

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Autenticación del servidor
<a name="server-authentication"></a>

Cuando el dispositivo u otro cliente intente conectarse AWS IoT Core, el AWS IoT Core servidor enviará un certificado X.509 que el dispositivo utilizará para autenticar el servidor. La autenticación se lleva a cabo en la capa TLS mediante la validación de la [cadena de certificados X.509](x509-client-certs.md). Este es el mismo método que utiliza el navegador cuando visita una URL HTTPS. Si desea utilizar certificados de su propia autoridad de certificación, consulte [Administración de sus certificados de entidad de certificación](manage-your-CA-certs.md).

Cuando sus dispositivos u otros clientes establecen una conexión TLS con un AWS IoT Core terminal, AWS IoT Core presenta una cadena de certificados que los dispositivos utilizan para comprobar que se están comunicando con otro servidor AWS IoT Core y no con otro servidor que se hace pasar por él. AWS IoT Core La cadena que se presenta depende de una combinación del tipo de terminal al que se conecta el dispositivo y del [conjunto de cifrado](transport-security.md) que el cliente y el cliente AWS IoT Core negociaron durante el protocolo de enlace TLS.

## Tipo de punto de conexión
<a name="endpoint-types"></a>

AWS IoT Core admite. `iot:Data-ATS` `iot:Data-ATS`los puntos finales presentan un certificado de servidor firmado por una CA de [Amazon Trust Services](https://www.amazontrust.com/repository/).

Los certificados presentados por los puntos de conexión de ATS están firmados por Starfield. Algunas implementaciones de cliente TLS requieren la validación de la raíz de confianza y requieren que los certificados de CA de Starfield estén instalados en los almacenes de confianza del cliente.

**aviso**  
No se recomienda utilizar un método de fijación de certificados que aplica hash en todo el certificado (incluido el nombre del emisor, etc.) porque esto provocará un error en la verificación del certificado porque los certificados ATS que proporcionamos están firmados de forma cruzada por Starfield y tienen un nombre de emisor diferente.

**importante**  
Utilice puntos de conexión `iot:Data-ATS`. Los certificados de Symantec y Verisign han quedado obsoletos y ya no son compatibles con. AWS IoT Core

Puede utilizar el comando `describe-endpoint` para crear el punto de conexión de ATS.

```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```

El comando `describe-endpoint` devuelve un punto de conexión en el formato siguiente.

```
account-specific-prefix.iot.your-region.amazonaws.com
```

**nota**  
La primera vez que se llama a `describe-endpoint`, se crea un punto de conexión. Todas las llamadas posteriores a `describe-endpoint` devuelven el mismo punto de conexión.

**nota**  
**Para ver su `iot:Data-ATS` dispositivo de punto final en la AWS IoT Core consola, seleccione Configuración.** La consola solo muestra el punto de conexión `iot:Data-ATS`.

### Creación de un `IotDataPlaneClient` con el AWS SDK para Java
<a name="java-client"></a>

Para crear un `IotDataPlaneClient` que utilice un punto de conexión `iot:Data-ATS`, debe hacer lo siguiente. 
+ Cree un `iot:Data-ATS` punto final mediante la [DescribeEndpoint](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeEndpoint.html)API.
+ Especifique ese punto de conexión al crear el `IotDataPlaneClient`.

En el ejemplo siguiente se realizan ambas operaciones.

```
public void setup() throws Exception {
        IotClient client = IotClient.builder().credentialsProvider(CREDENTIALS_PROVIDER_CHAIN).region(Region.US_EAST_1).build();
        String endpoint = client.describeEndpoint(r -> r.endpointType("iot:Data-ATS")).endpointAddress();
        iot = IotDataPlaneClient.builder()
                                .credentialsProvider(CREDENTIALS_PROVIDER_CHAIN)
                                .endpointOverride(URI.create("https://" + endpoint))
                                .region(Region.US_EAST_1)
                                .build();
}
```

## Certificados de entidad de certificación para autenticación de servidor
<a name="server-authentication-certs"></a>

Según el tipo de punto final de datos que utilice y el conjunto de cifrado que haya negociado, los certificados de autenticación AWS IoT Core del servidor se firman con uno de los siguientes certificados de CA raíz:

**Puntos de enlace de Amazon Trust Services (preferidos)**

**nota**  
Es posible que tenga que hacer clic con el botón derecho en estos enlaces y seleccionar **Guardar enlace como...** para guardar estos certificados como archivos.
+ Clave RSA de 2048 bits: [https://www.amazontrust.com/repository/AmazonRootCA1.pem](https://www.amazontrust.com/repository/AmazonRootCA1.pem).
+ Clave RSA de 4096 bits: Amazon Root CA 2. Reservado para uso futuro.
+ Clave ECC de 256 bits: [https://www.amazontrust.com/repository/AmazonRootCA3.pem](https://www.amazontrust.com/repository/AmazonRootCA3.pem).
+ Clave ECC de 384 bits: Amazon Root CA 4. Reservado para uso futuro.

Todos estos certificados tienen firma cruzada del [ Certificado Starfield Root CA](https://www.amazontrust.com/repository/SFSRootCAG2.pem). Todas AWS IoT Core las nuevas regiones, a partir del lanzamiento del 9 de mayo de 2018 AWS IoT Core en la región de Asia Pacífico (Bombay), solo ofrecen certificados ATS.

**VeriSign Endpoints (heredado)**
+ Clave RSA de 2048 bits: certificado de CA raíz [G5 primaria pública de VeriSign clase 3](https://www.digicert.com/kb/digicert-root-certificates.htm)

## Directrices de autenticación de servidores
<a name="server-authentication-guidelines"></a>

Hay muchas variables que pueden afectar a la capacidad de un dispositivo para validar el certificado de autenticación del servidor de AWS IoT Core . Por ejemplo, los dispositivos pueden tener demasiada memoria limitada para contener todos los certificados de CA raíz posibles, o los dispositivos pueden implementar un método no estándar de validación de certificados. Por estas razones, sugerimos seguir estas directrices:
+ Le recomendamos que utilice el punto de conexión ATS e instale todos los certificados de CA raíz de Amazon Root CA compatibles.
+ Si no puede almacenar todos estos certificados en su dispositivo y si sus dispositivos no utilizan la validación basada en ECC, puede omitir los certificados [https://www.amazontrust.com/repository/AmazonRootCA3.pem](https://www.amazontrust.com/repository/AmazonRootCA3.pem) y [https://www.amazontrust.com/repository/AmazonRootCA4.pem](https://www.amazontrust.com/repository/AmazonRootCA4.pem) de ECC. Si sus dispositivos no implementan una validación de certificados basada en RSA, puede omitir los certificados [https://www.amazontrust.com/repository/AmazonRootCA1.pem](https://www.amazontrust.com/repository/AmazonRootCA1.pem) y [https://www.amazontrust.com/repository/AmazonRootCA2.pem](https://www.amazontrust.com/repository/AmazonRootCA2.pem) de RSA. Es posible que tenga que hacer clic con el botón derecho en estos enlaces y seleccionar **Guardar enlace como...** para guardar estos certificados como archivos.
+ Si tiene problemas de validación de certificados de servidor al conectarse a su punto de conexión de ATS, intente agregar el certificado Amazon Root CA correspondiente con firma cruzada a su almacén de confianza. Es posible que tenga que hacer clic con el botón derecho en estos enlaces y seleccionar **Guardar enlace como...** para guardar estos certificados como archivos.
  + [Amazon Root CA 1 con firma cruzada](https://www.amazontrust.com/repository/G2-RootCA1.pem)
  + [Amazon Root CA 2 con firma cruzada](https://www.amazontrust.com/repository/G2-RootCA2.pem): reservado para futura utilización.
  + [Amazon Root CA 3 con firma cruzada](https://www.amazontrust.com/repository/G2-RootCA3.pem)
  + [Amazon Root CA 4 con firma cruzada: reservado para futura utilización.](https://www.amazontrust.com/repository/G2-RootCA4.pem)
+ Si experimenta problemas de validación de certificados de servidor, es posible que el dispositivo deba confiar explícitamente en la CA raíz. Intente agregar el [https://www.amazontrust.com/repository/SFSRootCAG2.pem](https://www.amazontrust.com/repository/SFSRootCAG2.pem) a su almacén de confianza.
+ Si sigue teniendo problemas después de ejecutar los pasos anteriores, póngase en contacto con [AWS Developer Support](https://aws.amazon.com/premiumsupport/plans/developers/). 

**nota**  
Los certificados de CA tienen una fecha de vencimiento posterior que no pueden usar para validar un certificado del servidor. Los certificados de CA podrían tener que reemplazarse antes de su fecha de vencimiento. Asegúrese de que puede actualizar los certificados de entidad de certificación raíz en todos sus dispositivos o clientes para asegurarse de que la conectividad se mantenga y esté al día de las prácticas recomendadas de seguridad.

**nota**  
Cuando se conecte con AWS IoT Core el código de su dispositivo, pase el certificado a la API que está utilizando para conectarse. La API que use variará según el SDK. Para obtener más información, consulta el [AWS IoT Core dispositivo SDKs](iot-sdks.md).