Daftarkan sertifikat klien saat klien terhubung AWS IoT just-in-time pendaftaran (JITR) - AWS IoT Core
Konfigurasikan sertifikat CA untuk mendukung pendaftaran otomatis (konsol)Konfigurasikan sertifikat CA untuk mendukung pendaftaran otomatis (CLI)Konfigurasikan koneksi pertama oleh klien untuk pendaftaran otomatis

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Daftarkan sertifikat klien saat klien terhubung AWS IoT just-in-time pendaftaran (JITR)

Anda dapat mengonfigurasi sertifikat CA untuk mengaktifkan sertifikat klien yang telah ditandatangani untuk mendaftar AWS IoT secara otomatis saat pertama kali klien terhubung AWS IoT.

Untuk mendaftarkan sertifikat klien saat klien terhubung AWS IoT untuk pertama kalinya, Anda harus mengaktifkan sertifikat CA untuk pendaftaran otomatis dan mengkonfigurasi koneksi pertama oleh klien untuk memberikan sertifikat yang diperlukan.

Konfigurasikan sertifikat CA untuk mendukung pendaftaran otomatis (konsol)

Untuk mengonfigurasi sertifikat CA untuk mendukung pendaftaran sertifikat klien otomatis menggunakan AWS IoT konsol

  1. Masuk ke AWS Management Console dan buka AWS IoT konsol.

  2. Di panel navigasi kiri, pilih Aman, pilih CAs.

  3. Dalam daftar otoritas sertifikat, temukan yang ingin Anda aktifkan pendaftaran otomatis, dan buka menu opsi dengan menggunakan ikon elipsis.

  4. Pada menu opsi, pilih Aktifkan pendaftaran otomatis.

catatan

Status registrasi otomatis tidak ditampilkan dalam daftar otoritas sertifikat. Untuk melihat status registrasi otomatis otoritas sertifikat, Anda harus membuka halaman Detail otoritas sertifikat.

Konfigurasikan sertifikat CA untuk mendukung pendaftaran otomatis (CLI)

Jika Anda telah mendaftarkan sertifikat CA Anda dengan AWS IoT, gunakan update-ca-certificateperintah untuk mengatur autoRegistrationStatus sertifikat CA keENABLE.

aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE

Jika Anda ingin mengaktifkan autoRegistrationStatus ketika Anda mendaftarkan sertifikat CA, gunakan register-ca-certificateperintah.

aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem

Gunakan describe-ca-certificateperintah untuk melihat status sertifikat CA.

Konfigurasikan koneksi pertama oleh klien untuk pendaftaran otomatis

Ketika klien mencoba untuk terhubung ke AWS IoT Untuk pertama kalinya, sertifikat klien yang ditandatangani oleh sertifikat CA Anda harus ada pada klien selama jabat tangan Transport Layer Security (TLS).

Ketika klien terhubung ke AWS IoT, gunakan sertifikat klien yang Anda buat di Buat AWS IoT sertifikat klien atau Buat sertifikat klien Anda sendiri. AWS IoT mengakui sertifikat CA sebagai sertifikat CA terdaftar, mendaftarkan sertifikat klien, dan menetapkan statusnya. PENDING_ACTIVATION Ini berarti bahwa sertifikat klien terdaftar secara otomatis dan sedang menunggu aktivasi. Status sertifikat klien harus ACTIVE sebelum dapat digunakan untuk terhubung AWS IoT. Lihat Mengaktifkan atau menonaktifkan sertifikat klien untuk informasi tentang mengaktifkan sertifikat klien.

catatan

Anda dapat menyediakan perangkat menggunakan AWS IoT Core just-in-timefitur registrasi (JITR) tanpa harus mengirim seluruh rantai kepercayaan pada koneksi pertama perangkat ke AWS IoT Core. Menyajikan sertifikat CA bersifat opsional tetapi perangkat diperlukan untuk mengirim ekstensi Indikasi Nama Server (SNI) saat terhubung.

Saat AWS IoT secara otomatis mendaftarkan sertifikat atau ketika klien menyajikan sertifikat dalam PENDING_ACTIVATION status, AWS IoT menerbitkan pesan ke MQTT topik berikut:

$aws/events/certificates/registered/caCertificateId

caCertificateIdDimana ID sertifikat CA yang mengeluarkan sertifikat klien.

Pesan yang dipublikasikan untuk topik ini memiliki struktur sebagai berikut:

{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}

Anda dapat membuat aturan yang mendengarkan topik ini dan melakukan beberapa tindakan. Sebaiknya Anda membuat aturan Lambda yang memverifikasi sertifikat klien tidak ada dalam daftar pencabutan sertifikat (CRL), mengaktifkan sertifikat, dan membuat serta melampirkan kebijakan ke sertifikat. Kebijakan menentukan sumber daya mana yang dapat diakses klien. Untuk informasi selengkapnya tentang cara membuat aturan Lambda yang mendengarkan $aws/events/certificates/registered/caCertificateID topik dan melakukan tindakan ini, lihat just-in-time pendaftaran Sertifikat Klien di AWS IoT.

Jika ada kesalahan atau pengecualian yang terjadi selama pendaftaran otomatis sertifikat klien, AWS IoT mengirim peristiwa atau pesan ke log Anda di CloudWatch Log. Untuk informasi selengkapnya tentang menyiapkan log untuk akun Anda, lihat CloudWatch dokumentasi Amazon.