Autenticación del servidor - AWS IoT Core
Tipo de punto de conexiónCertificados de entidad de certificación para autenticación de servidorDirectrices de autenticación de servidores

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación del servidor

Cuando su dispositivo u otro cliente intente conectarse a AWS IoT Core, el AWS IoT Core el servidor enviará un certificado X.509 que su dispositivo utilizará para autenticar el servidor. La autenticación se lleva a cabo en la TLS capa mediante la validación de la cadena de certificados X.509. Este es el mismo método que utiliza su navegador cuando visita un HTTPSURL. Si desea utilizar certificados de su propia autoridad de certificación, consulte Administración de sus certificados de entidad de certificación.

Cuando sus dispositivos u otros clientes establecen una TLS conexión a un AWS IoT Core punto final, AWS IoT Core presenta una cadena de certificados que los dispositivos utilizan para verificar que se están comunicando AWS IoT Core y no otro servidor que se hace pasar AWS IoT Core. La cadena que se presenta depende de una combinación del tipo de punto final al que se conecta el dispositivo y del conjunto de cifrado que utilizan el cliente y AWS IoT Core negociado durante el TLS apretón de manos.

Tipo de punto de conexión

AWS IoT Core apoyaiot:Data-ATS. iot:Data-ATSlos puntos finales presentan un certificado de servidor firmado por una CA de Amazon Trust Services.

Los certificados presentados por los ATS puntos finales están firmados de forma cruzada por Starfield. Algunas implementaciones de TLS clientes requieren la validación de la raíz de confianza y requieren que los certificados de Starfield CA estén instalados en los almacenes de confianza del cliente.

aviso

No se recomienda utilizar un método de anclaje de certificados que codifique todo el certificado (incluido el nombre del emisor, etc.), ya que esto provocará un error en la verificación del certificado, ya que los ATS certificados que proporcionamos están firmados de forma cruzada por Starfield y tienen un nombre de emisor diferente.

importante

Utilice puntos de conexión. iot:Data-ATS Los certificados de Symantec y Verisign han quedado obsoletos y ya no son compatibles con AWS IoT Core.

Puede usar el describe-endpoint comando para crear su punto final. ATS

aws iot describe-endpoint --endpoint-type iot:Data-ATS

El comando describe-endpoint devuelve un punto de conexión en el formato siguiente.

account-specific-prefix.iot.your-region.amazonaws.com
nota

La primera vez que se llama a describe-endpoint, se crea un punto de conexión. Todas las llamadas posteriores a describe-endpoint devuelven el mismo punto de conexión.

nota

Para ver su iot:Data-ATS punto final en el AWS IoT Core consola, selecciona Configuración. La consola solo muestra el punto de conexión iot:Data-ATS.

Creando una IotDataPlaneClient con AWS SDKpara Java

Para crear una IotDataPlaneClient que utilice un iot:Data-ATS punto final, debe hacer lo siguiente.

  • Cree un iot:Data-ATS punto final mediante DescribeEndpointAPI.

  • Especifique ese punto de conexión al crear el IotDataPlaneClient.

En el ejemplo siguiente se realizan ambas operaciones.

public void setup() throws Exception {
        IotClient client = IotClient.builder().credentialsProvider(CREDENTIALS_PROVIDER_CHAIN).region(Region.US_EAST_1).build();
        String endpoint = client.describeEndpoint(r -> r.endpointType("iot:Data-ATS")).endpointAddress();
        iot = IotDataPlaneClient.builder()
                                .credentialsProvider(CREDENTIALS_PROVIDER_CHAIN)
                                .endpointOverride(URI.create("https://" + endpoint))
                                .region(Region.US_EAST_1)
                                .build();
}

Certificados de entidad de certificación para autenticación de servidor

Según el tipo de punto final de datos que utilice y el conjunto de cifrado que haya negociado, AWS IoT Core los certificados de autenticación del servidor están firmados por uno de los siguientes certificados de CA raíz:

Puntos de enlace de Amazon Trust Services (preferidos)

nota

Es posible que tenga que hacer clic con el botón derecho en estos enlaces y seleccionar Guardar enlace como... para guardar estos certificados como archivos.

  • RSAclave de 2048 bits: Amazon Root CA 1.

  • RSAClave de 4096 bits: Amazon Root CA 2. Reservado para uso futuro.

  • ECCClave de 256 bits: Amazon Root CA 3.

  • ECCClave de 384 bits: Amazon Root CA 4. Reservado para uso futuro.

Todos estos certificados tienen firma cruzada del Certificado Starfield Root CA. Totalmente nuevo AWS IoT Core regiones, a partir del lanzamiento el 9 de mayo de 2018 de AWS IoT Core en la región de Asia Pacífico (Bombay), solo ofrecen ATS certificados.

VeriSign Endpoints (heredados)

Directrices de autenticación de servidores

Hay muchas variables que pueden afectar a la capacidad de un dispositivo para validar AWS IoT Core certificado de autenticación del servidor. Por ejemplo, los dispositivos pueden tener demasiada memoria limitada para contener todos los certificados de CA raíz posibles, o los dispositivos pueden implementar un método no estándar de validación de certificados. Por estas razones, sugerimos seguir estas directrices:

  • Le recomendamos que utilice su ATS terminal e instale todos los dispositivos compatibles Amazon Root CA certificados.

  • Si no puede almacenar todos estos certificados en su dispositivo y si sus dispositivos no utilizan la validación ECC basada, puede omitir la Amazon Root CA 3 y Amazon Root CA 4ECCcertificados. Si sus dispositivos no implementan la validación de certificados RSA basada en certificados, puede omitir la Amazon Root CA 1 y Amazon Root CA 2RSAcertificados. Es posible que tenga que hacer clic con el botón derecho en estos enlaces y seleccionar Guardar enlace como... para guardar estos certificados como archivos.

  • Si tienes problemas con la validación del certificado del servidor al conectarte a tu ATS punto de conexión, intenta añadir el certificado Amazon Root CA con firma cruzada correspondiente a tu almacén de confianza. Es posible que tenga que hacer clic con el botón derecho en estos enlaces y seleccionar Guardar enlace como... para guardar estos certificados como archivos.

  • Si experimenta problemas de validación de certificados de servidor, es posible que el dispositivo deba confiar explícitamente en la CA raíz. Intenta añadir el Starfield Root CA Certificatea tu tienda de confianza.

  • Si sigues teniendo problemas después de ejecutar los pasos anteriores, ponte en contacto con AWS Soporte para desarrolladores.

nota

Los certificados de CA tienen una fecha de vencimiento posterior que no pueden usar para validar un certificado del servidor. Los certificados de CA podrían tener que reemplazarse antes de su fecha de vencimiento. Asegúrese de que puede actualizar los certificados de entidad de certificación raíz en todos sus dispositivos o clientes para asegurarse de que la conectividad se mantenga y esté al día de las prácticas recomendadas de seguridad.

nota

Al conectarse a AWS IoT Core en el código de su dispositivo, pase el certificado al API que está utilizando para conectarse. El API que utilices variará segúnSDK. Para obtener más información, consulte la .AWS IoT Core Dispositivo SDKs.