Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Autentikasi Klien
AWS IoT mendukung tiga jenis prinsip identitas untuk otentikasi perangkat atau klien:
+ [Sertifikat klien X.509](x509-client-certs.md)
+ [Pengguna IAM, grup IAM, dan IAM role](iam-users-groups-roles.md)
+ [Identitas Amazon Cognito](cognito-identities.md)
Identitas ini dapat digunakan dengan perangkat, seluler, web, atau aplikasi desktop. Mereka bahkan dapat digunakan oleh perintah user typing AWS IoT command line interface (CLI). Biasanya, AWS IoT perangkat menggunakan sertifikat X.509, sedangkan aplikasi seluler menggunakan identitas Amazon Cognito. Aplikasi web dan desktop menggunakan IAM atau identitas federasi. AWS CLI perintah menggunakan IAM. Untuk informasi lebih lanjut tentang identitas IAM, lihat. [Identitas dan manajemen akses untuk AWS IoT](security-iam.md)
# Sertifikat klien X.509
Sertifikat X.509 menyediakan AWS IoT kemampuan untuk mengautentikasi koneksi klien dan perangkat. Sertifikat klien harus terdaftar AWS IoT sebelum klien dapat berkomunikasi dengan AWS IoT. Sertifikat klien dapat didaftarkan dalam beberapa Akun AWS detik yang sama Wilayah AWS untuk memfasilitasi pemindahan perangkat antara Akun AWS s Anda di wilayah yang sama. Untuk informasi selengkapnya, lihat [Menggunakan sertifikat klien X.509 dalam beberapa Akun AWS detik dengan pendaftaran multi-akun](#multiple-account-cert).
Kami menyarankan agar setiap perangkat atau klien diberikan sertifikat unik untuk mengaktifkan tindakan manajemen klien yang berbutir halus, termasuk pencabutan sertifikat. Perangkat dan klien juga harus mendukung rotasi dan penggantian sertifikat untuk membantu memastikan kelancaran pengoperasian saat sertifikat kedaluwarsa.
Untuk informasi tentang penggunaan sertifikat X.509 untuk mendukung lebih dari beberapa perangkat, lihat [Penyediaan perangkat](iot-provision.md) untuk meninjau berbagai opsi manajemen dan penyediaan sertifikat yang mendukung. AWS IoT
**AWS IoT mendukung jenis sertifikat klien X.509 ini:**
+ Sertifikat X.509 yang dihasilkan oleh AWS IoT
+ Sertifikat X.509 ditandatangani oleh CA yang terdaftar dengan. AWS IoT
+ Sertifikat X.509 ditandatangani oleh CA yang tidak terdaftar. AWS IoT
Bagian ini menjelaskan cara mengelola sertifikat X.509 di. AWS IoT Anda dapat menggunakan AWS IoT konsol atau AWS CLI untuk melakukan operasi sertifikat ini:
+ [Buat sertifikat AWS IoT klien](device-certs-create.md)
+ [Buat sertifikat klien Anda sendiri](device-certs-your-own.md)
+ [Mendaftarkan sertifikat klien](register-device-cert.md)
+ [Mengaktifkan atau menonaktifkan sertifikat klien](activate-or-deactivate-device-cert.md)
+ [Mencabut sertifikat klien](revoke-ca-cert.md)
Untuk informasi selengkapnya tentang AWS CLI perintah yang melakukan operasi ini, lihat [AWS IoT Referensi CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/index.html).
## Menggunakan sertifikat klien X.509
Sertifikat X.509 mengautentikasi koneksi klien dan perangkat ke. AWS IoT Sertifikat X.509 memberikan beberapa manfaat dibandingkan mekanisme identifikasi dan otentikasi lainnya. Sertifikat X.509 memungkinkan kunci asimetris untuk digunakan dengan perangkat. Misalnya, Anda dapat membakar kunci pribadi ke dalam penyimpanan aman pada perangkat sehingga materi kriptografi sensitif tidak pernah meninggalkan perangkat. Sertifikat X.509 memberikan otentikasi klien yang lebih kuat atas skema lain, seperti nama pengguna dan kata sandi atau token pembawa, karena kunci pribadi tidak pernah meninggalkan perangkat.
AWS IoT mengotentikasi sertifikat klien menggunakan modus otentikasi klien protokol TLS. Dukungan TLS tersedia dalam banyak bahasa pemrograman dan sistem operasi dan umumnya digunakan untuk mengenkripsi data. Dalam otentikasi klien TLS, AWS IoT meminta sertifikat klien X.509 dan memvalidasi status sertifikat dan Akun AWS terhadap registri sertifikat. Ini kemudian menantang klien untuk bukti kepemilikan kunci pribadi yang sesuai dengan kunci publik yang terkandung dalam sertifikat. AWS IoT mengharuskan klien untuk mengirim [ekstensi Server Name Indication (SNI) ke protokol](https://tools.ietf.org/html/rfc3546#section-3.1) Transport Layer Security (TLS). Untuk informasi selengkapnya tentang mengonfigurasi ekstensi SNI, lihat. [Keamanan transportasi di AWS IoT Core](transport-security.md)
Untuk memfasilitasi koneksi klien yang aman dan konsisten ke AWS IoT inti, sertifikat klien X.509 harus memiliki yang berikut:
+ Terdaftar di AWS IoT Core. Untuk informasi selengkapnya, lihat [Mendaftarkan sertifikat klien](register-device-cert.md).
+ Memiliki status status`ACTIVE`. Untuk informasi selengkapnya, lihat [Mengaktifkan atau menonaktifkan sertifikat klien](activate-or-deactivate-device-cert.md).
+ Belum mencapai tanggal kedaluwarsa sertifikat.
Anda dapat membuat sertifikat klien yang menggunakan Amazon Root CA dan Anda dapat menggunakan sertifikat klien Anda sendiri yang ditandatangani oleh otoritas sertifikat (CA) lain. Untuk informasi selengkapnya tentang penggunaan AWS IoT konsol untuk membuat sertifikat yang menggunakan Amazon Root CA, lihat[Buat sertifikat AWS IoT klien](device-certs-create.md). Untuk informasi selengkapnya tentang menggunakan sertifikat X.509 Anda sendiri, lihat. [Buat sertifikat klien Anda sendiri](device-certs-your-own.md)
Tanggal dan waktu ketika sertifikat yang ditandatangani oleh sertifikat CA kedaluwarsa ditetapkan saat sertifikat dibuat. Sertifikat X.509 yang dihasilkan dengan AWS IoT kedaluwarsa pada tengah malam UTC pada tanggal 31 Desember 2049 (2049-12-31T 23:59:59 Z).
AWS IoT Device Defender dapat melakukan audit pada perangkat Anda Akun AWS dan perangkat yang mendukung praktik terbaik keamanan IoT umum. Ini termasuk mengelola tanggal kedaluwarsa sertifikat X.509 yang ditandatangani oleh CA Anda atau Amazon Root CA. Untuk informasi selengkapnya tentang mengelola tanggal kedaluwarsa sertifikat, lihat Sertifikat [perangkat kedaluwarsa dan sertifikat [CA](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-ca-cert-approaching-expiration.html) kedaluwarsa](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-approaching-expiration.html).
Di AWS IoT blog resmi, penyelaman lebih dalam tentang pengelolaan rotasi sertifikat perangkat dan praktik terbaik keamanan dieksplorasi di [Cara mengelola rotasi sertifikat perangkat IoT](https://aws.amazon.com/blogs/iot/how-to-manage-iot-device-certificate-rotation-using-aws-iot/) menggunakan. AWS IoT
## Menggunakan sertifikat klien X.509 dalam beberapa Akun AWS detik dengan pendaftaran multi-akun
Pendaftaran multi-akun memungkinkan untuk memindahkan perangkat antara Akun AWS s Anda di Wilayah yang sama atau di Wilayah yang berbeda. Anda dapat mendaftar, menguji, dan mengonfigurasi perangkat di akun pra-produksi, lalu mendaftar dan menggunakan perangkat dan sertifikat perangkat yang sama di akun produksi. Anda juga dapat mendaftarkan sertifikat klien pada perangkat atau sertifikat perangkat tanpa CA yang terdaftar AWS IoT. Untuk informasi selengkapnya, lihat [Mendaftarkan sertifikat klien yang ditandatangani oleh CA (CLI) yang tidak terdaftar](manual-cert-registration.md#manual-cert-registration-noca-cli).
**catatan**
Sertifikat yang digunakan untuk pendaftaran multi-akun didukung pada jenis`iot:Data-ATS`, `iot:Data` (warisan),`iot:Jobs`, dan titik `iot:CredentialProvider` akhir. Untuk informasi selengkapnya tentang titik akhir AWS IoT perangkat, lihat[AWS IoT data perangkat dan titik akhir layanan](iot-connect-devices.md#iot-connect-device-endpoints).
Perangkat yang menggunakan registrasi multi-akun harus mengirimkan [ekstensi Server Name Indication (SNI)](https://tools.ietf.org/html/rfc3546#section-3.1) ke protokol Transport Layer Security (TLS) dan memberikan alamat endpoint lengkap di `host_name` lapangan, ketika mereka terhubung ke. AWS IoT AWS IoT menggunakan alamat titik akhir `host_name` untuk merutekan koneksi ke AWS IoT akun yang benar. Perangkat yang ada yang tidak mengirim alamat titik akhir yang valid `host_name` akan terus berfungsi, tetapi mereka tidak akan dapat menggunakan fitur yang memerlukan informasi ini. Untuk informasi lebih lanjut tentang ekstensi SNI dan untuk mempelajari cara mengidentifikasi alamat titik akhir untuk `host_name` bidang tersebut, lihat. [Keamanan transportasi di AWS IoT Core](transport-security.md)
**Untuk menggunakan pendaftaran multi-akun**
1. Anda dapat mendaftarkan sertifikat perangkat dengan CA. Anda dapat mendaftarkan CA penandatanganan dalam beberapa akun dalam `SNI_ONLY` mode dan menggunakan CA tersebut untuk mendaftarkan sertifikat klien yang sama ke beberapa akun. Untuk informasi selengkapnya, lihat [Daftarkan sertifikat CA dalam mode SNI\$1ONLY (CLI) - Direkomendasikan](manage-your-CA-certs.md#register-CA-cert-SNI-cli).
1. Anda dapat mendaftarkan sertifikat perangkat tanpa CA. Lihat [Daftarkan sertifikat klien yang ditandatangani oleh CA (CLI) yang tidak terdaftar](manual-cert-registration.md#manual-cert-registration-noca-cli). Mendaftarkan CA adalah opsional. Anda tidak diharuskan mendaftarkan CA yang menandatangani sertifikat perangkat AWS IoT.
## Algoritma penandatanganan sertifikat didukung oleh AWS IoT
AWS IoT mendukung algoritma penandatanganan sertifikat berikut:
+ SHA256WITHRSA
+ SHA384WITHRSA
+ SHA512WITHRSA
+ SHA256WITHRSAANDMGF1 (RSASSA-PSS)
+ SHA384WITHRSAANDMGF1 (RSASSA-PSS)
+ SHA512WITHRSAANDMGF1 (RSASSA-PSS)
+ DSA\$1DENGAN\$1 SHA256
+ ECDSA-DENGAN- SHA256
+ ECDSA-DENGAN- SHA384
+ ECDSA-DENGAN- SHA512
Untuk informasi selengkapnya tentang otentikasi dan keamanan sertifikat, lihat [Kualitas kunci sertifikat perangkat](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-key-quality.html).
**catatan**
Permintaan penandatanganan sertifikat (CSR) harus menyertakan kunci publik. Kunci dapat berupa kunci RSA dengan panjang setidaknya 2.048 bit atau kunci ECC dari kurva NIST P-256, NIST P-384, atau NIST P-521. Untuk informasi selengkapnya, lihat [CreateCertificateFromCsr](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateCertificateFromCsr.html)di *Panduan Referensi AWS IoT API*.
## Algoritma kunci yang didukung oleh AWS IoT
Tabel di bawah ini menunjukkan bagaimana algoritma kunci didukung:
****
| Algoritma kunci | Algoritma penandatanganan sertifikat | Versi TLS | Didukung? Ya atau Tidak |
| --- | --- | --- | --- |
| RSA dengan ukuran kunci minimal 2048 bit | Semua | TLS 1.2 TLS 1.3 | Ya |
| ECC NIST P-256/P-384/P-521 | Semua | TLS 1.2 TLS 1.3 | Ya |
| RSA-PSS dengan ukuran kunci minimal 2048 bit | Semua | TLS 1.2 | Tidak |
| RSA-PSS dengan ukuran kunci minimal 2048 bit | Semua | TLS 1.3 | Ya |
Untuk membuat sertifikat menggunakan [CreateCertificateFromCSR](https://docs.aws.amazon.com//iot/latest/apireference/API_CreateCertificateFromCsr.html), Anda dapat menggunakan algoritme kunci yang didukung untuk menghasilkan kunci publik untuk CSR Anda. Untuk mendaftarkan sertifikat Anda sendiri menggunakan [RegisterCertificate](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificate.html)atau [RegisterCertificateWithoutCA](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificateWithoutCA.html), Anda dapat menggunakan algoritma kunci yang didukung untuk menghasilkan kunci publik untuk sertifikat.
Untuk informasi selengkapnya, lihat [Kebijakan keamanan](https://docs.aws.amazon.com//iot/latest/developerguide/transport-security.html#tls-policy-table).
# Buat sertifikat AWS IoT klien
AWS IoT menyediakan sertifikat klien yang ditandatangani oleh otoritas sertifikat Amazon Root (CA).
Topik ini menjelaskan cara membuat sertifikat klien yang ditandatangani oleh otoritas sertifikat Amazon Root dan mengunduh file sertifikat. Setelah Anda membuat file sertifikat klien, Anda harus menginstalnya pada klien.
**catatan**
Setiap sertifikat klien X.509 yang disediakan oleh AWS IoT memiliki atribut penerbit dan subjek yang Anda tetapkan pada saat pembuatan sertifikat. Atribut sertifikat tidak dapat diubah hanya setelah sertifikat dibuat.
Anda dapat menggunakan AWS IoT konsol atau AWS CLI untuk membuat AWS IoT sertifikat yang ditandatangani oleh otoritas sertifikat Amazon Root.
## Buat AWS IoT sertifikat (konsol)
**Untuk membuat AWS IoT sertifikat menggunakan AWS IoT konsol**
1. Masuk ke Konsol Manajemen AWS dan buka [AWS IoT konsol](https://console.aws.amazon.com/iot/home).
1. Di panel navigasi, pilih **Keamanan**, lalu pilih **Sertifikat**, lalu pilih **Buat**.
1. Pilih **Pembuatan sertifikat sekali klik (disarankan)** - **Buat sertifikat**.
1. Dari halaman yang **dibuat Sertifikat**, unduh file sertifikat klien untuk benda tersebut, kunci publik, dan kunci pribadi ke lokasi yang aman. Sertifikat yang dihasilkan oleh ini hanya AWS IoT tersedia untuk digunakan dengan AWS IoT layanan.
Jika Anda juga memerlukan file sertifikat Amazon Root CA, halaman ini juga memiliki tautan ke halaman tempat Anda dapat mengunduhnya.
1. Sertifikat klien sekarang telah dibuat dan didaftarkan AWS IoT. Anda harus mengaktifkan sertifikat sebelum menggunakannya di klien.
Untuk mengaktifkan sertifikat klien sekarang, pilih **Aktifkan**. Jika Anda tidak ingin mengaktifkan sertifikat sekarang, lihat [Aktifkan sertifikat klien (konsol)](activate-or-deactivate-device-cert.md#activate-device-cert-console) untuk mempelajari cara mengaktifkan sertifikat nanti.
1. Jika Anda ingin melampirkan kebijakan ke sertifikat, pilih **Lampirkan kebijakan**.
Jika Anda tidak ingin melampirkan kebijakan sekarang, pilih **Selesai** untuk menyelesaikan. Anda dapat melampirkan kebijakan nanti.
Setelah Anda menyelesaikan prosedur, instal file sertifikat pada klien.
## Buat AWS IoT sertifikat (CLI)
AWS CLI Ini menyediakan **[create-keys-and-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/create-keys-and-certificate.html)** perintah untuk membuat sertifikat klien yang ditandatangani oleh otoritas sertifikat Amazon Root. Perintah ini, bagaimanapun, tidak mengunduh file sertifikat Amazon Root CA. Anda dapat mengunduh file sertifikat Amazon Root CA dari[Sertifikat CA untuk otentikasi server](server-authentication.md#server-authentication-certs).
Perintah ini membuat kunci pribadi, kunci publik, dan file sertifikat X.509 dan mendaftar dan mengaktifkan sertifikat dengan. AWS IoT
```
aws iot create-keys-and-certificate \
--set-as-active \
--certificate-pem-outfile certificate_filename.pem \
--public-key-outfile public_filename.key \
--private-key-outfile private_filename.key
```
Jika Anda tidak ingin mengaktifkan sertifikat saat Anda membuat dan mendaftarkannya, perintah ini membuat kunci pribadi, kunci publik, dan file sertifikat X.509 dan mendaftarkan sertifikat, tetapi tidak mengaktifkannya. [Aktifkan sertifikat klien (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli)menjelaskan cara mengaktifkan sertifikat nanti.
```
aws iot create-keys-and-certificate \
--no-set-as-active \
--certificate-pem-outfile certificate_filename.pem \
--public-key-outfile public_filename.key \
--private-key-outfile private_filename.key
```
Instal file sertifikat pada klien.
# Buat sertifikat klien Anda sendiri
AWS IoT mendukung sertifikat klien yang ditandatangani oleh otoritas sertifikat root atau menengah (CA). AWS IoT menggunakan sertifikat CA untuk memverifikasi kepemilikan sertifikat. Untuk menggunakan sertifikat perangkat yang ditandatangani oleh CA yang bukan CA Amazon, sertifikat CA harus terdaftar AWS IoT sehingga kami dapat memverifikasi kepemilikan sertifikat perangkat.
AWS IoT mendukung berbagai cara untuk membawa sertifikat Anda sendiri (BYOC):
+ Pertama, daftarkan CA yang digunakan untuk menandatangani sertifikat klien dan kemudian mendaftarkan sertifikat klien individu. Jika Anda ingin mendaftarkan perangkat atau klien ke sertifikat kliennya saat pertama kali terhubung ke AWS IoT (juga dikenal sebagai [Penyediaan Just-in-Time](https://docs.aws.amazon.com//iot/latest/developerguide/jit-provisioning.html)), Anda harus mendaftarkan CA penandatanganan dan mengaktifkan pendaftaran otomatis. AWS IoT
+ Jika Anda tidak dapat mendaftarkan CA penandatanganan, Anda dapat memilih untuk mendaftarkan sertifikat klien tanpa CA. Untuk perangkat yang terdaftar tanpa CA, Anda harus menunjukkan [Server Name Indication (SNI)](https://www.rfc-editor.org/rfc/rfc3546#section-3.1) saat Anda AWS IoT menghubungkannya.
**catatan**
Untuk mendaftarkan sertifikat klien menggunakan CA, Anda harus mendaftarkan CA penandatanganan dengan AWS IoT, bukan yang lain CAs dalam hierarki.
**catatan**
Sertifikat CA dapat didaftarkan dalam `DEFAULT` mode hanya dengan satu akun di Wilayah. Sertifikat CA dapat didaftarkan dalam `SNI_ONLY` mode oleh beberapa akun di Wilayah.
Untuk informasi selengkapnya tentang penggunaan sertifikat X.509 untuk mendukung lebih dari beberapa perangkat, lihat [Penyediaan perangkat](iot-provision.md) untuk meninjau berbagai opsi manajemen dan penyediaan sertifikat yang mendukung. AWS IoT
**Topics**
+ [
# Kelola sertifikat CA Anda
](manage-your-CA-certs.md)
+ [
# Buat sertifikat klien menggunakan sertifikat CA Anda
](create-device-cert.md)
# Kelola sertifikat CA Anda
Bagian ini menjelaskan tugas-tugas umum untuk mengelola sertifikat otoritas sertifikat (CA) Anda sendiri.
Anda dapat mendaftarkan otoritas sertifikat (CA) AWS IoT jika Anda menggunakan sertifikat klien yang ditandatangani oleh CA yang AWS IoT tidak mengenali.
Jika Anda ingin klien mendaftarkan sertifikat klien mereka secara otomatis AWS IoT ketika mereka pertama kali terhubung, CA yang menandatangani sertifikat klien harus terdaftar AWS IoT. Jika tidak, Anda tidak perlu mendaftarkan sertifikat CA yang menandatangani sertifikat klien.
**catatan**
Sertifikat CA dapat didaftarkan dalam `DEFAULT` mode hanya dengan satu akun di Wilayah. Sertifikat CA dapat didaftarkan dalam `SNI_ONLY` mode oleh beberapa akun di Wilayah.
**Topics**
+ [
## Buat sertifikat CA
](#create-your-CA-cert)
+ [
## Daftarkan sertifikat CA Anda
](#register-CA-cert)
+ [
## Nonaktifkan sertifikat CA
](#deactivate-ca-cert)
## Buat sertifikat CA
Jika Anda tidak memiliki sertifikat CA, Anda dapat menggunakan alat [OpenSSL](https://www.openssl.org/) v1.1.1i untuk membuatnya.
**catatan**
Anda tidak dapat melakukan prosedur ini di AWS IoT konsol.
**Untuk membuat sertifikat CA menggunakan alat [OpenSSL v1.1.1i](https://www.openssl.org/)**
1. Hasilkan key pair.
```
openssl genrsa -out root_CA_key_filename.key 2048
```
1. Gunakan kunci pribadi dari key pair untuk menghasilkan sertifikat CA.
```
openssl req -x509 -new -nodes \
-key root_CA_key_filename.key \
-sha256 -days 1024 \
-out root_CA_cert_filename.pem
```
## Daftarkan sertifikat CA Anda
Prosedur ini menjelaskan cara mendaftarkan sertifikat dari otoritas sertifikat (CA) yang bukan CA Amazon. AWS IoT Core menggunakan sertifikat CA untuk memverifikasi kepemilikan sertifikat. Untuk menggunakan sertifikat perangkat yang ditandatangani oleh CA yang bukan CA Amazon, Anda harus mendaftarkan sertifikat CA AWS IoT Core sehingga dapat memverifikasi kepemilikan sertifikat perangkat.
### Daftarkan sertifikat CA (konsol)
**catatan**
Untuk mendaftarkan sertifikat CA di konsol, mulai di konsol di [Daftar sertifikat CA](https://console.aws.amazon.com//iot/home#/create/cacertificate). Anda dapat mendaftarkan CA Anda dalam mode Multi-akun dan tanpa perlu memberikan sertifikat verifikasi atau akses ke kunci pribadi. CA dapat didaftarkan dalam mode Multiakun dengan lebih dari satu Akun AWS dalam Wilayah AWS yang sama. Anda dapat mendaftarkan CA Anda dalam mode Single-account dengan memberikan sertifikat verifikasi dan bukti kepemilikan kunci pribadi CA.
### Daftarkan sertifikat CA (CLI)
Anda dapat mendaftarkan sertifikat CA dalam `DEFAULT` mode atau `SNI_ONLY` mode. CA dapat didaftarkan dalam `DEFAULT` mode per Akun AWS satu Wilayah AWS. CA dapat didaftarkan dalam `SNI_ONLY` mode dengan beberapa Akun AWS dalam mode yang sama Wilayah AWS. Untuk informasi selengkapnya tentang mode sertifikat CA, lihat [CertificateMode](https://docs.aws.amazon.com//iot/latest/apireference/API_CACertificateDescription.html#iot-Type-CACertificateDescription-certificateMode).
**catatan**
Kami menyarankan Anda mendaftarkan CA dalam `SNI_ONLY` mode. Anda tidak perlu memberikan sertifikat verifikasi atau akses ke kunci pribadi, dan Anda dapat mendaftarkan CA dengan beberapa Akun AWS di yang sama Wilayah AWS.
#### Daftarkan sertifikat CA dalam mode SNI\$1ONLY (CLI) - Direkomendasikan
**Prasyarat**
Pastikan Anda memiliki yang berikut ini tersedia di komputer Anda sebelum melanjutkan:
+ File sertifikat root CA (direferensikan dalam contoh berikut sebagai`root_CA_cert_filename.pem`)
+ [OpenSSL v1.1.1i](https://www.openssl.org/) atau yang lebih baru
**Untuk mendaftarkan sertifikat CA dalam `SNI_ONLY` mode menggunakan AWS CLI**
1. Daftarkan sertifikat CA dengan AWS IoT. Menggunakan **register-ca-certificate** perintah, masukkan nama file sertifikat CA. Untuk informasi selengkapnya, lihat [register-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) dalam *AWS CLI Referensi Perintah*.
```
aws iot register-ca-certificate \
--ca-certificate file://root_CA_cert_filename.pem \
--certificate-mode SNI_ONLY
```
Jika berhasil, perintah ini mengembalikan file*certificateId*.
1. Pada titik ini, sertifikat CA telah terdaftar AWS IoT tetapi tidak aktif. Sertifikat CA harus aktif sebelum Anda dapat mendaftarkan sertifikat klien apa pun yang telah ditandatangani.
Langkah ini mengaktifkan sertifikat CA.
Untuk mengaktifkan sertifikat CA, gunakan **update-certificate** perintah sebagai berikut. *Untuk informasi selengkapnya, lihat [sertifikat pembaruan di Referensi](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) Perintah.AWS CLI *
```
aws iot update-ca-certificate \
--certificate-id certificateId \
--new-status ACTIVE
```
Untuk melihat status sertifikat CA, gunakan **describe-ca-certificate** perintah. Untuk informasi selengkapnya, lihat [describe-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) dalam *AWS CLI Referensi Perintah*.
#### Daftarkan sertifikat CA dalam `DEFAULT` mode (CLI)
**Prasyarat**
Pastikan Anda memiliki yang berikut ini tersedia di komputer Anda sebelum melanjutkan:
+ File sertifikat root CA (direferensikan dalam contoh berikut sebagai`root_CA_cert_filename.pem`)
+ File kunci pribadi sertifikat CA root (direferensikan dalam contoh berikut sebagai`root_CA_key_filename.key`)
+ [OpenSSL v1.1.1i](https://www.openssl.org/) atau yang lebih baru
**Untuk mendaftarkan sertifikat CA dalam `DEFAULT` mode menggunakan AWS CLI**
1. Untuk mendapatkan kode registrasi dari AWS IoT, gunakan**get-registration-code**. Simpan yang dikembalikan `registrationCode` untuk digunakan sebagai sertifikat verifikasi kunci pribadi. `Common Name` Untuk informasi selengkapnya, lihat [get-registration-code](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/get-registration-code.html) dalam *AWS CLI Referensi Perintah*.
```
aws iot get-registration-code
```
1. Buat key pair untuk sertifikat verifikasi kunci pribadi:
```
openssl genrsa -out verification_cert_key_filename.key 2048
```
1. Buat permintaan penandatanganan sertifikat (CSR) untuk sertifikat verifikasi kunci pribadi. Atur `Common Name` bidang sertifikat ke yang `registrationCode` dikembalikan oleh**get-registration-code**.
```
openssl req -new \
-key verification_cert_key_filename.key \
-out verification_cert_csr_filename.csr
```
Anda diminta untuk beberapa informasi, termasuk `Common Name` untuk sertifikat.
```
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) []:
Locality Name (for example, city) []:
Organization Name (for example, company) []:
Organizational Unit Name (for example, section) []:
Common Name (e.g. server FQDN or YOUR name) []:your_registration_code
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
```
1. Gunakan CSR untuk membuat sertifikat verifikasi kunci pribadi:
```
openssl x509 -req \
-in verification_cert_csr_filename.csr \
-CA root_CA_cert_filename.pem \
-CAkey root_CA_key_filename.key \
-CAcreateserial \
-out verification_cert_filename.pem \
-days 500 -sha256
```
1. Daftarkan sertifikat CA dengan AWS IoT. Masukkan nama file sertifikat CA dan nama file sertifikat verifikasi kunci pribadi ke **register-ca-certificate** perintah, sebagai berikut. Untuk informasi selengkapnya, lihat [register-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) dalam *AWS CLI Referensi Perintah*.
```
aws iot register-ca-certificate \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```
Perintah ini mengembalikan*certificateId*, jika berhasil.
1. Pada titik ini, sertifikat CA telah terdaftar AWS IoT tetapi tidak aktif. Sertifikat CA harus aktif sebelum Anda dapat mendaftarkan sertifikat klien yang telah ditandatangani.
Langkah ini mengaktifkan sertifikat CA.
Untuk mengaktifkan sertifikat CA, gunakan **update-certificate** perintah sebagai berikut. *Untuk informasi selengkapnya, lihat [sertifikat pembaruan di Referensi](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) Perintah.AWS CLI *
```
aws iot update-ca-certificate \
--certificate-id certificateId \
--new-status ACTIVE
```
Untuk melihat status sertifikat CA, gunakan **describe-ca-certificate** perintah. Untuk informasi selengkapnya, lihat [describe-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) dalam *AWS CLI Referensi Perintah*.
### Membuat sertifikat verifikasi CA untuk mendaftarkan sertifikat CA di konsol
**catatan**
Prosedur ini hanya untuk digunakan jika Anda mendaftarkan sertifikat CA dari AWS IoT konsol.
Jika Anda tidak datang ke prosedur ini dari AWS IoT konsol, mulai proses pendaftaran sertifikat CA di konsol di [Daftar sertifikat CA](https://console.aws.amazon.com//iot/home#/create/cacertificate).
Pastikan Anda memiliki yang berikut ini tersedia di komputer yang sama sebelum melanjutkan:
+ File sertifikat root CA (direferensikan dalam contoh berikut sebagai`root_CA_cert_filename.pem`)
+ File kunci pribadi sertifikat CA root (direferensikan dalam contoh berikut sebagai`root_CA_key_filename.key`)
+ [OpenSSL v1.1.1i](https://www.openssl.org/) atau yang lebih baru
**Untuk menggunakan antarmuka baris perintah untuk membuat sertifikat verifikasi CA untuk mendaftarkan sertifikat CA Anda di konsol**
1. Ganti `verification_cert_key_filename.key` dengan nama file kunci sertifikat verifikasi yang ingin Anda buat (misalnya,**verification\$1cert.key**). Kemudian jalankan perintah ini untuk menghasilkan key pair untuk sertifikat verifikasi kunci pribadi:
```
openssl genrsa -out verification_cert_key_filename.key 2048
```
1. Ganti `verification_cert_key_filename.key` dengan nama file kunci yang Anda buat di langkah 1.
Ganti `verification_cert_csr_filename.csr` dengan nama file permintaan penandatanganan sertifikat (CSR) yang ingin Anda buat. Misalnya, **verification\$1cert.csr**.
Jalankan perintah ini untuk membuat file CSR.
```
openssl req -new \
-key verification_cert_key_filename.key \
-out verification_cert_csr_filename.csr
```
Perintah meminta Anda untuk informasi tambahan yang dijelaskan nanti.
1. Di AWS IoT konsol, dalam wadah **sertifikat Verifikasi**, salin kode registrasi.
1. Informasi yang diminta oleh **openssl** perintah Anda ditampilkan dalam contoh berikut. Kecuali untuk `Common Name` bidang, Anda dapat memasukkan nilai Anda sendiri atau mengosongkannya.
Di `Common Name` bidang, tempel kode registrasi yang Anda salin di langkah sebelumnya.
```
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) []:
Locality Name (for example, city) []:
Organization Name (for example, company) []:
Organizational Unit Name (for example, section) []:
Common Name (e.g. server FQDN or YOUR name) []:your_registration_code
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
```
Setelah Anda selesai, perintah membuat file CSR.
1. Ganti `verification_cert_csr_filename.csr` dengan yang `verification_cert_csr_filename.csr` Anda gunakan pada langkah sebelumnya.
Ganti `root_CA_cert_filename.pem` dengan nama file sertifikat CA yang ingin Anda daftarkan.
Ganti `root_CA_key_filename.key` dengan nama file file kunci pribadi sertifikat CA.
Ganti `verification_cert_filename.pem` dengan nama file sertifikat verifikasi yang ingin Anda buat. Misalnya, **verification\$1cert.pem**.
```
openssl x509 -req \
-in verification_cert_csr_filename.csr \
-CA root_CA_cert_filename.pem \
-CAkey root_CA_key_filename.key \
-CAcreateserial \
-out verification_cert_filename.pem \
-days 500 -sha256
```
1. Setelah perintah OpenSSL selesai, Anda harus memiliki file-file ini siap digunakan ketika Anda kembali ke konsol.
+ File sertifikat CA Anda (`root_CA_cert_filename.pem`digunakan dalam perintah sebelumnya)
+ Sertifikat verifikasi yang Anda buat pada langkah sebelumnya (*verification\$1cert\$1filename.pem*digunakan dalam perintah sebelumnya)
## Nonaktifkan sertifikat CA
Ketika sertifikat otoritas sertifikat (CA) diaktifkan untuk pendaftaran sertifikat klien otomatis, AWS IoT periksa sertifikat CA untuk memastikan CA tersebut`ACTIVE`. Jika sertifikat CA adalah`INACTIVE`, AWS IoT tidak mengizinkan sertifikat klien untuk didaftarkan.
Dengan menyetel sertifikat CA ke`INACTIVE`, Anda mencegah sertifikat klien baru yang dikeluarkan oleh CA agar tidak terdaftar secara otomatis.
**catatan**
Setiap sertifikat klien terdaftar yang ditandatangani oleh sertifikat CA yang dikompromikan terus berfungsi sampai Anda secara eksplisit mencabut masing-masing sertifikat tersebut.
### Nonaktifkan sertifikat CA (konsol)
**Untuk menonaktifkan sertifikat CA menggunakan konsol AWS IoT**
1. Masuk ke Konsol Manajemen AWS dan buka [AWS IoT konsol](https://console.aws.amazon.com/iot/home).
1. Di panel navigasi kiri, pilih **Aman**, pilih **CAs**.
1. Dalam daftar otoritas sertifikat, temukan yang ingin Anda nonaktifkan, dan pilih ikon elipsis untuk membuka menu opsi.
1. Pada menu opsi, pilih **Nonaktifkan**.
Otoritas sertifikat harus ditampilkan sebagai **Tidak Aktif** dalam daftar.
**catatan**
AWS IoT Konsol tidak menyediakan cara untuk mencantumkan sertifikat yang ditandatangani oleh CA yang Anda nonaktifkan. Untuk AWS CLI opsi untuk mencantumkan sertifikat tersebut, lihat[Nonaktifkan sertifikat CA (CLI)](#deactivate-ca-cert-cli).
### Nonaktifkan sertifikat CA (CLI)
AWS CLI Ini menyediakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)perintah untuk menonaktifkan sertifikat CA.
```
aws iot update-ca-certificate \
--certificate-id certificateId \
--new-status INACTIVE
```
Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-certificates-by-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-certificates-by-ca.html)perintah untuk mendapatkan daftar semua sertifikat klien terdaftar yang ditandatangani oleh CA yang ditentukan. Untuk setiap sertifikat klien yang ditandatangani oleh sertifikat CA yang ditentukan, gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)perintah untuk mencabut sertifikat klien agar tidak digunakan.
Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html)perintah untuk melihat status sertifikat CA.
# Buat sertifikat klien menggunakan sertifikat CA Anda
Anda dapat menggunakan otoritas sertifikat (CA) Anda sendiri untuk membuat sertifikat klien. Sertifikat klien harus terdaftar AWS IoT sebelum digunakan. Untuk informasi tentang opsi pendaftaran untuk sertifikat klien Anda, lihat[Mendaftarkan sertifikat klien](register-device-cert.md).
## Buat sertifikat klien (CLI)
**catatan**
Anda tidak dapat melakukan prosedur ini di AWS IoT konsol.
**Untuk membuat sertifikat klien menggunakan AWS CLI**
1. Hasilkan key pair.
```
openssl genrsa -out device_cert_key_filename.key 2048
```
1. Buat CSR untuk sertifikat klien.
```
openssl req -new \
-key device_cert_key_filename.key \
-out device_cert_csr_filename.csr
```
Anda diminta untuk beberapa informasi, seperti yang ditunjukkan di sini:
```
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) []:
Locality Name (for example, city) []:
Organization Name (for example, company) []:
Organizational Unit Name (for example, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
```
1. Buat sertifikat klien dari CSR.
```
openssl x509 -req \
-in device_cert_csr_filename.csr \
-CA root_CA_cert_filename.pem \
-CAkey root_CA_key_filename.key \
-CAcreateserial \
-out device_cert_filename.pem \
-days 500 -sha256
```
Pada titik ini, sertifikat klien telah dibuat, tetapi belum terdaftar AWS IoT. Untuk informasi tentang bagaimana dan kapan mendaftarkan sertifikat klien, lihat[Mendaftarkan sertifikat klien](register-device-cert.md).
# Mendaftarkan sertifikat klien
Sertifikat klien harus terdaftar AWS IoT untuk memungkinkan komunikasi antara klien dan AWS IoT. Anda dapat mendaftarkan setiap sertifikat klien secara manual, atau Anda dapat mengonfigurasi sertifikat klien untuk mendaftar secara otomatis ketika klien terhubung AWS IoT untuk pertama kalinya.
Jika Anda ingin klien dan perangkat Anda mendaftarkan sertifikat klien mereka ketika mereka pertama kali terhubung, Anda harus [Daftarkan sertifikat CA Anda](manage-your-CA-certs.md#register-CA-cert) menggunakan untuk menandatangani sertifikat klien dengan AWS IoT di Wilayah di mana Anda ingin menggunakannya. Amazon Root CA secara otomatis terdaftar AWS IoT.
Sertifikat klien dapat dibagikan oleh Akun AWS dan Wilayah. Prosedur dalam topik ini harus dilakukan di setiap akun dan Wilayah di mana Anda ingin menggunakan sertifikat klien. Pendaftaran sertifikat klien di satu akun atau Wilayah tidak secara otomatis dikenali oleh yang lain.
**catatan**
Klien yang menggunakan protokol Transport Layer Security (TLS) untuk terhubung AWS IoT harus mendukung [ekstensi Server Name Indication (SNI)](https://tools.ietf.org/html/rfc3546#section-3.1) ke TLS. Untuk informasi selengkapnya, lihat [Keamanan transportasi di AWS IoT Core](transport-security.md).
**Topics**
+ [
# Daftarkan sertifikat klien secara manual
](manual-cert-registration.md)
+ [
# Daftarkan sertifikat klien saat klien terhubung ke AWS IoT just-in-time registrasi (JITR)
](auto-register-device-cert.md)
# Daftarkan sertifikat klien secara manual
Anda dapat mendaftarkan sertifikat klien secara manual dengan menggunakan AWS IoT konsol dan AWS CLI.
Prosedur pendaftaran yang digunakan tergantung pada apakah sertifikat akan dibagikan oleh Akun AWS s dan Wilayah. Pendaftaran sertifikat klien di satu akun atau Wilayah tidak secara otomatis dikenali oleh yang lain.
Prosedur dalam topik ini harus dilakukan di setiap akun dan Wilayah di mana Anda ingin menggunakan sertifikat klien. Sertifikat klien dapat dibagikan oleh Akun AWS s dan Wilayah.
## Daftarkan sertifikat klien yang ditandatangani oleh CA (konsol) terdaftar
**catatan**
Sebelum Anda melakukan prosedur ini, pastikan bahwa Anda memiliki file.pem sertifikat klien dan bahwa sertifikat klien ditandatangani oleh CA yang telah Anda [daftarkan](manage-your-CA-certs.md#register-CA-cert). AWS IoT
**Untuk mendaftarkan sertifikat yang ada dengan AWS IoT menggunakan konsol**
1. Masuk ke Konsol AWS Manajemen dan buka [AWS IoT konsol](https://console.aws.amazon.com/iot/home).
1. Di panel navigasi, di bawah bagian **Kelola**, pilih **Keamanan**, lalu pilih **Sertifikat**.
1. Pada halaman **Sertifikat** di kotak dialog **Sertifikat**, pilih **Tambahkan sertifikat**, lalu pilih **Daftar sertifikat**.
1. Pada halaman **Daftar sertifikat** di kotak dialog **Sertifikat untuk diunggah**, lakukan hal berikut:
+ Pilih **CA terdaftar AWS IoT**.
+ Dari **Pilih sertifikat CA**, pilih **otoritas Sertifikasi** Anda.
+ Pilih **Daftarkan CA baru** untuk mendaftarkan **otoritas Sertifikasi** baru yang tidak terdaftar AWS IoT.
+ Biarkan **Pilih sertifikat CA** kosong jika **otoritas sertifikat Amazon Root adalah otoritas** sertifikasi Anda.
+ Pilih hingga 10 sertifikat untuk diunggah dan didaftarkan AWS IoT.
+ Gunakan file sertifikat yang Anda buat [Buat sertifikat AWS IoT klien](device-certs-create.md) dan[Buat sertifikat klien menggunakan sertifikat CA Anda](create-device-cert.md).
+ Pilih **Aktifkan** atau **Nonaktifkan**. Jika Anda memilih **Deaktif**, [Mengaktifkan atau menonaktifkan sertifikat klien](activate-or-deactivate-device-cert.md) jelaskan cara mengaktifkan sertifikat Anda setelah pendaftaran sertifikat.
+ Pilih**Pendaftaran**.
Pada halaman **Sertifikat** di kotak dialog **Sertifikat**, sertifikat terdaftar Anda sekarang akan muncul.
## Daftarkan sertifikat klien yang ditandatangani oleh CA (konsol) yang tidak terdaftar
**catatan**
Sebelum Anda melakukan prosedur ini, pastikan bahwa Anda memiliki file .pem sertifikat klien.
**Untuk mendaftarkan sertifikat yang ada dengan AWS IoT menggunakan konsol**
1. Masuk ke Konsol AWS Manajemen dan buka [AWS IoT konsol](https://console.aws.amazon.com/iot/home).
1. Di panel navigasi kiri, pilih **Aman**, pilih **Sertifikat**, lalu pilih **Buat**.
1. Pada **Buat sertifikat**, cari entri **Gunakan sertifikat saya**, dan pilih **Memulai**.
1. Pada **Pilih CA**, pilih **Berikutnya**.
1. Pada **Daftarkan sertifikat perangkat yang ada**, **pilih Pilih sertifikat**, dan pilih hingga 10 file sertifikat untuk didaftarkan.
1. Setelah menutup kotak dialog file, pilih apakah Anda ingin mengaktifkan atau mencabut sertifikat klien saat Anda mendaftarkannya.
Jika Anda tidak mengaktifkan sertifikat saat terdaftar, [Aktifkan sertifikat klien (konsol)](activate-or-deactivate-device-cert.md#activate-device-cert-console) jelaskan cara mengaktifkannya nanti.
Jika sertifikat dicabut saat terdaftar, sertifikat tersebut tidak dapat diaktifkan nanti.
Setelah Anda memilih file sertifikat untuk didaftarkan, dan pilih tindakan yang akan diambil setelah pendaftaran, pilih **Daftar sertifikat**.
Sertifikat klien yang terdaftar berhasil muncul dalam daftar sertifikat.
## Daftarkan sertifikat klien yang ditandatangani oleh CA terdaftar (CLI)
**catatan**
Sebelum Anda melakukan prosedur ini, pastikan bahwa Anda memiliki sertifikat otoritas (CA) .pem dan berkas .pem sertifikat klien. Sertifikat klien harus ditandatangani oleh otoritas sertifikat (CA) yang telah Anda [daftarkan AWS IoT](manage-your-CA-certs.md#register-CA-cert).
Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html)perintah untuk mendaftar, tetapi tidak mengaktifkan, sertifikat klien.
```
aws iot register-certificate \
--certificate-pem file://device_cert_filename.pem \
--ca-certificate-pem file://ca_cert_filename.pem
```
Sertifikat klien terdaftar AWS IoT, tetapi belum aktif. Lihat [Aktifkan sertifikat klien (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) untuk informasi tentang cara mengaktifkannya nanti.
Anda juga dapat mengaktifkan sertifikat klien ketika Anda mendaftarkannya dengan menggunakan perintah ini.
```
aws iot register-certificate \
--set-as-active \
--certificate-pem file://device_cert_filename.pem \
--ca-certificate-pem file://ca_cert_filename.pem
```
Untuk informasi selengkapnya tentang mengaktifkan sertifikat sehingga dapat digunakan untuk terhubung AWS IoT, lihat [Mengaktifkan atau menonaktifkan sertifikat klien](activate-or-deactivate-device-cert.md)
## Daftarkan sertifikat klien yang ditandatangani oleh CA (CLI) yang tidak terdaftar
**catatan**
Sebelum Anda melakukan prosedur ini, pastikan Anda memiliki file.pem sertifikat.
Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html)perintah untuk mendaftar, tetapi tidak mengaktifkan, sertifikat klien.
```
aws iot register-certificate-without-ca \
--certificate-pem file://device_cert_filename.pem
```
Sertifikat klien terdaftar AWS IoT, tetapi belum aktif. Lihat [Aktifkan sertifikat klien (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) untuk informasi tentang cara mengaktifkannya nanti.
Anda juga dapat mengaktifkan sertifikat klien ketika Anda mendaftarkannya dengan menggunakan perintah ini.
```
aws iot register-certificate-without-ca \
--status ACTIVE \
--certificate-pem file://device_cert_filename.pem
```
Untuk informasi selengkapnya tentang mengaktifkan sertifikat sehingga dapat digunakan untuk terhubung AWS IoT, lihat[Mengaktifkan atau menonaktifkan sertifikat klien](activate-or-deactivate-device-cert.md).
# Daftarkan sertifikat klien saat klien terhubung ke AWS IoT just-in-time registrasi (JITR)
Anda dapat mengonfigurasi sertifikat CA untuk mengaktifkan sertifikat klien yang telah ditandatangani untuk mendaftar AWS IoT secara otomatis saat pertama kali klien terhubung AWS IoT.
Untuk mendaftarkan sertifikat klien saat klien terhubung AWS IoT untuk pertama kalinya, Anda harus mengaktifkan sertifikat CA untuk pendaftaran otomatis dan mengonfigurasi koneksi pertama oleh klien untuk memberikan sertifikat yang diperlukan.
## Konfigurasikan sertifikat CA untuk mendukung pendaftaran otomatis (konsol)
**Untuk mengonfigurasi sertifikat CA untuk mendukung pendaftaran sertifikat klien otomatis menggunakan AWS IoT konsol**
1. Masuk ke Konsol AWS Manajemen dan buka [AWS IoT konsol](https://console.aws.amazon.com/iot/home).
1. Di panel navigasi kiri, pilih **Aman**, pilih **CAs**.
1. Dalam daftar otoritas sertifikat, temukan yang ingin Anda aktifkan pendaftaran otomatis, dan buka menu opsi dengan menggunakan ikon elipsis.
1. Pada menu opsi, pilih **Aktifkan pendaftaran otomatis**.
**catatan**
Status registrasi otomatis tidak ditampilkan dalam daftar otoritas sertifikat. Untuk melihat status registrasi otomatis otoritas sertifikat, Anda harus membuka halaman **Detail** otoritas sertifikat.
## Konfigurasikan sertifikat CA untuk mendukung pendaftaran otomatis (CLI)
Jika Anda telah mendaftarkan sertifikat CA Anda AWS IoT, gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)perintah untuk mengatur `autoRegistrationStatus` sertifikat CA ke`ENABLE`.
```
aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE
```
Jika Anda ingin mengaktifkan `autoRegistrationStatus` ketika Anda mendaftarkan sertifikat CA, gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html)perintah.
```
aws iot register-ca-certificate \
--allow-auto-registration \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```
Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html)perintah untuk melihat status sertifikat CA.
## Konfigurasikan koneksi pertama oleh klien untuk pendaftaran otomatis
Ketika klien mencoba untuk terhubung AWS IoT untuk pertama kalinya, sertifikat klien yang ditandatangani oleh sertifikat CA Anda harus ada pada klien selama jabat tangan Transport Layer Security (TLS).
Saat klien terhubung AWS IoT, gunakan sertifikat klien yang Anda buat di [Buat sertifikat AWS IoT klien](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-create.html) atau [Buat sertifikat klien Anda sendiri](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html). AWS IoT mengakui sertifikat CA sebagai sertifikat CA terdaftar, mendaftarkan sertifikat klien, dan menetapkan statusnya. `PENDING_ACTIVATION` Ini berarti bahwa sertifikat klien terdaftar secara otomatis dan sedang menunggu aktivasi. Status sertifikat klien harus `ACTIVE` sebelum dapat digunakan untuk terhubung AWS IoT. Lihat [Mengaktifkan atau menonaktifkan sertifikat klien](activate-or-deactivate-device-cert.md) untuk informasi tentang mengaktifkan sertifikat klien.
**catatan**
Anda dapat menyediakan perangkat menggunakan fitur AWS IoT Core just-in-time registrasi (JITR) tanpa harus mengirim seluruh rantai kepercayaan pada koneksi pertama perangkat ke. AWS IoT Core Menyajikan sertifikat CA adalah opsional tetapi perangkat diperlukan untuk mengirim ekstensi [Server Name Indication (SNI)](https://datatracker.ietf.org/doc/html/rfc3546#section-3.1) ketika mereka terhubung.
Ketika AWS IoT secara otomatis mendaftarkan sertifikat atau ketika klien menyajikan sertifikat dalam `PENDING_ACTIVATION` status, AWS IoT menerbitkan pesan ke topik MQTT berikut:
`$aws/events/certificates/registered/caCertificateId`
`caCertificateId`Dimana ID sertifikat CA yang mengeluarkan sertifikat klien.
Pesan yang dipublikasikan untuk topik ini memiliki struktur sebagai berikut:
```
{
"certificateId": "certificateId",
"caCertificateId": "caCertificateId",
"timestamp": timestamp,
"certificateStatus": "PENDING_ACTIVATION",
"awsAccountId": "awsAccountId",
"certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}
```
Anda dapat membuat aturan yang mendengarkan topik ini dan melakukan beberapa tindakan. Sebaiknya Anda membuat aturan Lambda yang memverifikasi sertifikat klien tidak ada dalam daftar pencabutan sertifikat (CRL), mengaktifkan sertifikat, dan membuat serta melampirkan kebijakan ke sertifikat. Kebijakan menentukan sumber daya mana yang dapat diakses klien. Jika kebijakan yang Anda buat memerlukan ID klien dari perangkat yang menghubungkan, Anda dapat menggunakan fungsi clientid () aturan untuk mengambil ID klien. Contoh definisi aturan dapat terlihat seperti berikut:
```
SELECT *,
clientid() as clientid
from $aws/events/certificates/registered/caCertificateId
```
Dalam contoh ini, aturan berlangganan topik JITR `$aws/events/certificates/registered/caCertificateID` dan menggunakan fungsi clientid () untuk mengambil ID klien. Aturan kemudian menambahkan ID klien ke payload JITR. Untuk informasi selengkapnya tentang fungsi clientid () aturan, lihat [clientid](https://docs.aws.amazon.com//iot/latest/developerguide/iot-sql-functions.html#iot-sql-function-clientid) ().
Untuk informasi selengkapnya tentang cara membuat aturan Lambda yang mendengarkan `$aws/events/certificates/registered/caCertificateID` topik dan melakukan tindakan ini, lihat [just-in-time pendaftaran Sertifikat Klien di](https://aws.amazon.com/blogs/iot/just-in-time-registration-of-device-certificates-on-aws-iot/). AWS IoT
Jika terjadi kesalahan atau pengecualian selama registrasi otomatis sertifikat klien, AWS IoT kirimkan peristiwa atau pesan ke log Anda di CloudWatch Log. Untuk informasi selengkapnya tentang menyiapkan log untuk akun Anda, lihat [ CloudWatch dokumentasi Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/).
# Mengelola sertifikat klien
AWS IoT menyediakan kemampuan bagi Anda untuk mengelola sertifikat klien.
**Topics**
+ [
# Mengaktifkan atau menonaktifkan sertifikat klien
](activate-or-deactivate-device-cert.md)
+ [
# Lampirkan sesuatu atau kebijakan ke sertifikat klien
](attach-to-cert.md)
+ [
# Mencabut sertifikat klien
](revoke-ca-cert.md)
+ [
# Mentransfer sertifikat ke akun lain
](transfer-cert.md)
# Mengaktifkan atau menonaktifkan sertifikat klien
AWS IoT memverifikasi bahwa sertifikat klien aktif saat mengautentikasi koneksi.
Anda dapat membuat dan mendaftarkan sertifikat klien tanpa mengaktifkannya sehingga tidak dapat digunakan sampai Anda ingin menggunakannya. Anda juga dapat menonaktifkan sertifikat klien aktif untuk menonaktifkannya sementara. Terakhir, Anda dapat mencabut sertifikat klien untuk mencegahnya dari penggunaan di masa mendatang.
## Aktifkan sertifikat klien (konsol)
**Untuk mengaktifkan sertifikat klien menggunakan AWS IoT konsol**
1. Masuk ke Konsol AWS Manajemen dan buka [AWS IoT konsol](https://console.aws.amazon.com/iot/home).
1. Di panel navigasi kiri, pilih **Aman**, pilih **Sertifikat**.
1. Dalam daftar sertifikat, cari sertifikat yang ingin Anda aktifkan, dan buka menu opsi dengan menggunakan ikon elipsis.
1. Di menu opsi, pilih **Aktifkan**.
Sertifikat harus ditampilkan sebagai **Aktif** dalam daftar sertifikat.
## Nonaktifkan sertifikat klien (konsol)
**Untuk menonaktifkan sertifikat klien menggunakan konsol AWS IoT**
1. Masuk ke Konsol AWS Manajemen dan buka [AWS IoT konsol](https://console.aws.amazon.com/iot/home).
1. Di panel navigasi kiri, pilih **Aman**, pilih **Sertifikat**.
1. Dalam daftar sertifikat, cari sertifikat yang ingin Anda nonaktifkan, dan buka menu opsi dengan menggunakan ikon elipsis.
1. Di menu opsi, pilih **Nonaktifkan**.
Sertifikat harus ditampilkan sebagai **Tidak Aktif** dalam daftar sertifikat.
## Aktifkan sertifikat klien (CLI)
AWS CLI Ini menyediakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)perintah untuk mengaktifkan sertifikat.
```
aws iot update-certificate \
--certificate-id certificateId \
--new-status ACTIVE
```
Jika perintah berhasil, status sertifikat akan menjadi`ACTIVE`. Jalankan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html)untuk melihat status sertifikat.
```
aws iot describe-certificate \
--certificate-id certificateId
```
## Nonaktifkan sertifikat klien (CLI)
AWS CLI Ini menyediakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)perintah untuk menonaktifkan sertifikat.
```
aws iot update-certificate \
--certificate-id certificateId \
--new-status INACTIVE
```
Jika perintah berhasil, status sertifikat akan menjadi`INACTIVE`. Jalankan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html)untuk melihat status sertifikat.
```
aws iot describe-certificate \
--certificate-id certificateId
```
# Lampirkan sesuatu atau kebijakan ke sertifikat klien
Ketika Anda membuat dan mendaftarkan sertifikat terpisah dari AWS IoT sesuatu, itu tidak akan memiliki kebijakan yang mengotorisasi AWS IoT operasi apa pun, juga tidak akan dikaitkan dengan objek apa AWS IoT pun. Bagian ini menjelaskan cara menambahkan hubungan ini ke sertifikat terdaftar.
**penting**
Untuk menyelesaikan prosedur ini, Anda harus sudah membuat hal atau kebijakan yang ingin Anda lampirkan ke sertifikat.
Sertifikat mengautentikasi perangkat AWS IoT sehingga dapat terhubung. Melampirkan sertifikat ke sumber daya sesuatu menetapkan hubungan antara perangkat (melalui sertifikat) dan sumber daya benda. Untuk mengizinkan perangkat melakukan AWS IoT tindakan, seperti mengizinkan perangkat terhubung dan mempublikasikan pesan, kebijakan yang sesuai harus dilampirkan ke sertifikat perangkat.
## Lampirkan sesuatu ke sertifikat klien (konsol)
Anda akan memerlukan nama objek benda untuk menyelesaikan prosedur ini.
**Untuk melampirkan objek benda ke sertifikat terdaftar**
1. Masuk ke Konsol AWS Manajemen dan buka [AWS IoT konsol](https://console.aws.amazon.com/iot/home).
1. Di panel navigasi kiri, pilih **Aman**, pilih **Sertifikat**.
1. Dalam daftar sertifikat, cari sertifikat yang ingin Anda lampirkan kebijakan, buka menu opsi sertifikat dengan memilih ikon elipsis, dan pilih **Lampirkan** hal.
1. Di pop-up, cari nama benda yang ingin Anda lampirkan ke sertifikat, pilih kotak centang, dan pilih **Lampirkan**.
Objek benda sekarang harus muncul dalam daftar hal-hal di halaman detail sertifikat.
## Lampirkan kebijakan ke sertifikat klien (konsol)
Anda akan memerlukan nama objek kebijakan untuk menyelesaikan prosedur ini.
**Untuk melampirkan objek kebijakan ke sertifikat terdaftar**
1. Masuk ke Konsol AWS Manajemen dan buka [AWS IoT konsol](https://console.aws.amazon.com/iot/home).
1. Di panel navigasi kiri, pilih **Aman**, pilih **Sertifikat**.
1. Dalam daftar sertifikat, cari sertifikat yang ingin Anda lampirkan kebijakan, buka menu opsi sertifikat dengan memilih ikon elipsis, dan pilih **Lampirkan** kebijakan.
1. Di pop-up, cari nama kebijakan yang ingin dilampirkan ke sertifikat, pilih kotak centang, dan pilih **Lampirkan**.
Objek kebijakan sekarang akan muncul dalam daftar kebijakan di halaman detail sertifikat.
## Lampirkan sesuatu ke sertifikat klien (CLI)
AWS CLI Memberikan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-thing-principal.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-thing-principal.html)perintah untuk melampirkan benda benda ke sertifikat.
```
aws iot attach-thing-principal \
--principal certificateArn \
--thing-name thingName
```
## Lampirkan kebijakan ke sertifikat klien (CLI)
AWS CLI Memberikan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-policy.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-policy.html)perintah untuk melampirkan objek kebijakan ke sertifikat.
```
aws iot attach-policy \
--target certificateArn \
--policy-name policyName
```
# Mencabut sertifikat klien
Jika Anda mendeteksi aktivitas mencurigakan pada sertifikat klien terdaftar, Anda dapat mencabutnya sehingga tidak dapat digunakan lagi.
**catatan**
Setelah sertifikat dicabut, statusnya tidak dapat diubah. Artinya, status sertifikat tidak dapat diubah menjadi `Active` atau status lainnya.
## Mencabut sertifikat klien (konsol)
**Untuk mencabut sertifikat klien menggunakan konsol AWS IoT**
1. Masuk ke Konsol AWS Manajemen dan buka [AWS IoT konsol](https://console.aws.amazon.com/iot/home).
1. Di panel navigasi kiri, pilih **Aman**, pilih **Sertifikat**.
1. Dalam daftar sertifikat, cari sertifikat yang ingin Anda cabut, dan buka menu opsi dengan menggunakan ikon elipsis.
1. Di menu opsi, pilih **Cabut**.
Jika sertifikat berhasil dicabut, itu akan ditampilkan sebagai **Dicabut** dalam daftar sertifikat.
## Mencabut sertifikat klien (CLI)
AWS CLI Memberikan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)perintah untuk mencabut sertifikat.
```
aws iot update-certificate \
--certificate-id certificateId \
--new-status REVOKED
```
Jika perintah berhasil, status sertifikat akan menjadi`REVOKED`. Jalankan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html)untuk melihat status sertifikat.
```
aws iot describe-certificate \
--certificate-id certificateId
```
# Mentransfer sertifikat ke akun lain
Sertifikat X.509 milik satu Akun AWS dapat ditransfer ke yang lain. Akun AWS
**Untuk mentransfer sertifikat X.509 dari satu ke yang lain Akun AWS**
1. [Mulai transfer sertifikat](#transfer-cert-init)
Sertifikat harus dinonaktifkan dan terlepas dari semua kebijakan dan hal-hal sebelum memulai transfer.
1. [Menerima atau menolak transfer sertifikat](#transfer-cert-accept)
Akun penerima harus secara eksplisit menerima atau menolak sertifikat yang ditransfer. Setelah akun penerima menerima sertifikat, sertifikat harus diaktifkan sebelum digunakan.
1. [Batalkan transfer sertifikat](#transfer-cert-cancel)
Akun asal dapat membatalkan transfer, jika sertifikat belum diterima.
## Mulai transfer sertifikat
Anda dapat mulai mentransfer sertifikat ke yang lain Akun AWS dengan menggunakan [AWS IoT konsol](https://console.aws.amazon.com/iot/home) atau AWS CLI.
### Mulai transfer sertifikat (konsol)
Untuk menyelesaikan prosedur ini, Anda memerlukan ID sertifikat yang ingin Anda transfer.
Lakukan prosedur ini dari akun dengan sertifikat untuk ditransfer.
**Untuk mulai mentransfer sertifikat ke yang lain Akun AWS**
1. Masuk ke Konsol AWS Manajemen dan buka [AWS IoT konsol](https://console.aws.amazon.com/iot/home).
1. Di panel navigasi kiri, pilih **Aman**, pilih **Sertifikat**.
Pilih sertifikat dengan status **Aktif** atau **Tidak Aktif** yang ingin Anda transfer dan buka halaman detailnya.
1. Pada halaman **Detail** sertifikat, di menu **Tindakan**, jika opsi **Nonaktifkan** tersedia, pilih opsi **Nonaktifkan** untuk menonaktifkan sertifikat.
1. Pada halaman **Detail** sertifikat, di menu sebelah kiri, pilih **Kebijakan**.
1. Pada halaman **Kebijakan** sertifikat, jika ada kebijakan yang dilampirkan pada sertifikat, lepaskan masing-masing dengan membuka menu opsi kebijakan dan memilih **Lepaskan**.
Sertifikat tidak boleh memiliki kebijakan terlampir sebelum Anda melanjutkan.
1. Pada halaman **Kebijakan** sertifikat, di menu sebelah kiri, pilih **Things**.
1. Pada halaman **Things** sertifikat, jika ada hal yang dilampirkan pada sertifikat, lepaskan masing-masing dengan membuka menu opsi benda dan memilih **Lepaskan**.
Sertifikat tidak boleh memiliki hal-hal terlampir sebelum Anda melanjutkan.
1. Pada halaman **Things** sertifikat, di menu sebelah kiri, pilih **Detail**.
1. Pada halaman **Detail** sertifikat, di menu **Tindakan**, pilih **Mulai transfer** untuk membuka kotak dialog **Mulai transfer**.
1. Dalam kotak dialog **Mulai transfer**, masukkan Akun AWS nomor akun untuk menerima sertifikat dan pesan singkat opsional.
1. Pilih **Mulai transfer** untuk mentransfer sertifikat.
Konsol harus menampilkan pesan yang menunjukkan keberhasilan atau kegagalan transfer. Jika transfer dimulai, status sertifikat diperbarui ke **Transfer**.
### Mulai transfer sertifikat (CLI)
Untuk menyelesaikan prosedur ini, Anda memerlukan *certificateId* dan sertifikat yang ingin Anda transfer. *certificateArn*
Lakukan prosedur ini dari akun dengan sertifikat untuk ditransfer.
**Untuk mulai mentransfer sertifikat ke AWS akun lain**
1. Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)perintah untuk menonaktifkan sertifikat.
```
aws iot update-certificate --certificate-id certificateId --new-status INACTIVE
```
1. Lepaskan semua kebijakan.
1. Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-attached-policies.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-attached-policies.html)perintah untuk membuat daftar kebijakan yang dilampirkan pada sertifikat.
```
aws iot list-attached-policies --target certificateArn
```
1. Untuk setiap kebijakan terlampir, gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-policy.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-policy.html)perintah untuk melepaskan kebijakan.
```
aws iot detach-policy --target certificateArn --policy-name policy-name
```
1. Lepaskan semua hal.
1. Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-principal-things.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-principal-things.html)perintah untuk membuat daftar hal-hal yang dilampirkan pada sertifikat.
```
aws iot list-principal-things --principal certificateArn
```
1. Untuk setiap hal yang terlampir, gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-thing-principal.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-thing-principal.html)perintah untuk melepaskan benda itu.
```
aws iot detach-thing-principal --principal certificateArn --thing-name thing-name
```
1. Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/transfer-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/transfer-certificate.html)perintah untuk memulai transfer sertifikat.
```
aws iot transfer-certificate --certificate-id certificateId --target-aws-account account-id
```
## Menerima atau menolak transfer sertifikat
Anda dapat menerima atau menolak sertifikat yang ditransfer kepada Anda Akun AWS dari orang lain Akun AWS dengan menggunakan [AWS IoT konsol](https://console.aws.amazon.com/iot/home) atau. AWS CLI
### Menerima atau menolak transfer sertifikat (konsol)
Untuk menyelesaikan prosedur ini, Anda memerlukan ID sertifikat yang ditransfer ke akun Anda.
Lakukan prosedur ini dari akun yang menerima sertifikat yang ditransfer.
**Untuk menerima atau menolak sertifikat yang ditransfer ke Akun AWS**
1. Masuk ke Konsol AWS Manajemen dan buka [AWS IoT konsol](https://console.aws.amazon.com/iot/home).
1. Di panel navigasi kiri, pilih **Aman**, pilih **Sertifikat**.
Pilih sertifikat dengan status **Transfer tertunda** yang ingin Anda terima atau tolak dan buka halaman detailnya.
1. Pada halaman **Detail** sertifikat, di menu **Tindakan**,
+ Untuk menerima sertifikat, pilih **Terima transfer**.
+ Untuk tidak menerima sertifikat, pilih **Tolak transfer**.
### Menerima atau menolak transfer sertifikat (CLI)
Untuk menyelesaikan prosedur ini, Anda memerlukan transfer sertifikat yang ingin Anda terima atau tolak. *certificateId*
Lakukan prosedur ini dari akun yang menerima sertifikat yang ditransfer.
**Untuk menerima atau menolak sertifikat yang ditransfer ke Akun AWS**
1. Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/accept-certificate-transfer.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/accept-certificate-transfer.html)perintah untuk menerima sertifikat.
```
aws iot accept-certificate-transfer --certificate-id certificateId
```
1. Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/reject-certificate-transfer.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/reject-certificate-transfer.html)perintah untuk menolak sertifikat.
```
aws iot reject-certificate-transfer --certificate-id certificateId
```
## Batalkan transfer sertifikat
Anda dapat membatalkan transfer sertifikat sebelum diterima dengan menggunakan [AWS IoT konsol](https://console.aws.amazon.com/iot/home) atau AWS CLI.
### Membatalkan transfer sertifikat (konsol)
Untuk menyelesaikan prosedur ini, Anda memerlukan ID transfer sertifikat yang ingin Anda batalkan.
Lakukan prosedur ini dari akun yang memulai transfer sertifikat.
**Untuk membatalkan transfer sertifikat**
1. Masuk ke Konsol AWS Manajemen dan buka [AWS IoT konsol](https://console.aws.amazon.com/iot/home).
1. Di panel navigasi kiri, pilih **Aman**, pilih **Sertifikat**.
Pilih sertifikat dengan status **Transfer** yang transfernya ingin Anda batalkan dan buka menu opsinya.
1. Pada menu opsi sertifikat, pilih opsi **Batalkan transfer** untuk membatalkan transfer sertifikat.
**penting**
Berhati-hatilah untuk tidak salah mengira opsi **Batalkan transfer** dengan opsi **Cabut**.
Opsi Batalkan **transfer membatalkan transfer** sertifikat, sedangkan opsi **Cabut membuat sertifikat tidak dapat digunakan secara** permanen oleh. AWS IoT
### Membatalkan transfer sertifikat (CLI)
Untuk menyelesaikan prosedur ini, Anda memerlukan transfer sertifikat yang ingin Anda batalkan. *certificateId*
Lakukan prosedur ini dari akun yang memulai transfer sertifikat.
Gunakan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/cancel-certificate-transfer.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/cancel-certificate-transfer.html)perintah untuk membatalkan transfer sertifikat.
```
aws iot cancel-certificate-transfer --certificate-id certificateId
```
# Validasi sertifikat klien kustom
AWS IoT Core mendukung validasi sertifikat klien khusus untuk sertifikat klien X.509, yang meningkatkan manajemen otentikasi klien. Metode validasi sertifikat ini juga dikenal sebagai pemeriksaan sertifikat pra-otentikasi, di mana Anda mengevaluasi sertifikat klien berdasarkan kriteria Anda sendiri (didefinisikan dalam fungsi Lambda) dan mencabut sertifikat klien atau sertifikat penandatanganan sertifikat otoritas sertifikat (CA) sertifikat untuk mencegah klien terhubung. AWS IoT Core Misalnya, Anda dapat membuat pemeriksaan pencabutan sertifikat sendiri yang memvalidasi status sertifikat terhadap otoritas validasi yang mendukung titik akhir [Protokol Status Sertifikat Online (OCSP) atau Daftar Pencabutan Sertifikat (CRL)](https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol)[, dan mencegah koneksi untuk klien dengan sertifikat yang dicabut](https://en.wikipedia.org/wiki/Certificate_revocation_list). Kriteria yang digunakan untuk mengevaluasi sertifikat klien didefinisikan dalam fungsi Lambda (juga dikenal sebagai Lambda pra-otentikasi). Anda harus menggunakan titik akhir yang ditetapkan dalam konfigurasi domain dan [jenis otentikasi](protocols.md#connection-protocol-auth-mode) harus sertifikat X.509. Selain itu, klien harus memberikan ekstensi [Server Name Indication (SNI)](https://www.rfc-editor.org/rfc/rfc3546#section-3.1) saat menghubungkan ke AWS IoT Core.
**catatan**
Fitur ini tidak didukung di AWS GovCloud (US) Wilayah.
**Topics**
+ [
## Langkah 1: Daftarkan sertifikat klien X.509 Anda dengan AWS IoT Core
](#client-auth-cert-verification)
+ [
## Langkah 2: Buat fungsi Lambda
](#customize-client-auth-lambda)
+ [
## Langkah 3: Otorisasi AWS IoT untuk menjalankan fungsi Lambda Anda
](#customize-client-configuration-grant-permission)
+ [
## Langkah 4: Tetapkan konfigurasi otentikasi untuk domain
](#customize-client-configuration)
## Langkah 1: Daftarkan sertifikat klien X.509 Anda dengan AWS IoT Core
Jika Anda belum melakukan ini, daftar dan aktifkan sertifikat [klien X.509](https://docs.aws.amazon.com//iot/latest/developerguide/x509-client-certs.html) Anda dengan. AWS IoT Core Jika tidak, lewati ke langkah berikutnya.
Untuk mendaftar dan mengaktifkan sertifikat klien Anda AWS IoT Core, ikuti langkah-langkahnya:
1. Jika Anda [membuat sertifikat klien secara langsung dengan AWS IoT](https://docs.aws.amazon.com//iot/latest/developerguide/device-certs-create.html). Sertifikat klien ini akan didaftarkan secara otomatis AWS IoT Core.
1. Jika Anda [membuat sertifikat klien Anda sendiri](https://docs.aws.amazon.com//iot/latest/developerguide/device-certs-your-own.html), ikuti [petunjuk ini untuk mendaftarkannya AWS IoT Core](https://docs.aws.amazon.com//iot/latest/developerguide/register-device-cert.html).
1. Untuk mengaktifkan sertifikat klien Anda, ikuti [petunjuk ini](https://docs.aws.amazon.com//iot/latest/developerguide/activate-or-deactivate-device-cert.html).
## Langkah 2: Buat fungsi Lambda
Anda perlu membuat fungsi Lambda yang akan melakukan verifikasi sertifikat dan dipanggil untuk setiap upaya koneksi klien untuk titik akhir yang dikonfigurasi. Saat membuat fungsi Lambda ini, ikuti panduan umum dari [Buat fungsi Lambda pertama Anda](https://docs.aws.amazon.com//lambda/latest/dg/getting-started.html). Selain itu, pastikan bahwa fungsi Lambda mematuhi format permintaan dan respons yang diharapkan sebagai berikut:
**Contoh acara fungsi Lambda**
```
{
"connectionMetadata": {
"id": "string"
},
"principalId": "string",
"serverName": "string",
"clientCertificateChain": [
"string",
"string"
]
}
```
`connectionMetadata`
Metadata atau informasi tambahan yang terkait dengan koneksi klien ke. AWS IoT Core
`principalId`
Pengidentifikasi utama yang terkait dengan klien dalam koneksi TLS.
`serverName`
String [nama host Indikasi Nama Server (SNI)](https://www.rfc-editor.org/rfc/rfc3546#section-3.1). AWS IoT Core membutuhkan perangkat untuk mengirim [ekstensi SNI](https://www.rfc-editor.org/rfc/rfc3546#section-3.1) ke protokol Transport Layer Security (TLS) dan memberikan alamat endpoint lengkap di lapangan. `host_name`
`clientCertificateChain`
Array string yang mewakili rantai sertifikat X.509 klien.
**Contoh respons fungsi Lambda**
```
{
"isAuthenticated": "boolean"
}
```
`isAuthenticated`
Nilai Boolean yang menunjukkan apakah permintaan diautentikasi.
**catatan**
Dalam tanggapan Lambda, `isAuthenticated` harus melanjutkan `true` ke otentikasi dan otorisasi lebih lanjut. Jika tidak, sertifikat klien IoT dapat dinonaktifkan dan otentikasi khusus dengan sertifikat klien X.509 dapat diblokir untuk otentikasi dan otorisasi lebih lanjut.
## Langkah 3: Otorisasi AWS IoT untuk menjalankan fungsi Lambda Anda
[Setelah membuat fungsi Lambda, Anda harus memberikan izin AWS IoT untuk memanggilnya, dengan menggunakan perintah CLI izin tambahan.](https://docs.aws.amazon.com//cli/latest/reference/lambda/add-permission.html) Perhatikan bahwa fungsi Lambda ini akan dipanggil untuk setiap upaya koneksi ke titik akhir yang dikonfigurasi. Untuk informasi selengkapnya, lihat [Mengotorisasi AWS IoT untuk menjalankan fungsi Lambda](custom-auth-authorize.md) Anda.
## Langkah 4: Tetapkan konfigurasi otentikasi untuk domain
Bagian berikut menjelaskan cara mengatur konfigurasi otentikasi untuk domain kustom menggunakan. AWS CLI
### Tetapkan konfigurasi sertifikat klien untuk domain (CLI)
Jika Anda tidak memiliki konfigurasi domain, gunakan perintah [https://docs.aws.amazon.com//cli/latest/reference/iot/create-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/create-domain-configuration.html)CLI untuk membuatnya. Jika Anda sudah memiliki konfigurasi domain, gunakan perintah [https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html)CLI untuk memperbarui konfigurasi sertifikat klien untuk domain. Anda harus menambahkan ARN dari fungsi Lambda yang telah Anda buat pada langkah sebelumnya.
```
aws iot create-domain-configuration \
--domain-configuration-name domainConfigurationName \
--authentication-type AWS_X509|CUSTOM_AUTH_X509 \
--application-protocol SECURE_MQTT|HTTPS \
--client-certificate-config 'clientCertificateCallbackArn":"arn:aws:lambda:us-east-2:123456789012:function:my-function:1"}'
```
```
aws iot update-domain-configuration \
--domain-configuration-name domainConfigurationName \
--authentication-type AWS_X509|CUSTOM_AUTH_X509 \
--application-protocol SECURE_MQTT|HTTPS \
--client-certificate-config '{"clientCertificateCallbackArn":"arn:aws:lambda:us-east-2:123456789012:function:my-function:1"}'
```
`domain-configuration-name`
Nama konfigurasi domain.
`authentication-type`
Jenis otentikasi konfigurasi domain. Untuk informasi selengkapnya, lihat [memilih jenis autentikasi](protocols.md#connection-protocol-auth-mode).
`application-protocol`
Protokol aplikasi yang digunakan perangkat untuk berkomunikasi AWS IoT Core. Untuk informasi selengkapnya, lihat [memilih protokol aplikasi](protocols.md#protocol-selection).
`client-certificate-config`
Objek yang menentukan konfigurasi otentikasi klien untuk domain.
`clientCertificateCallbackArn`
Nama Sumber Daya Amazon (ARN) dari fungsi Lambda yang AWS IoT dipanggil di lapisan TLS saat koneksi baru dibuat. Untuk menyesuaikan otentikasi klien untuk melakukan validasi sertifikat klien kustom, Anda harus menambahkan ARN dari fungsi Lambda yang telah Anda buat pada langkah sebelumnya.
Untuk informasi selengkapnya, lihat [CreateDomainConfiguration](https://docs.aws.amazon.com//iot/latest/apireference/API_CreateDomainConfiguration.html)dan [UpdateDomainConfiguration](https://docs.aws.amazon.com//iot/latest/apireference/API_UpdateDomainConfiguration.html)dari *Referensi AWS IoT API*. Untuk informasi selengkapnya tentang konfigurasi domain, lihat [Konfigurasi domain](https://docs.aws.amazon.com//iot/latest/developerguide/iot-custom-endpoints-configurable.html).
# Pengguna IAM, grup IAM, dan IAM role
Pengguna, grup, dan peran IAM adalah mekanisme standar untuk mengelola identitas dan otentikasi di. AWS Anda dapat menggunakannya untuk terhubung ke antarmuka AWS IoT HTTP menggunakan AWS SDK dan. AWS CLI
Peran IAM juga memungkinkan AWS IoT untuk mengakses AWS sumber daya lain di akun Anda atas nama Anda. Misalnya, jika Anda ingin perangkat mempublikasikan statusnya ke tabel DynamoDB, peran IAM AWS IoT memungkinkan untuk berinteraksi dengan Amazon DynamoDB. Untuk informasi lebih lanjut, lihat [Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html).
Untuk koneksi broker pesan melalui HTTP, AWS IoT mengautentikasi pengguna, grup, dan peran menggunakan proses penandatanganan Versi Tanda Tangan 4. Untuk selengkapnya, lihat [Menandatangani Permintaan AWS API](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html).
Saat menggunakan AWS Signature Version 4 dengan AWS IoT, klien harus mendukung yang berikut dalam implementasi TLS mereka:
+ TLS 1.2
+ Validasi tanda tangan sertifikat SHA-256 RSA
+ Salah satu cipher suite dari bagian dukungan cipher suite TLS
Untuk informasi, lihat [Identitas dan manajemen akses untuk AWS IoT](security-iam.md).
# Identitas Amazon Cognito
Amazon Cognito Identity memungkinkan Anda membuat AWS kredensyal hak istimewa sementara dan terbatas untuk digunakan dalam aplikasi seluler dan web. Saat Anda menggunakan Identitas Amazon Cognito, buat kumpulan identitas yang membuat identitas unik untuk pengguna Anda dan autentikasi dengan penyedia identitas seperti Login with Amazon, Facebook, dan Google. Anda juga dapat menggunakan identitas Amazon Cognito dengan identitas otentikasi pengembang Anda sendiri. Untuk informasi selengkapnya, lihat [Identitas Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html).
Untuk menggunakan Identitas Amazon Cognito, tentukan kumpulan identitas Amazon Cognito yang dikaitkan dengan peran IAM. Peran IAM dikaitkan dengan kebijakan IAM yang memberikan izin identitas dari kumpulan identitas Anda untuk mengakses AWS sumber daya seperti layanan panggilan. AWS
Identitas Amazon Cognito menciptakan identitas yang tidak diautentikasi dan diautentikasi. Identitas yang tidak diautentikasi digunakan untuk pengguna tamu di aplikasi seluler atau web yang ingin menggunakan aplikasi tanpa masuk. Pengguna yang tidak diautentikasi hanya diberikan izin yang ditentukan dalam kebijakan IAM yang terkait dengan kumpulan identitas.
Saat Anda menggunakan identitas yang diautentikasi, selain kebijakan IAM yang dilampirkan pada kumpulan identitas, Anda harus melampirkan AWS IoT kebijakan ke Identitas Amazon Cognito. Untuk melampirkan AWS IoT kebijakan, gunakan [ AttachPolicy](https://docs.aws.amazon.com/iot/latest/apireference/API_AttachPolicy.html)API dan berikan izin kepada pengguna individual AWS IoT aplikasi Anda. Anda dapat menggunakan AWS IoT kebijakan ini untuk menetapkan izin berbutir halus bagi pelanggan tertentu dan perangkat mereka.
Pengguna yang diautentikasi dan tidak diautentikasi adalah jenis identitas yang berbeda. Jika Anda tidak melampirkan AWS IoT kebijakan ke Identitas Amazon Cognito, pengguna yang diautentikasi akan gagal melakukan otorisasi AWS IoT dan tidak memiliki akses ke AWS IoT sumber daya dan tindakan. Untuk informasi selengkapnya tentang membuat kebijakan untuk identitas Amazon Cognito, lihat dan. [Contoh kebijakan Publikasi/Berlangganan](pub-sub-policy.md) [Otorisasi dengan identitas Amazon Cognito](cog-iot-policies.md)
![\[Aplikasi mengakses perangkat dengan Amazon Cognito Identity.\]](http://docs.aws.amazon.com/id_id/iot/latest/developerguide/images/device-cognito.png)