Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous pouvez configurer un certificat CA pour permettre aux certificats clients qu'il a signés de s'enregistrer AWS IoT automatiquement lors de la première connexion du client AWS IoT.
Pour enregistrer des certificats client lorsqu'un client se connecte AWS IoT pour la première fois, vous devez activer le certificat CA pour l'enregistrement automatique et configurer la première connexion du client afin de fournir les certificats requis.
Configuration d’un certificat d'autorité de certification pour la prise en charge de l'enregistrement automatique (console)
Pour configurer un certificat CA afin de prendre en charge l'enregistrement automatique des certificats clients à l'aide de la AWS IoT console
-
Connectez-vous à la console AWS de gestion et AWS IoT ouvrez-la
. -
Dans le volet de navigation de gauche, choisissez Secure, choisissez CAs.
-
Dans la liste des autorités de certification, recherchez celle pour laquelle vous souhaitez activer l'enregistrement automatique et ouvrez le menu d'options à l'aide de l'icône représentant des points de suspension.
-
Dans le menu d'options, choisissez Activer l'enregistrement automatique.
Note
Le statut d'enregistrement automatique n'apparaît pas dans la liste des autorités de certification. Pour voir le statut d'enregistrement automatique d'une autorité de certification, vous devez ouvrir la page Détails de l'autorité de certification.
Configurer un certificat CA pour prendre en charge l'enregistrement automatique (CLI)
Si vous avez déjà enregistré votre certificat CA auprès de AWS IoT, utilisez la update-ca-certificateautoRegistrationStatus
le certificat CA surENABLE
.
aws iot update-ca-certificate \ --certificate-id
caCertificateId
\ --new-auto-registration-status ENABLE
Si vous souhaitez activer autoRegistrationStatus
lors de l'enregistrement du certificat d'autorité de certification, utilisez la commande register-ca-certificate
aws iot register-ca-certificate \ --allow-auto-registration \ --ca-certificate file://
root_CA_cert_filename.pem
\ --verification-cert file://verification_cert_filename.pem
Utilisez la commande describe-ca-certificate
Configuration de la première connexion par un client pour l'enregistrement automatique
Lorsqu'un client tente de se connecter AWS IoT pour la première fois, le certificat client signé par votre certificat CA doit être présent sur le client lors de la poignée de main Transport Layer Security (TLS).
Lorsque le client se connecte à AWS IoT, utilisez le certificat client que vous avez créé dans Créer des certificats AWS IoT clients ou Créez vos propres certificats clients. AWS IoT reconnaît le certificat CA en tant que certificat CA enregistré, enregistre le certificat client et définit son statut surPENDING_ACTIVATION
. Cela signifie que le certificat client a été enregistré automatiquement et qu'il est en attente d'activation. L'état du certificat client doit être ACTIVE
avant de pouvoir être utilisé pour la connexion à AWS IoT. Consultez Activation ou désactivation d’un certificat client pour plus d'informations sur l'activation d'un certificat client.
Note
Vous pouvez approvisionner des appareils à l'aide de la fonction AWS IoT Core just-in-time registration (JITR) sans avoir à envoyer l'intégralité de la chaîne de confiance lors de la première connexion des appareils à AWS IoT Core. La présentation du certificat CA est facultative, mais l'appareil doit envoyer l'extension Server Name Indication (SNI)
Lors de l'enregistrement AWS IoT automatique d'un certificat ou lorsqu'un client présente un certificat avec le PENDING_ACTIVATION
statut, AWS IoT publie un message sur le MQTT sujet suivant :
$aws/events/certificates/registered/
caCertificateId
Où
est l'ID du certificat d’autorité de certification ayant émis le certificat client.caCertificateId
Le message publié sur cette rubrique a la structure suivante :
{
"certificateId": "certificateId
",
"caCertificateId": "caCertificateId
",
"timestamp": timestamp
,
"certificateStatus": "PENDING_ACTIVATION",
"awsAccountId": "awsAccountId
",
"certificateRegistrationTimestamp": "certificateRegistrationTimestamp
"
}
Vous pouvez créer une règle qui écoute cette rubrique et effectue certaines actions. Nous vous recommandons de créer une règle Lambda qui vérifie que le certificat client ne figure pas sur une liste de révocation de certificats (CRL), active le certificat, crée et attache une politique au certificat. La stratégie détermine les ressources auxquelles le client peut accéder. Si la politique que vous créez nécessite l'ID client des appareils connectés, vous pouvez utiliser la fonction clientid () de la règle pour récupérer l'ID client. Voici un exemple de définition de règle :
SELECT *,
clientid() as clientid
from $aws/events/certificates/registered/caCertificateId
Dans cet exemple, la règle s'abonne à la JITR rubrique $aws/events/certificates/registered/
et utilise la fonction clientid () pour récupérer l'identifiant du client. La règle ajoute ensuite l'ID client à la JITR charge utile. Pour plus d'informations sur la fonction clientid () de la règle, consultez clientid ().caCertificateID
Pour plus d'informations sur la création d'une règle Lambda qui écoute le $aws/events/certificates/registered/
sujet et exécute ces actions, consultez la section just-in-time Enregistrement des certificats clientscaCertificateID
Si une erreur ou une exception survient lors de l'enregistrement automatique des certificats clients, AWS IoT envoie des événements ou des messages à vos journaux de CloudWatch connexion. Pour plus d'informations sur la configuration des journaux de votre compte, consultez la CloudWatch documentation Amazon.