Menghubungkan perangkat klien ke perangkatAWS IoT Greengrass Core dengan broker MQTT - AWS IoT Greengrass
Menggunakan CA Anda sendiri

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan perangkat klien ke perangkatAWS IoT Greengrass Core dengan broker MQTT

Saat Anda menggunakan broker MQTT di perangkatAWS IoT Greengrass Core Anda, perangkat menggunakan otoritas sertifikat perangkat inti (CA) yang unik untuk perangkat untuk mengeluarkan sertifikat kepada broker untuk membuat koneksi TLS bersama dengan klien.

AWS IoT Greengrassakan membuat perangkat inti CA, atau Anda dapat memberikan milik Anda sendiri. CA perangkat inti terdaftar denganAWS IoT Greengrass ketikaAuth perangkat klien komponen terhubung. CA perangkat inti yang dibuat otomatis bersifat persisten, perangkat akan terus menggunakan CA yang sama selama komponen autentikasi perangkat klien dikonfigurasi.

Ketika broker MQTT dimulai, ia meminta sertifikat. Komponen autentikasi perangkat klien mengeluarkan sertifikat X.509 menggunakan CA perangkat inti. Sertifikat diputar ketika broker mulai, ketika sertifikat kedaluwarsa, atau ketika informasi konektivitas seperti alamat IP berubah. Untuk informasi selengkapnya, lihat Rotasi sertifikat pada broker MQTT lokal.

Untuk menghubungkan klien ke broker MQTT, Anda memerlukan hal berikut ini:

  • Perangkat klien harus memiliki perangkatAWS IoT Greengrass Core CA. Anda bisa mendapatkan CA ini melalui cloud discovery, atau dengan menyediakan CA secara manual. Untuk informasi selengkapnya, lihat Menggunakan otoritas sertifikat Anda sendiri.

  • Nama domain yang memenuhi syarat (FQDN) atau alamat IP dari perangkat inti harus ada di sertifikat broker yang dikeluarkan oleh CA perangkat inti. Anda memastikan ini menggunakanDetektor IP komponen atau mengkonfigurasi alamat IP secara manual. Untuk informasi selengkapnya, lihat Kelola titik akhir perangkat inti.

  • Komponen auth perangkat klien harus memberikan izin perangkat klien untuk terhubung ke perangkat core Greengrass. Untuk informasi selengkapnya, lihat Auth perangkat klien.

Menggunakan otoritas sertifikat Anda sendiri

Jika perangkat klien Anda tidak dapat mengakses cloud untuk menemukan perangkat inti Anda, Anda dapat memberikan otoritas sertifikat perangkat inti (CA). Perangkat inti Greengrass Anda menggunakan perangkat inti CA untuk menerbitkan sertifikat untuk broker MQTT Anda. Setelah Anda mengonfigurasi perangkat inti dan menyediakan perangkat klien Anda dengan CA, perangkat klien Anda dapat terhubung ke titik akhir dan memverifikasi jabat tangan TLS menggunakan perangkat inti CA (CA yang disediakan sendiri atau dibuat secara otomatis).

Untuk mengonfigurasiAuth perangkat klien komponen agar menggunakan CA perangkat inti Anda, atur parametercertificateAuthority konfigurasi saat Anda menerapkan komponen. Selama konfigurasi, Anda harus memberikan rincian berikut:

  • Lokasi dari sertifikat CA perangkat inti.

  • Kunci privat dari sertifikat CA perangkat inti.

  • (Opsional) Rantai sertifikat ke sertifikat root jika perangkat inti CA adalah CA perantara.

Jika Anda menyediakan CA perangkat inti,AWS IoT Greengrass daftarkan CA dengan cloud.

Anda dapat menyimpan sertifikat Anda dalam modul keamanan perangkat keras atau pada sistem file. Contoh berikut menunjukkancertificateAuthority konfigurasi untuk CA menengah disimpan menggunakan HSM/TPM. Perhatikan bahwa rantai sertifikat hanya dapat disimpan pada disk.

  "certificateAuthority": {
      "certificateUri": "pkcs11:object=CustomerIntermediateCA;type=cert",
      "privateKeyUri": "pkcs11:object=CustomerIntermediateCA;type=private"
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

Dalam contoh ini, parametercertificateAuthority konfigurasi mengkonfigurasi komponen autentikasi perangkat klien untuk menggunakan CA perantara dari sistem file:

  "certificateAuthority": {
      "certificateUri": "file:///home/ec2-user/creds/intermediateCA.pem",
      "privateKeyUri": "file:///home/ec2-user/creds/intermediateCA.privateKey.pem",
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

Untuk menghubungkan perangkat ke perangkatAWS IoT Greengrass Core Anda, lakukan hal berikut:

  1. Buat otoritas sertifikat (CA) untuk perangkat core Greengrass menggunakan CA root organisasi Anda. Kami menyarankan Anda menggunakan CA perantara sebagai praktik terbaik keamanan.

  2. Berikan sertifikat CA menengah, kunci privat, dan rantai sertifikat ke CA root Anda ke perangkat core Greengrass. Untuk informasi selengkapnya, lihat Auth perangkat klien. CA perantara menjadi CA perangkat inti untuk perangkat inti Greengrass, dan perangkat mendaftarkan CA denganAWS IoT Greengrass.

  3. Daftarkan perangkat klien sebagaiAWS IoT sesuatu. Untuk informasi selengkapnya, lihat Membuat objek benda di PanduanAWS IoT Core Pengembang. Tambahkan kunci pribadi, kunci publik, sertifikat perangkat, dan sertifikat CA root ke perangkat klien Anda. Bagaimana Anda menambahkan informasi tergantung pada perangkat dan perangkat lunak Anda.

Setelah Anda mengonfigurasi perangkat, Anda dapat menggunakan sertifikat dan gantungan kunci publik untuk terhubung ke perangkat core Greengrass. Perangkat lunak Anda bertanggung jawab untuk menemukan titik akhir perangkat inti. Anda dapat mengatur titik akhir secara manual untuk perangkat inti. Untuk informasi selengkapnya, lihat Kelola titik akhir secara manual.