Certificados de cliente X.509 - AWS IoT Core
Uso de certificados de cliente X.509Uso de certificados de cliente X.509 en varios Cuenta de AWS s con el registro de varias cuentasLos algoritmos de firma de certificados son compatibles con AWS IoTAlgoritmos clave compatibles con AWS IoT

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Certificados de cliente X.509

Los certificados X.509 proporcionan AWS IoT con la capacidad de autenticar las conexiones del cliente y del dispositivo. Los certificados de cliente deben registrarse en AWS IoT antes de que un cliente pueda comunicarse con AWS IoT. Un certificado de cliente se puede registrar en varios Cuenta de AWS Está en el mismo Región de AWS para facilitar el movimiento de los dispositivos entre sus Cuenta de AWS está en la misma región. Para obtener más información, consulte Uso de certificados de cliente X.509 en varios Cuenta de AWS s con el registro de varias cuentas.

Se recomienda que cada dispositivo o cliente reciba un certificado único para permitir acciones de administración de clientes precisas, incluida la revocación de certificados. Los dispositivos y los clientes deben ser compatibles con la rotación y la sustitución de certificados para garantizar un buen funcionamiento cuando los certificados caduquen.

Para obtener información sobre el uso de los certificados X.509 para admitir varios dispositivos, consulte Aprovisionamiento de dispositivos para revisar las distintas opciones de administración y aprovisionamiento de certificados que AWS IoT admite.

AWS IoT admite los siguientes tipos de certificados de cliente X.509:

  • Certificados X.509 generados por AWS IoT

  • Certificados X.509 firmados por una entidad emisora de certificados registrada en AWS IoT.

  • Certificados X.509 firmados por una CA que no está registrada AWS IoT.

En esta sección se describe cómo administrar los certificados X.509 en AWS IoT Puede utilizar . AWS IoT consola o AWS CLI para realizar estas operaciones de certificación:

Para obtener más información acerca de AWS CLI comandos que realizan estas operaciones, consulte AWS IoT CLIReferencia.

Uso de certificados de cliente X.509

Los certificados X.509 autentican las conexiones de clientes y dispositivos a AWS IoT. Los certificados X.509 ofrecen varias ventajas en comparación con otros mecanismos de identificación y autenticación. Los certificados X.509 permiten usar claves asimétricas con los dispositivos. Por ejemplo, podría forzar claves privadas en un almacenamiento seguro en un dispositivo para que el material criptográfico confidencial nunca salga del dispositivo. Los certificados X.509 proporcionan una autenticación del cliente más fiable que los otros sistemas, como el nombre de usuario y la contraseña o los tokens de portador, ya que la clave privada jamás abandona el dispositivo.

AWS IoT autentica los certificados de cliente mediante el modo de autenticación de cliente del TLS protocolo. TLSel soporte está disponible en muchos lenguajes de programación y sistemas operativos y se suele utilizar para cifrar datos. En la autenticación de TLS clientes, AWS IoT solicita un certificado de cliente X.509 y valida el estado del certificado y Cuenta de AWS contra un registro de certificados. A continuación, desafía al cliente para comprobar la propiedad de la clave privada que corresponde a la clave pública contenida en el certificado. AWS IoT requiere que los clientes envíen la extensión de indicación del nombre del servidor (SNI) al protocolo Transport Layer Security (TLS). Para obtener más información sobre la configuración de la SNI extensión, consulteSeguridad del transporte en AWS IoT Core.

Para facilitar una conexión de cliente segura y coherente con AWS IoT fundamentalmente, un certificado de cliente X.509 debe poseer lo siguiente:

Puede crear certificados de cliente que utilicen la entidad de certificación Amazon Root y puede utilizar sus propios certificados de cliente firmados por otra entidad de certificación (CA). Para obtener más información sobre el uso del AWS IoT consola para crear certificados que usen Amazon Root CA, consulteCreación AWS IoT certificados de cliente. Para obtener más información sobre el uso de sus propios certificados X.509, consulte Creación de sus propios certificados de cliente.

La fecha y hora de caducidad de los certificados firmados por un certificado de entidad de certificación se establecen en el momento de su creación. Certificados X.509 generados por AWS IoT caducan a medianoche del 31 de UTC diciembre de 2049 (2049-12-31T 23:59:59 Z).

AWS IoT Device Defender puede realizar auditorías en su Cuenta de AWS y dispositivos compatibles con las mejores prácticas de seguridad de IoT comunes. Esto incluye administrar las fechas de caducidad de los certificados X.509 firmados por su entidad de certificación o la entidad de certificación de Amazon Root. Para obtener más información sobre la gestión de la fecha de caducidad de un certificado, consulte Vencimiento del certificado de dispositivo y caducidad del certificado de CA.

En la versión oficial AWS IoT blog, se profundiza en la gestión de la rotación de certificados de dispositivos y las mejores prácticas de seguridad en Cómo gestionar la rotación de certificados de dispositivos de IoT mediante AWS IoT.

Uso de certificados de cliente X.509 en varios Cuenta de AWS s con el registro de varias cuentas

El registro de varias cuentas permite mover dispositivos entre sus Cuenta de AWS Está en la misma región o en regiones diferentes. Puede registrar, probar y configurar un dispositivo en una cuenta de preproducción y, a continuación, registrar y utilizar el mismo dispositivo y certificado de dispositivo en una cuenta de producción. También puede registrar el certificado de cliente en el dispositivo o los certificados del dispositivo sin una CA que esté registrada en AWS IoT. Para obtener más información, consulte Registrar un certificado de cliente firmado por una CA no registrada (CLI).

nota

Los certificados utilizados para el registro de varias cuentas son compatibles con los tipos de puntos de conexión iot:Data-ATS, iot:Data (heredados), iot:Jobs y iot:CredentialProvider. Para obtener más información acerca de AWS IoT puntos finales de dispositivos, consulte. AWS IoT datos del dispositivo y puntos finales de servicio

Los dispositivos que utilizan el registro de varias cuentas deben enviar la extensión de indicación del nombre del servidor (SNI) al protocolo Transport Layer Security (TLS) y proporcionar la dirección completa del punto final en el host_name campo cuando se conecten a AWS IoT. AWS IoT utiliza la dirección de punto final host_name para enrutar la conexión a la dirección correcta AWS IoT account. Los dispositivos existentes que no envíen una dirección de punto de conexión válida en host_name seguirán funcionando, pero no podrán utilizar las características que requiere esta información. Para obtener más información sobre la SNI extensión y aprender a identificar la dirección del punto final del host_name campo, consulteSeguridad del transporte en AWS IoT Core.

Para utilizar el registro de varias cuentas

  1. Puede registrar los certificados de dispositivo con una entidad de certificación. Puede registrar la CA emisora de certificados en varias cuentas en modo SNI_ONLY y utilizar esa entidad de certificación para registrar el mismo certificado de cliente en varias cuentas. Para obtener más información, consulte Registrar un certificado de CA en ONLY modo SNI _ (CLI): recomendado.

  2. Puede registrar los certificados de dispositivo sin una entidad de certificación. Consulte Registrar un certificado de cliente firmado por una CA no registrada () CLI. El registro de una entidad de certificación es opcional. No es necesario que registre la CA con la que firmó los certificados del dispositivo AWS IoT.

Los algoritmos de firma de certificados son compatibles con AWS IoT

AWS IoT admite los siguientes algoritmos de firma de certificados:

  • SHA256WITHRSA

  • SHA384WITHRSA

  • SHA512WITHRSA

  • SHA256WITHRSAANDMGF1 (RSASSA-PSS)

  • SHA384WITHRSAANDMGF1 (RSASSA-PSS)

  • SHA512WITHRSAANDMGF1 (RSASSA-PSS)

  • DSA_WITH_SHA256

  • ECDSA-WITH-SHA256

  • ECDSA-WITH-SHA384

  • ECDSA-WITH-SHA512

Para obtener más información sobre la autenticación y la seguridad de los certificados, consulte Calidad de la clave del certificado del dispositivo.

nota

La solicitud de firma del certificado (CSR) debe incluir una clave pública. La clave puede ser una RSA clave con una longitud de al menos 2048 bits o una ECC clave de las curvas NIST P-256, NIST P-384 o NIST P-521. Para obtener más información, consulte en la CreateCertificateFromCsrAWS IoT APIGuía de referencia.

Algoritmos clave compatibles con AWS IoT

En la siguiente tabla se muestra cómo se admiten los algoritmos clave:

Algoritmo clave Algoritmo de firma de certificados TLSversión ¿Se admite? Yes o No
RSAcon un tamaño de clave de al menos 2048 bits Todos TLS1.2 1.3 TLS
ECCNISTP-256/P-384/P-521 Todos TLS1.2 1.3 TLS
RSA- PSS con un tamaño de clave de al menos 2048 bits Todos TLS1.2 No
RSA- PSS con un tamaño de clave de al menos 2048 bits Todos TLS1.3

Para crear un certificado mediante CreateCertificateFromCSR, puede utilizar un algoritmo de clave compatible para generar una clave pública para suCSR. Para registrar su propio certificado mediante RegisterCertificateuna RegisterCertificateWithoutCA, puede utilizar un algoritmo de clave compatible para generar una clave pública para el certificado.

Para obtener más información, consulte Políticas de seguridad.