Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Lorsque vous utilisez un courtier MQTT sur votre appareil AWS IoT Greengrass principal, celui-ci utilise une autorité de certification (CA) principale propre à l'appareil pour délivrer un certificat au courtier afin d'établir des connexions TLS mutuelles avec les clients.
AWS IoT Greengrass générera automatiquement une autorité de certification du périphérique principal, ou vous pouvez fournir la vôtre. Le périphérique principal auprès duquel l'autorité de certification est enregistrée AWS IoT Greengrass lorsque le Authentification de l'appareil client composant est connecté. L'autorité de certification du périphérique principal générée automatiquement est persistante, le périphérique continuera à utiliser la même autorité de certification tant que le composant d'authentification du périphérique client est configuré.
Lorsque le broker MQTT démarre, il demande un certificat. Le composant d'authentification du périphérique client émet un certificat X.509 à l'aide de l'autorité de certification du périphérique principal. Le certificat fait l'objet d'une rotation lorsque le broker démarre, lorsqu'il expire ou lorsque les informations de connectivité telles que l'adresse IP changent. Pour de plus amples informations, veuillez consulter Rotation des certificats sur le broker MQTT local.
Pour connecter un client au broker MQTT, vous avez besoin des éléments suivants :
-
L'appareil client doit disposer de l'autorité de certification du périphérique AWS IoT Greengrass Core. Vous pouvez obtenir cette autorité de certification par le biais de la découverte du cloud ou en la fournissant manuellement. Pour de plus amples informations, veuillez consulter Utiliser votre propre autorité de certification.
-
Le nom de domaine complet (FQDN) ou l'adresse IP du périphérique principal doivent figurer dans le certificat de courtier émis par l'autorité de certification du périphérique principal. Vous vous en assurez à l'aide du Détecteur IP composant ou en configurant manuellement l'adresse IP. Pour de plus amples informations, veuillez consulter Gérez les principaux points de terminaison des appareils.
-
Le composant d'authentification du périphérique client doit autoriser l'appareil client à se connecter au périphérique principal de Greengrass. Pour de plus amples informations, veuillez consulter Authentification de l'appareil client.
Utiliser votre propre autorité de certification
Si vos appareils clients ne peuvent pas accéder au cloud pour découvrir votre appareil principal, vous pouvez fournir une autorité de certification (CA) principale. Votre appareil principal Greengrass utilise l'autorité de certification du périphérique principal pour émettre des certificats pour votre courtier MQTT. Une fois que vous avez configuré le périphérique principal et que vous avez doté votre appareil client de son autorité de certification, vos appareils clients peuvent se connecter au point de terminaison et vérifier la prise de contact TLS à l'aide de l'autorité de certification du périphérique principal (propre autorité de certification fournie ou générée automatiquement).
Pour configurer le Authentification de l'appareil client composant afin qu'il utilise l'autorité de certification de votre appareil principal, définissez le paramètre de certificateAuthority configuration lorsque vous déployez le composant. Vous devez fournir les informations suivantes lors de la configuration :
-
Emplacement du certificat CA d'un périphérique principal.
-
La clé privée du certificat CA du périphérique principal.
-
(Facultatif) La chaîne de certificats vers le certificat racine si l'autorité de certification du périphérique principal est une autorité de certification intermédiaire.
Si vous fournissez une autorité de certification de périphérique principale, AWS IoT Greengrass enregistrez l'autorité de certification dans le cloud.
Vous pouvez stocker vos certificats dans un module de sécurité matériel ou dans le système de fichiers. L'exemple suivant montre une certificateAuthority configuration pour une autorité de certification intermédiaire stockée à l'aide de HSM/TPM. Notez que la chaîne de certificats ne peut être stockée que sur disque.
"certificateAuthority": {
"certificateUri": "pkcs11:object=CustomerIntermediateCA;type=cert",
"privateKeyUri": "pkcs11:object=CustomerIntermediateCA;type=private"
"certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
}Dans cet exemple, le paramètre certificateAuthority de configuration configure le composant d'authentification de l'appareil client pour utiliser une autorité de certification intermédiaire du système de fichiers :
"certificateAuthority": {
"certificateUri": "file:///home/ec2-user/creds/intermediateCA.pem",
"privateKeyUri": "file:///home/ec2-user/creds/intermediateCA.privateKey.pem",
"certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
}Pour connecter les appareils à votre appareil AWS IoT Greengrass Core, procédez comme suit :
-
Créez une autorité de certification (CA) intermédiaire pour le périphérique principal de Greengrass à l'aide de l'autorité de certification racine de votre organisation. Nous vous recommandons d'utiliser une autorité de certification intermédiaire comme meilleure pratique en matière de sécurité.
-
Fournissez le certificat de l'autorité de certification intermédiaire, la clé privée et la chaîne de certificats de votre autorité de certification racine au périphérique principal Greengrass. Pour de plus amples informations, veuillez consulter Authentification de l'appareil client. L'autorité de certification intermédiaire devient l'autorité de certification principale du périphérique principal de Greengrass, et le périphérique enregistre l'autorité de certification auprès de celle-ci. AWS IoT Greengrass
-
Enregistrez l'appareil client en tant qu' AWS IoT objet. Pour plus d'informations, consultez la section Création d'un objet dans le Guide du AWS IoT Core développeur. Ajoutez la clé privée, la clé publique, le certificat de périphérique et le certificat d'autorité de certification racine à votre appareil client. La manière dont vous ajoutez les informations dépend de votre appareil et de votre logiciel.
Une fois que vous avez configuré votre appareil, vous pouvez utiliser le certificat et la chaîne de clés publiques pour vous connecter au périphérique principal de Greengrass. Votre logiciel est chargé de trouver les principaux points de terminaison de l'appareil. Vous pouvez définir le point de terminaison manuellement pour le périphérique principal. Pour de plus amples informations, veuillez consulter Gérer manuellement les points de terminaison.
