

   ```
   openssl req -new \
       -key verification_cert_key_filename.key \
       -out verification_cert_csr_filename.csr
   ```

   El comando le solicita información adicional que se explica más adelante.

1. En la AWS IoT consola, en el contenedor del **certificado de verificación**, copie el código de registro.

1. La información que le solicita el comando **openssl** se muestra en el siguiente ejemplo. A excepción del campo `Common Name`, puede introducir sus propios valores o mantenerlos vacíos.

   En el campo `Common Name`, pegue el código de registro que copió en el paso anterior.

   ```
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Country Name (2 letter code) [AU]:
       State or Province Name (full name) []:
       Locality Name (for example, city) []:
       Organization Name (for example, company) []:
       Organizational Unit Name (for example, section) []:
       Common Name (e.g. server FQDN or YOUR name) []:your_registration_code
       Email Address []:
   
       Please enter the following 'extra' attributes
       to be sent with your certificate request
       A challenge password []:
       An optional company name []:
   ```

   Al terminar, el comando crea el archivo CSR.

1. Reemplace `verification_cert_csr_filename.csr` por el `verification_cert_csr_filename.csr` que utilizó en el paso anterior.

   Reemplace `root_CA_cert_filename.pem` por el nombre del archivo de del certificado de entidad de certificación que quiera registrar.

   Reemplace `root_CA_key_filename.key` por el nombre del archivo de clave privada del certificado de entidad de certificación.

   Reemplace `verification_cert_filename.pem` por el nombre del archivo de clave del certificado de verificación que quiera crear. Por ejemplo, **verification\$1cert.pem**.

   ```
   openssl x509 -req \
       -in verification_cert_csr_filename.csr \
       -CA root_CA_cert_filename.pem \
       -CAkey root_CA_key_filename.key \
       -CAcreateserial \
       -out verification_cert_filename.pem \
       -days 500 -sha256
   ```

1. Cuando se complete el comando OpenSSL, debería tener estos archivos listos para usarlos cuando regrese a la consola.
   + Su archivo de certificado de entidad de certificación (`root_CA_cert_filename.pem` utilizado en el comando anterior).
   + El certificado de verificación que creó en el paso anterior (*verification\$1cert\$1filename.pem*utilizado en el comando anterior)

## Desactivar un certificado de entidad de certificación
<a name="deactivate-ca-cert"></a>

Cuando un certificado de una entidad emisora de certificados (CA) está habilitado para el registro automático de certificados de cliente, AWS IoT comprueba el certificado de la CA para asegurarse de que la CA lo está`ACTIVE`. Si el certificado de CA lo está`INACTIVE`, AWS IoT no permite registrar el certificado de cliente.

Al establecer el certificado de entidad de certificación como `INACTIVE`, impide que los certificados de cliente nuevos emitidos por la entidad de certificación se registren automáticamente.

**nota**  
Todos los certificados de dispositivo registrados que haya firmado el certificado de entidad de certificación en riesgo siguen funcionando hasta que revoque explícitamente cada uno de ellos.

### Desactivar un certificado de entidad de certificación (consola)
<a name="deactivate-ca-cert-console"></a>

**Para desactivar un certificado de CA mediante la consola AWS IoT**

1. Inicie sesión en la [AWS IoT consola Consola de administración de AWS](https://console.aws.amazon.com/iot/home) y ábrala.

1. En el panel de navegación izquierdo, selecciona **Seguro** y elige **CAs**.

1. En la lista de autoridades de certificación, busque la que desea desactivar y elija el icono de los puntos suspensivos para abrir el menú de opciones.

1. En el menú de opciones, elija **Deactivate (Desactivar)**.

La entidad de certificación debe mostrarse como **Inactive (Inactiva)** en la lista.

**nota**  
La AWS IoT consola no proporciona una forma de enumerar los certificados firmados por la entidad emisora de certificados que ha desactivado. Para obtener una opción de AWS CLI para enumerar esos certificados, consulte [Desactivar un certificado de entidad de certificación (CLI)](#deactivate-ca-cert-cli).

### Desactivar un certificado de entidad de certificación (CLI)
<a name="deactivate-ca-cert-cli"></a>

 AWS CLI Proporciona el [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)comando para desactivar un certificado de CA.

```
aws iot update-ca-certificate \
    --certificate-id certificateId \
    --new-status INACTIVE
```

Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-certificates-by-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-certificates-by-ca.html) para obtener una lista de todos los certificados de cliente registrados firmados por la entidad de certificación especificada. Por cada certificado de cliente firmado por el certificado de entidad de certificación especificado, puede utilizar el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) para revocar el certificado de cliente y evitar que este se use.

Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) para ver el estado del certificado de entidad de certificación.

# Crear un certificado de cliente mediante el certificado de entidad de certificación
<a name="create-device-cert"></a>

Puede utilizar su propia entidad de certificación (CA) para crear certificados de cliente. El certificado de cliente debe estar registrado en él AWS IoT antes de usarlo. Para obtener información acerca de las opciones de registro de los certificados de cliente, consulte [Registrar un certificado de cliente](register-device-cert.md).

## Crear un certificado de cliente (CLI)
<a name="create-device-cert-cli"></a>

**nota**  
No puede realizar este procedimiento en la AWS IoT consola.

**Para crear un certificado de cliente mediante el AWS CLI**

1. Genere un par de claves.

   ```
   openssl genrsa -out device_cert_key_filename.key 2048
   ```

1. Cree una CSR para el certificado de cliente.

   ```
   openssl req -new \
       -key device_cert_key_filename.key \
       -out device_cert_csr_filename.csr
   ```

   Se le solicita que indique información, tal y como se muestra aquí:

   ```
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Country Name (2 letter code) [AU]:
       State or Province Name (full name) []:
       Locality Name (for example, city) []:
       Organization Name (for example, company) []:
       Organizational Unit Name (for example, section) []:
       Common Name (e.g. server FQDN or YOUR name) []:
       Email Address []:
   
       Please enter the following 'extra' attributes
       to be sent with your certificate request
       A challenge password []:
       An optional company name []:
   ```

1. Cree un certificado de cliente a partir de la CSR.

   ```
   openssl x509 -req \
       -in device_cert_csr_filename.csr \
       -CA root_CA_cert_filename.pem \
       -CAkey root_CA_key_filename.key \
       -CAcreateserial \
       -out device_cert_filename.pem \
       -days 500 -sha256
   ```

 En este momento, se ha creado el certificado de cliente, pero aún no se ha registrado en él AWS IoT. Para obtener información acerca de cómo y cuándo registrar el certificado de cliente, consulte [Registrar un certificado de cliente](register-device-cert.md). 

# Registrar un certificado de cliente
<a name="register-device-cert"></a>

Los certificados de cliente deben estar registrados AWS IoT para permitir las comunicaciones entre el cliente y AWS IoT. Puede registrar cada certificado de cliente manualmente o puede configurar los certificados de cliente para que se registren automáticamente cuando el cliente se conecte AWS IoT por primera vez.

 Si desea que los clientes y dispositivos registren sus certificados de cliente cuando se conecten por primera vez, debe usar [Registro del certificado CA](manage-your-CA-certs.md#register-CA-cert) para firmar el certificado de cliente con AWS IoT en las regiones en las que desea usarlo. La CA Amazon Root se registra automáticamente en AWS IoT. 

Los certificados de cliente se pueden compartir Cuentas de AWS entre distintas regiones. Los procedimientos de estos temas deben realizarse en cada cuenta y región en la que desee utilizar el certificado de cliente. El registro de un certificado de cliente en una cuenta o región no es reconocido automáticamente por otra.

**nota**  
Los clientes que utilizan el protocolo Transport Layer Security (TLS) para conectarse a AWS IoT deben admitir la [extensión de indicación de nombre de servidor (SNI)](https://tools.ietf.org/html/rfc3546#section-3.1) para TLS. Para obtener más información, consulte [Seguridad del transporte en AWS IoT Core](transport-security.md).

**Topics**
+ [Registrar manualmente un certificado de cliente](manual-cert-registration.md)
+ [Registre un certificado de cliente cuando el cliente se conecte al AWS IoT just-in-time registro (JITR)](auto-register-device-cert.md)

# Registrar manualmente un certificado de cliente
<a name="manual-cert-registration"></a>

Puede registrar un certificado de cliente manualmente mediante la AWS IoT consola y AWS CLI.

El procedimiento de registro que se utilice depende de si el certificado será compartido por Cuenta de AWS s y Regions. El registro de un certificado de cliente en una cuenta o región no es reconocido automáticamente por otra.

Los procedimientos de este tema deben realizarse en cada cuenta y región en la que desee utilizar el certificado de cliente. Los certificados de cliente se pueden compartir entre Cuenta de AWS sí y entre regiones. 

## Registro manual un certificado de cliente firmado por una entidad de certificación registrada (consola)
<a name="manual-cert-registration-console"></a>

**nota**  
Antes de realizar este procedimiento, asegúrese de tener el archivo.pem del certificado de cliente y de que el certificado de cliente ha sido firmado por una entidad emisora de certificados en la que se haya [registrado](manage-your-CA-certs.md#register-CA-cert). AWS IoT

**Para registrar un certificado existente AWS IoT mediante la consola**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación, en la sección **Administrar**, elija **Seguridad** y luego **Certificados**.

1. En la página **Certificados** del cuadro de diálogo **Certificados**, seleccione **Agregar certificado** y, a continuación, seleccione **Registrar certificados**.

1. En la página **Registrar certificado** del cuadro de diálogo **Certificados para cargar**, haga lo siguiente:
   + Seleccione **La CA está registrada en AWS IoT**.
   + En **Elija un certificado de CA**, seleccione su **autoridad de certificación**. 
     + Seleccione **Registrar una nueva CA** para registrar una nueva **autoridad de certificación** en la que no esté registrada en AWS IoT.
     + Deje en blanco la opción **Elija un certificado de CA** si su autoridad de certificación es la **autoridad de certificación Amazon Root**.
   + Seleccione un máximo de 10 certificados para cargarlos y registrarlos AWS IoT.
     + Utilice los archivos de certificado que creó en [Cree certificados de AWS IoT cliente](device-certs-create.md) y [Crear un certificado de cliente mediante el certificado de entidad de certificación](create-device-cert.md).
   + Elija **Activar** o **Desactivar**. Si selecciona **Desactivar**, [Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md) explica cómo activar el certificado después de registrarlo.
   + Elija **Registrar**.

En la página **Certificados** en el cuadro de diálogo **Certificados**, ahora aparecerán los certificados registrados.

## Registro manual un certificado de cliente firmado por una entidad de certificación no registrada (consola)
<a name="manual-cert-registration-console-noca"></a>

**nota**  
Antes de realizar este procedimiento, asegúrese de que tiene el archivo .pem del certificado de cliente.

**Para registrar un certificado existente AWS IoT mediante la consola**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación izquierdo, elija **Security (Seguridad)**, elija **Certificates (Certificados)** y, a continuación, elija **Crear**.

1. En **Crear un certificado**, busque la entrada **Usar mi certificado** y elija **Comenzar**.

1. En **Seleccionar una entidad de certificación**, elija **Siguiente**.

1.  En **Registrar certificados de dispositivo existentes**, elija **Seleccionar certificados** y seleccione hasta 10 archivos de certificado para registrar. 

1.  Después de cerrar el cuadro de diálogo de archivo, seleccione si desea activar o revocar los certificados de cliente cuando los registre.

   Si no activa un certificado cuando se registra, [Activar un certificado de cliente (consola)](activate-or-deactivate-device-cert.md#activate-device-cert-console) describe cómo activarlo más adelante. 

   Si un certificado se revoca cuando se registra, no se puede activar más tarde.

   Después de elegir los archivos de certificado que desea registrar y seleccionar las acciones que desea realizar después del registro, elija **Registrar certificados**.

Los certificados de cliente registrados correctamente aparecen en la lista de certificados.

## Registro de un certificado de cliente firmado por una entidad de certificación registrada (CLI)
<a name="manual-cert-registration-cli"></a>

**nota**  
Antes de realizar este procedimiento, asegúrese de que tiene el archivo .pem de la entidad de certificación y el archivo .pem del certificado de cliente. El certificado de cliente debe estar firmado por una entidad de certificación (CA) en la que se haya [registrado AWS IoT](manage-your-CA-certs.md#register-CA-cert).

Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html) para registrar, pero no activar, un certificado de cliente.

```
aws iot register-certificate \
    --certificate-pem file://device_cert_filename.pem \
    --ca-certificate-pem file://ca_cert_filename.pem
```

El certificado de cliente está registrado AWS IoT, pero aún no está activo. Consulte [Activar un certificado de cliente (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) para obtener más información sobre cómo activarlo más adelante.

También puede activar el certificado de cliente cuando lo registre utilizando este comando.

```
aws iot register-certificate \
    --set-as-active \
    --certificate-pem file://device_cert_filename.pem \
    --ca-certificate-pem file://ca_cert_filename.pem
```

Para obtener más información sobre cómo activar el certificado para poder usarlo como conexión AWS IoT, consulte [Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md)

## Registro de un certificado de cliente firmado por una entidad de certificación no registrada (CLI)
<a name="manual-cert-registration-noca-cli"></a>

**nota**  
Antes de llevar a cabo este procedimiento, asegúrese de que tiene el archivo .pem del certificado.

Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html) para registrar, pero no activar, un certificado de cliente.

```
aws iot register-certificate-without-ca \
    --certificate-pem file://device_cert_filename.pem
```

El certificado de cliente está registrado AWS IoT, pero aún no está activo. Consulte [Activar un certificado de cliente (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) para obtener más información sobre cómo activarlo más adelante.

También puede activar el certificado de cliente cuando lo registre utilizando este comando.

```
aws iot register-certificate-without-ca \
    --status ACTIVE \
    --certificate-pem file://device_cert_filename.pem
```

Para obtener más información sobre cómo activar el certificado para poder utilizarlo como conexión AWS IoT, consulte[Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md).

# Registre un certificado de cliente cuando el cliente se conecte al AWS IoT just-in-time registro (JITR)
<a name="auto-register-device-cert"></a>

Puede configurar un certificado de CA para permitir que los certificados de cliente con los que ha firmado se registren AWS IoT automáticamente la primera vez que el cliente se conecte. AWS IoT

Para registrar los certificados de cliente cuando un cliente se conecte AWS IoT por primera vez, debe habilitar el registro automático del certificado de CA y configurar la primera conexión del cliente para proporcionar los certificados necesarios.

## Configurar un certificado de entidad de certificación para admitir el registro automático (consola)
<a name="enable-auto-registration-console"></a>

**Para configurar un certificado de CA para que admita el registro automático de certificados de cliente mediante la AWS IoT consola**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación izquierdo, selecciona **Seguro** y elige **CAs**.

1. En la lista de entidades de certificación, busque aquella para la que desea habilitar el registro automático y abra el menú de opciones mediante el icono de puntos suspensivos.

1. En el menú de opciones, elija **Enable auto-registration (Habilitar registro automático)**.

**nota**  
El estado de registro automático no se muestra en la lista de entidades de certificación. Para ver el estado de registro automático de una entidad de certificación, debe abrir la página **Details (Detalles)** de la entidad de certificación.

## Configurar un certificado de entidad de certificación para admitir el registro automático (CLI)
<a name="enable-auto-registration-cli"></a>

Si ya ha registrado su certificado de CA AWS IoT, utilice el [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)comando para establecer el certificado `autoRegistrationStatus` de CA en`ENABLE`.

```
aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE
```

Si desea habilitar `autoRegistrationStatus` al registrar el certificado de entidad de certificación, utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html).

```
aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```

Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) para ver el estado del certificado de entidad de certificación.

## Configurar la primera conexión de un cliente para el registro automático
<a name="configure-auto-reg-first-connect"></a>

Cuando un cliente intenta conectarse AWS IoT por primera vez, el certificado de cliente firmado por su certificado de CA debe estar presente en el cliente durante el protocolo de enlace de Transport Layer Security (TLS).

Cuando el cliente se conecte AWS IoT, utilice el certificado de cliente que creó en [Crear certificados de AWS IoT cliente o Crear sus propios certificados](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-create.html) [de cliente](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html). AWS IoT reconoce el certificado de CA como un certificado de CA registrado, registra el certificado de cliente y establece su estado en`PENDING_ACTIVATION`. Esto significa que el certificado de cliente se registró automáticamente y que está a la espera de su activación. El estado del certificado de cliente debe ser `ACTIVE` antes de que se pueda usar para conectarse a AWS IoT. Consulte [Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md) para obtener información sobre la activación de un certificado de cliente.

**nota**  
Puede aprovisionar los dispositivos mediante la función de AWS IoT Core just-in-time registro (JITR) sin tener que enviar toda la cadena de confianza en el momento de la primera conexión de los dispositivos. AWS IoT Core La presentación del certificado de entidad de certificación es opcional, pero es necesario que el dispositivo envíe la [extensión Indicación del nombre del servidor (SNI)](https://datatracker.ietf.org/doc/html/rfc3546#section-3.1) cuando se conecte.

Cuando registra AWS IoT automáticamente un certificado o cuando un cliente presenta un certificado en ese `PENDING_ACTIVATION` estado, AWS IoT publica un mensaje sobre el siguiente tema de MQTT:

`$aws/events/certificates/registered/caCertificateId`

Donde `caCertificateId` es el ID del certificado de entidad de certificación que generó el certificado de cliente.

El mensaje publicado en este tema tiene la estructura siguiente:

```
{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}
```

Puede crear una regla que escuche este tema y realice algunas acciones. Le recomendamos crear una regla de Lambda que verifique que el certificado de cliente no se encuentre en una lista de revocación de certificados (CRL), active el certificado y cree una política y la asocie a este. La política determina a qué recursos puede tener acceso el cliente. Si la política que va a crear requiere el ID de cliente de los dispositivos que se conectan, puede utilizar la función clientid() de la regla para recuperar el ID de cliente. Un ejemplo de definición de regla sería el siguiente:

```
SELECT *,
   clientid() as clientid
from $aws/events/certificates/registered/caCertificateId
```

En este ejemplo, la regla se suscribe al tema de JITR `$aws/events/certificates/registered/caCertificateID` y utiliza la función clientid() para recuperar el ID de cliente. A continuación, la regla agrega el ID de cliente a la carga útil de JITR. Para obtener más información sobre la función clientid() de la regla, consulte [clientid()](https://docs.aws.amazon.com//iot/latest/developerguide/iot-sql-functions.html#iot-sql-function-clientid).

Para obtener más información sobre cómo crear una regla Lambda que escuche el `$aws/events/certificates/registered/caCertificateID` tema y lleve a cabo estas acciones, consulte [just-in-time Registro de certificados de cliente](https://aws.amazon.com/blogs/iot/just-in-time-registration-of-device-certificates-on-aws-iot/) en. AWS IoT

Si se produce algún error o excepción durante el registro automático de los certificados de cliente, AWS IoT envía eventos o mensajes a sus CloudWatch registros en Logs. Para obtener más información sobre cómo configurar los registros de tu cuenta, consulta la [ CloudWatch documentación de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/).

# Administración de certificados de cliente
<a name="manage-device-cert"></a>

AWS IoT proporciona funciones para gestionar los certificados de los clientes.

**Topics**
+ [Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md)
+ [Asociar un objeto o una política a un certificado de cliente](attach-to-cert.md)
+ [Revocar un certificado de cliente](revoke-ca-cert.md)
+ [Transferir un certificado a otra cuenta](transfer-cert.md)

# Activar o desactivar un certificado de cliente
<a name="activate-or-deactivate-device-cert"></a>

AWS IoT comprueba que un certificado de cliente esté activo cuando autentica una conexión.

Puede crear y registrar certificados de cliente sin activarlos para que no se puedan usar hasta que desee usarlos. También puede desactivar los certificados de cliente activos para deshabilitarlos temporalmente. Por último, puede revocar certificados de cliente para evitar que se utilicen en el futuro. 

## Activar un certificado de cliente (consola)
<a name="activate-device-cert-console"></a>

**Para activar un certificado de cliente mediante la consola AWS IoT**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación de la izquierda, elija **Secure (Seguridad)** y, a continuación, elija **Certificates (Certificados)**.

1. En la lista de certificados, busque el certificado que desea activar y abra el menú de opciones mediante el icono de puntos suspensivos.

1. En el menú de opciones, elija **Activate (Activar)**.

El certificado debe aparecer como **Active (Activo)** en la lista de certificados.

## Desactivar un certificado de cliente (consola)
<a name="deactivate-device-cert-console"></a>

**Para desactivar un certificado de cliente mediante la consola AWS IoT**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación de la izquierda, elija **Secure (Seguridad)** y, a continuación, elija **Certificates (Certificados)**.

1. En la lista de certificados, busque el certificado que desea desactivar y abra el menú de opciones mediante el icono de puntos suspensivos.

1. En el menú de opciones, elija **Deactivate (Desactivar)**.

El certificado debe aparecer como **Inactive (Inactivo)** en la lista de certificados.

## Activar un certificado de cliente (CLI)
<a name="activate-device-cert-cli"></a>

 AWS CLI Proporciona el [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)comando para activar un certificado.

```
aws iot update-certificate \
    --certificate-id certificateId \
    --new-status ACTIVE
```

Si el comando se realizó correctamente, el estado del certificado será `ACTIVE`. Ejecute [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html) para ver el estado del certificado.

```
aws iot describe-certificate \
    --certificate-id certificateId
```

## Desactivar un certificado de cliente (CLI)
<a name="deactivate-device-cert-cli"></a>

 AWS CLI Proporciona el [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)comando para desactivar un certificado.

```
aws iot update-certificate \
    --certificate-id certificateId \
    --new-status INACTIVE
```

Si el comando se realizó correctamente, el estado del certificado será `INACTIVE`. Ejecute [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html) para ver el estado del certificado.

```
aws iot describe-certificate \
    --certificate-id certificateId
```

# Asociar un objeto o una política a un certificado de cliente
<a name="attach-to-cert"></a>

Al crear y registrar un certificado independiente de AWS IoT un objeto, no tendrá políticas que autoricen ninguna AWS IoT operación ni estará asociado a ningún AWS IoT objeto. En esta sección se describe cómo agregar estas relaciones a un certificado registrado.

**importante**  
Para completar estos procedimientos, debe haber creado ya el objeto o la política que desea asociar al certificado.

El certificado autentica un dispositivo AWS IoT para que pueda conectarse. Al asociar el certificado a un recurso de objeto, se establece la relación entre el dispositivo (mediante el certificado) y el recurso de objeto. Para autorizar al dispositivo a realizar AWS IoT acciones, como permitir que el dispositivo se conecte y publique mensajes, se debe adjuntar una política adecuada al certificado del dispositivo. 

## Asociar un objeto a un certificado de cliente (consola)
<a name="attach-to-cert-thing-console"></a>

Necesitará el nombre de la cosa para completar este procedimiento.

**Para asociar un objeto a un certificado registrado**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación de la izquierda, elija **Secure (Seguridad)** y, a continuación, elija **Certificates (Certificados)**.

1. En la lista de certificados, busque el certificado al que desea asociar una política, elija el icono de puntos suspensivos para abrir el menú de opciones del certificado y elija **Attach thing (Asociar objeto)**.

1. En la ventana emergente, busque el nombre de la cosa que desea asociar al certificado, elija su casilla de verificación y elija **Asociar**.

El objeto debería aparecer ahora en la lista de objetos de la página de detalles del certificado.

## Asociar una política a un certificado de cliente (consola)
<a name="attach-to-cert-policy-console"></a>

Necesitará el nombre de la cosa de política para completar este procedimiento.

**Para asociar un objeto de política a un certificado registrado**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación de la izquierda, elija **Secure (Seguridad)** y, a continuación, elija **Certificates (Certificados)**.

1. En la lista de certificados, busque el certificado al que desea asociar una política, elija el icono de puntos suspensivos para abrir el menú de opciones del certificado y elija **Attach policy (Asociar política)**. 

1. En la ventana emergente, busque el nombre de la política que desea asociar al certificado, elija su casilla de verificación y elija **Asociar**.

El objeto de política debería aparecer ahora en la lista de políticas de la página de detalles del certificado.

## Asociar un objeto a un certificado de cliente (CLI)
<a name="attach-to-cert-thing-cli"></a>

 AWS CLI Proporciona el [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-thing-principal.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-thing-principal.html)comando para adjuntar un objeto a un certificado.

```
aws iot attach-thing-principal \
    --principal certificateArn \
    --thing-name thingName
```

## Asociar una política a un certificado de cliente (CLI)
<a name="attach-to-cert-policy-cli"></a>

 AWS CLI Proporciona el [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-policy.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-policy.html)comando para adjuntar un objeto de política a un certificado.

```
aws iot attach-policy \
    --target certificateArn \
    --policy-name policyName
```

# Revocar un certificado de cliente
<a name="revoke-ca-cert"></a>

Si detecta actividad sospechosa en un certificado de cliente registrado, puede revocarlo para que no se pueda volver a utilizar.

**nota**  
Una vez revocado un certificado, su estado no se puede cambiar. Es decir, el estado del certificado no se puede cambiar a `Active` ni a ningún otro estado.

## Revocar un certificado de cliente (consola)
<a name="revoke-device-cert-console"></a>

**Para revocar un certificado de cliente mediante la consola AWS IoT**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación de la izquierda, elija **Secure (Seguridad)** y, a continuación, elija **Certificates (Certificados)**.

1. En la lista de certificados, busque el certificado que desea revocar y abra el menú de opciones mediante el icono de puntos suspensivos.

1. En el menú de opciones, elija **Revoke (Revocar)**.

Si el certificado se revocó correctamente, se mostrará como **Revoked (Revocado)** en la lista de certificados.

## Revocar un certificado de cliente (CLI)
<a name="revoke-device-cert-cli"></a>

 AWS CLI Proporciona el [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)comando para revocar un certificado.

```
aws iot update-certificate \
    --certificate-id certificateId \
    --new-status REVOKED
```

Si el comando se realizó correctamente, el estado del certificado será `REVOKED`. Ejecute [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html) para ver el estado del certificado.

```
aws iot describe-certificate \
    --certificate-id certificateId
```

# Transferir un certificado a otra cuenta
<a name="transfer-cert"></a>

Los certificados X.509 que pertenecen a uno se Cuenta de AWS pueden transferir a otro. Cuenta de AWS

**Para transferir un certificado X.509 de uno a otro Cuenta de AWS**

1. [Comenzar una transferencia de certificado](#transfer-cert-init)

   El certificado debe estar desactivado y separado de todas las políticas y elementos antes de iniciar la transferencia.

1. [Aceptar o rechazar una transferencia de certificado](#transfer-cert-accept)

   La cuenta receptora debe aceptar o rechazar explícitamente el certificado transferido. Una vez que la cuenta receptora acepte el certificado, este debe activarse antes de su uso.

1. [Cancelar una transferencia de certificado](#transfer-cert-cancel)

   La cuenta de origen puede cancelar una transferencia si el certificado no ha sido aceptado.

## Comenzar una transferencia de certificado
<a name="transfer-cert-init"></a>

Puede empezar a transferir un certificado a otro Cuenta de AWS mediante la [AWS IoT consola](https://console.aws.amazon.com/iot/home) o el AWS CLI.

### Comenzar una transferencia de certificado (consola)
<a name="transfer-cert-init-console"></a>

Para completar este procedimiento, necesitará el ID del certificado que desea transferir.

Realice este procedimiento desde la cuenta con el certificado que desee transferir.

**Para empezar a transferir un certificado a otro Cuenta de AWS**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación de la izquierda, elija **Secure (Seguridad)** y, a continuación, elija **Certificates (Certificados)**.

   Elija el certificado con el estado **activo** o **inactivo** que desee transferir y abra su página de detalles.

1. En la página **Detalles** del certificado, en el menú **Acciones**, si la opción **Desactivar** está disponible, elija la opción **Desactivar** para desactivar el certificado.

1. En la página **Detalles** del certificado, en el menú de la izquierda, seleccione **Políticas**.

1. En la página **Políticas** del certificado, si hay alguna política asociada al certificado, desasocie cada una de ellas abriendo el menú de opciones de la política y seleccionando **Desasociar**.

   El certificado no debe tener ninguna política asociada para poder continuar.

1. En la página **Políticas** del certificado, en el menú de la izquierda, seleccione **Objetos**.

1. En la página **Objetos** del certificado, si hay algún objeto asociado al certificado, desasocie cada uno de ellos abriendo el menú de opciones de la cosa y seleccionando **Desasociar**.

   El certificado no debe tener ningún objeto asociado para poder continuar.

1. En la página **Objetos** del certificado, en el menú de la izquierda, seleccione **Detalles**.

1. En la página **Detalles** del certificado, en el menú **Acciones**, seleccione **Iniciar transferencia** para abrir el cuadro de diálogo **Iniciar transferencia**.

1. En el cuadro de diálogo **Iniciar la transferencia**, introduzca el Cuenta de AWS número de la cuenta que recibirá el certificado y un mensaje breve opcional.

1. Seleccione **Iniciar transferencia** para transferir el certificado.

La consola debería mostrar un mensaje que indique si la transferencia se ha realizado correctamente o no. Si se inició la transferencia, el estado del certificado se actualiza a **Transferido**.

### Comenzar una transferencia de certificado (CLI)
<a name="transfer-cert-init-cli"></a>

Para completar este procedimiento, necesitará el certificado que desea transferir *certificateId* y el certificado. *certificateArn*

Realice este procedimiento desde la cuenta con el certificado que desee transferir.

**Para empezar a transferir un certificado a otra AWS cuenta**

1. Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) para desactivar el certificado.

   ```
   aws iot update-certificate --certificate-id certificateId --new-status INACTIVE
   ```

1. Desasocie todas las políticas.

   1. Use el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-attached-policies.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-attached-policies.html) para enumerar las políticas asociadas al certificado.

      ```
      aws iot list-attached-policies --target certificateArn
      ```

   1. Para cada política asociada, utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-policy.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-policy.html) para desasociar la política.

      ```
      aws iot detach-policy --target certificateArn --policy-name policy-name
      ```

1. Desasocie todos los objetos.

   1. Use el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-principal-things.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-principal-things.html) para enumerar los objetos asociados al certificado.

      ```
      aws iot list-principal-things --principal certificateArn
      ```

   1. Para cada objeto asociado, utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-thing-principal.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-thing-principal.html) para desasociar el objeto.

      ```
      aws iot detach-thing-principal --principal certificateArn --thing-name thing-name
      ```

1. Use el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/transfer-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/transfer-certificate.html) para iniciar la transferencia del certificado.

   ```
   aws iot transfer-certificate --certificate-id certificateId --target-aws-account account-id
   ```

## Aceptar o rechazar una transferencia de certificado
<a name="transfer-cert-accept"></a>

Puede aceptar o rechazar un certificado que le haya sido transferido Cuenta de AWS desde otra persona Cuenta de AWS mediante la [AWS IoT consola](https://console.aws.amazon.com/iot/home) o el AWS CLI.

### Aceptar o rechazar una transferencia de certificado (consola)
<a name="transfer-cert-accept-console"></a>

Para completar este procedimiento, necesitará el ID del certificado que se le transfirió a su cuenta.

Realice este procedimiento desde la cuenta receptora a la que se transfirió el certificado.

**Para aceptar o rechazar un certificado que se ha transferido a su Cuenta de AWS**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación de la izquierda, elija **Secure (Seguridad)** y, a continuación, elija **Certificates (Certificados)**.

   Elija el certificado con el estado **Pendiente de transferencia** que desee aceptar o rechazar y abra su página de detalles.

1. En la página **Detalles** del certificado, en el menú **Acciones**:
   + Para aceptar el certificado, elija **Aceptar transferencia**.
   + Si no quiere aceptar el certificado, elija **Rechazar transferencia**.

### Aceptar o rechazar una transferencia de certificado (CLI)
<a name="transfer-cert-accept-cli"></a>

Para completar este procedimiento, necesitará el certificado *certificateId* de transferencia que desee aceptar o rechazar.

Realice este procedimiento desde la cuenta receptora a la que se transfirió el certificado.

**Para aceptar o rechazar un certificado que se ha transferido a su Cuenta de AWS**

1. Para aceptar el certificado, use el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/accept-certificate-transfer.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/accept-certificate-transfer.html).

   ```
   aws iot accept-certificate-transfer --certificate-id certificateId
   ```

1. Para rechazar el certificado, use el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/reject-certificate-transfer.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/reject-certificate-transfer.html).

   ```
   aws iot reject-certificate-transfer --certificate-id certificateId
   ```

## Cancelar una transferencia de certificado
<a name="transfer-cert-cancel"></a>

Puede cancelar la transferencia de un certificado antes de que se haya aceptado mediante la [consola de AWS IoT](https://console.aws.amazon.com/iot/home) o la AWS CLI.

### Comenzar una transferencia de certificado (consola)
<a name="transfer-cert-cancel-console"></a>

Para completar este procedimiento, necesitará el ID de la transferencia de certificado que quiera cancelar.

Realice este procedimiento desde la cuenta con la que inició la transferencia del certificado.

**Para cancelar una transferencia de certificado**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación de la izquierda, elija **Secure (Seguridad)** y, a continuación, elija **Certificates (Certificados)**.

   Elija el certificado con el estado **Transferido** cuya transferencia desee cancelar y abra su menú de opciones.

1. En el menú de opciones del certificado, elija la opción **Revocar transferencia** para cancelar la transferencia del certificado.
**importante**  
Tenga cuidado de no confundir la opción **Revocar transferencia** con la opción **Revocar**.  
La opción **Revocar transferencia** cancela la transferencia del certificado, mientras que la opción **Revocar** hace que el certificado quede inutilizable de forma irreversible para AWS IoT. 

### Cancelar una transferencia de certificado (CLI)
<a name="transfer-cert-cancel-cli"></a>

Para completar este procedimiento, necesitará el certificado *certificateId* de transferencia que desee cancelar.

Realice este procedimiento desde la cuenta con la que inició la transferencia del certificado.

Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/cancel-certificate-transfer.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/cancel-certificate-transfer.html) para cancelar la transferencia del certificado.

```
aws iot cancel-certificate-transfer --certificate-id certificateId
```

# Validación personalizada de certificados de cliente
<a name="customize-client-auth"></a>

AWS IoT Core admite la validación personalizada de certificados de cliente para los certificados de cliente X.509, lo que mejora la administración de la autenticación de los clientes. Este método de validación de certificados también se conoce como comprobaciones de certificados previas a la autenticación, en las que se evalúan los certificados de los clientes en función de sus propios criterios (definidos en una función de Lambda) y se revocan los certificados de los clientes o el certificado de la entidad de certificación que los firma para impedir que los clientes se conecten a AWS IoT Core. Por ejemplo, puede crear sus propias comprobaciones de revocación de certificados para validar el estado de los certificados con las autoridades de validación que admiten los puntos de conexión [Protocolo de verificación de certificados en línea (OCSP)](https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol) o [Listas de revocación de certificados (CRL)](https://en.wikipedia.org/wiki/Certificate_revocation_list) e impedir las conexiones de los clientes con certificados revocados. Los criterios utilizados para evaluar los certificados de los clientes se definen en una función de Lambda (también conocida como Lambda de autenticación previa). Debe utilizar los puntos de conexión establecidos en las configuraciones de dominio y el [tipo de autenticación](protocols.md#connection-protocol-auth-mode) debe ser el certificado X.509. Además, los clientes deben proporcionar la extensión de [indicación del nombre del servidor (SNI)](https://www.rfc-editor.org/rfc/rfc3546#section-3.1) al conectarse a. AWS IoT Core

**nota**  
Esta función no se admite en las AWS GovCloud (US) regiones.

**Topics**
+ [Paso 1: registre sus certificados de cliente X.509 en AWS IoT Core](#client-auth-cert-verification)
+ [Paso 2: creación de una función de Lambda](#customize-client-auth-lambda)
+ [Paso 3: AWS IoT Autorizar la invocación de la función Lambda](#customize-client-configuration-grant-permission)
+ [Paso 4: establecimiento de una configuración de autenticación para un dominio](#customize-client-configuration)

## Paso 1: registre sus certificados de cliente X.509 en AWS IoT Core
<a name="client-auth-cert-verification"></a>

Si aún no lo ha hecho, registre y active sus [certificados de cliente X.509](https://docs.aws.amazon.com//iot/latest/developerguide/x509-client-certs.html) con. AWS IoT Core De no ser así, vaya al siguiente paso.

Para registrar y activar sus certificados de cliente con ellos AWS IoT Core, siga estos pasos:

1. Si [crea certificados de cliente directamente con AWS IoT](https://docs.aws.amazon.com//iot/latest/developerguide/device-certs-create.html). Estos certificados de cliente se registrarán automáticamente en AWS IoT Core.

1. Si [crea sus propios certificados de cliente](https://docs.aws.amazon.com//iot/latest/developerguide/device-certs-your-own.html), siga [estas instrucciones para registrarlos AWS IoT Core](https://docs.aws.amazon.com//iot/latest/developerguide/register-device-cert.html).

1. Siga [estas instrucciones](https://docs.aws.amazon.com//iot/latest/developerguide/activate-or-deactivate-device-cert.html) para activar sus certificados de cliente.

## Paso 2: creación de una función de Lambda
<a name="customize-client-auth-lambda"></a>

Debe crear una función de Lambda que verifique certificados y que se llame cada vez que un cliente intente conectarse al punto de conexión configurado. Al crear esta función de Lambda, siga las instrucciones generales de [Creación de su primera función de Lambda](https://docs.aws.amazon.com//lambda/latest/dg/getting-started.html). Además, asegúrese de que la función de Lambda cumpla con los formatos de solicitud y respuesta esperados de la siguiente manera:

**Ejemplo de evento de la función de Lambda**

```
{
	"connectionMetadata": {
		"id": "string"
	},
	"principalId": "string",
	"serverName": "string",
	"clientCertificateChain": [
		"string",
		"string"
	]
}
```

`connectionMetadata`  
Metadatos o información adicional relacionada con la conexión del cliente a AWS IoT Core.

`principalId`  
Es el identificador de la entidad principal asociado al cliente en la conexión TLS.

`serverName`  
Es la cadena de nombre de host [Indicación del nombre del servidor (SNI)](https://www.rfc-editor.org/rfc/rfc3546#section-3.1). AWS IoT Core requiere que los dispositivos envíen la [extensión SNI](https://www.rfc-editor.org/rfc/rfc3546#section-3.1) al protocolo de seguridad de la capa de transporte (TLS) y proporcionen la dirección completa del punto de conexión en el campo `host_name`.

`clientCertificateChain`  
Matriz de cadenas que representa la cadena de certificados X.509 del cliente. 

**Ejemplo de respuesta de la función de Lambda**

```
{
	"isAuthenticated": "boolean"
}
```

`isAuthenticated`  
Es un valor booleano que indica si la solicitud se ha autenticado.

**nota**  
En la respuesta de Lambda, `isAuthenticated` debe ser `true` para continuar con la autenticación y autorización. De lo contrario, se puede desactivar el certificado de cliente de IoT y bloquear la autenticación personalizada con certificados de cliente X.509 para una mayor autenticación y autorización.

## Paso 3: AWS IoT Autorizar la invocación de la función Lambda
<a name="customize-client-configuration-grant-permission"></a>

[Tras crear la función Lambda, debe conceder permiso AWS IoT para invocarla mediante el comando CLI add-permission.](https://docs.aws.amazon.com//cli/latest/reference/lambda/add-permission.html) Tenga en cuenta que esta función de Lambda se invocará en cada intento de conexión al punto de conexión configurado. Para obtener más información, consulte [AWS IoT Autorizar la invocación de la función Lambda](custom-auth-authorize.md).

## Paso 4: establecimiento de una configuración de autenticación para un dominio
<a name="customize-client-configuration"></a>

En la siguiente sección se describe cómo establecer una configuración de autenticación para un dominio personalizado mediante la AWS CLI.

### Establecimiento de la configuración del certificado de cliente para un dominio (CLI)
<a name="customize-client-auth-cli"></a>

Si no tiene ninguna configuración de dominio, utilice el comando de la CLI [https://docs.aws.amazon.com//cli/latest/reference/iot/create-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/create-domain-configuration.html) para crear una. Si ya tiene una configuración de dominio, utilice el comando de la CLI [https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html) para actualizar la configuración del certificado de cliente de un dominio. Debe añadir el ARN de la función de Lambda que ha creado en el paso anterior.

```
aws iot create-domain-configuration \
    --domain-configuration-name domainConfigurationName \
    --authentication-type AWS_X509|CUSTOM_AUTH_X509 \
    --application-protocol SECURE_MQTT|HTTPS \
    --client-certificate-config 'clientCertificateCallbackArn":"arn:aws:lambda:us-east-2:123456789012:function:my-function:1"}'
```

```
aws iot update-domain-configuration \
    --domain-configuration-name domainConfigurationName \
    --authentication-type AWS_X509|CUSTOM_AUTH_X509 \
    --application-protocol SECURE_MQTT|HTTPS \
    --client-certificate-config '{"clientCertificateCallbackArn":"arn:aws:lambda:us-east-2:123456789012:function:my-function:1"}'
```

`domain-configuration-name`  
Es el nombre de la configuración del dominio.

`authentication-type`  
Es el tipo de autenticación de la configuración del dominio. Para obtener más información, consulte [Choosing an authentication type](protocols.md#connection-protocol-auth-mode).

`application-protocol`  
Es el protocolo de aplicación con el que los dispositivos se comunican con AWS IoT Core. Para obtener más información, consulte [Choosing an application protocol](protocols.md#protocol-selection).

`client-certificate-config`  
Objeto que especifica la configuración de autenticación de cliente de un dominio.

`clientCertificateCallbackArn`  
El nombre de recurso de Amazon (ARN) de la función Lambda que se AWS IoT invoca en la capa TLS cuando se establece una nueva conexión. Para personalizar la autenticación del cliente y realizar una validación de certificados de cliente personalizada, debe añadir el ARN de la función de Lambda que creó en el paso anterior.

*Para obtener más información, consulte [CreateDomainConfiguration](https://docs.aws.amazon.com//iot/latest/apireference/API_CreateDomainConfiguration.html)y consulte la referencia [UpdateDomainConfiguration](https://docs.aws.amazon.com//iot/latest/apireference/API_UpdateDomainConfiguration.html)de la API.AWS IoT * Para obtener más información sobre la configuración de dominios, consulte [Domain configurations](https://docs.aws.amazon.com//iot/latest/developerguide/iot-custom-endpoints-configurable.html).

# Usuarios, grupos y roles de IAM
<a name="iam-users-groups-roles"></a>

Los usuarios, grupos y roles de IAM son los mecanismos estándar de administración de identidades y autenticación en AWS. Puede utilizarlos para conectarse a interfaces AWS IoT HTTP mediante el AWS SDK y AWS CLI.

Las funciones de IAM también te permiten acceder AWS IoT a otros AWS recursos de tu cuenta en tu nombre. Por ejemplo, si desea que un dispositivo publique su estado en una tabla de DynamoDB, las funciones de IAM AWS IoT le permiten interactuar con Amazon DynamoDB. Para obtener más información, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html).

En el caso de las conexiones de un intermediario de mensajes a través de HTTP, AWS IoT autentica a los usuarios, grupos y roles mediante el proceso de firma de la versión 4 de Signature. Para obtener más información, consulte [Firmar solicitudes AWS de API](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html).

Al usar la versión 4 de AWS Signature con AWS IoT, los clientes deben admitir lo siguiente en su implementación de TLS:
+ TLS 1.2
+ Validación de la firma de certificado SHA-256 RSA
+ Uno de los conjuntos de cifrado de la sección de compatibilidad del conjunto de cifrado TLS

Para obtener información, consulte [Gestión de identidad y acceso para AWS IoT](security-iam.md).

# Identidades de Amazon Cognito
<a name="cognito-identities"></a>

Amazon Cognito Identity le permite crear AWS credenciales temporales con privilegios limitados para utilizarlas en aplicaciones móviles y web. Cuando se utiliza una identidad de Amazon Cognito, se crean grupos de identidades que generan identidades únicas para los usuarios y se autentican con proveedores de identidades como Iniciar sesión con Amazon, Facebook y Google. También puede usar identidades de Amazon Cognito con sus propias identidades autenticadas por el desarrollador. Para obtener más información, consulte [Amazon Cognito Identity](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html).

Para usar una identidad de Amazon Cognito, se debe definir un grupo de identidades de Amazon Cognito asociado a un rol de IAM. La función de IAM está asociada a una política de IAM que otorga permisos a las identidades de su grupo de identidades para acceder a AWS recursos como los servicios de llamadas. AWS 

Amazon Cognito Identity crea identidades no autenticadas y autenticadas. Las identidades no autenticadas se utilizan para los usuarios invitados de una aplicación móvil o web que desean usar la aplicación sin iniciar sesión. Los usuarios no autenticados solo reciben los permisos especificados en la política de IAM asociada al grupo de identidades.

Cuando utilice identidades autenticadas, además de la política de IAM adjunta al grupo de identidades, debe adjuntar una AWS IoT política a una identidad de Amazon Cognito. Para adjuntar una AWS IoT política, utilice la [ AttachPolicy](https://docs.aws.amazon.com/iot/latest/apireference/API_AttachPolicy.html)API y conceda permisos a un usuario individual de su aplicación. AWS IoT Puedes usar la AWS IoT política para asignar permisos específicos a clientes específicos y sus dispositivos.

Los usuarios autenticados y no autenticados son tipos de identidad diferentes. Si no adjuntas una AWS IoT política a Amazon Cognito Identity, un usuario autenticado no podrá obtener la autorización AWS IoT y no tendrá acceso a AWS IoT los recursos ni a las acciones. Para obtener más información sobre la creación de políticas para las identidades de Amazon Cognito, consulte [Ejemplos de política de publicación/suscripción](pub-sub-policy.md) y [Autorización con identidades de Amazon Cognito](cog-iot-policies.md).

![\[Aplicación que accede a un dispositivo con identidad de Amazon Cognito.\]](http://docs.aws.amazon.com/es_es/iot/latest/developerguide/images/device-cognito.png)