Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Otentikasi server
Ketika perangkat Anda atau klien lain mencoba untuk terhubung AWS IoT Core, AWS IoT Core server akan mengirimkan sertifikat X.509 yang digunakan perangkat Anda untuk mengautentikasi server. Otentikasi berlangsung di TLS lapisan melalui validasi rantai sertifikat X.509. Ini adalah metode yang sama yang digunakan oleh browser Anda ketika Anda mengunjungi file HTTPSURL. Jika Anda ingin menggunakan sertifikat dari otoritas sertifikat Anda sendiri, lihatKelola sertifikat CA Anda.
Saat perangkat Anda atau klien lain membuat TLS sambungan ke AWS IoT Core titik akhir, AWS IoT Core tunjukkan rantai sertifikat yang digunakan perangkat untuk memverifikasi bahwa mereka berkomunikasi AWS IoT Core dan bukan meniru server lain. AWS IoT Core Rantai yang disajikan tergantung pada kombinasi dari jenis titik akhir yang terhubung ke perangkat dan cipher suite yang klien dan AWS IoT Core dinegosiasikan selama jabat tangan. TLS
Jenis titik akhir
AWS IoT Core mendukungiot:Data-ATS. iot:Data-ATSendpoint menyajikan sertifikat server yang ditandatangani oleh Amazon Trust Services
Sertifikat yang disajikan oleh ATS titik akhir ditandatangani silang oleh Starfield. Beberapa implementasi TLS klien memerlukan validasi akar kepercayaan dan mengharuskan sertifikat Starfield CA dipasang di toko kepercayaan klien.
Awas
Menggunakan metode penyematan sertifikat yang melakukan hash seluruh sertifikat (termasuk nama penerbit, dan sebagainya) tidak disarankan karena ini akan menyebabkan verifikasi sertifikat gagal karena sertifikat yang kami berikan ditandatangani silang oleh Starfield dan memiliki nama penerbit yang berbeda. ATS
penting
Gunakan iot:Data-ATS titik akhir. Sertifikat Symantec dan Verisign telah usang dan tidak lagi didukung oleh. AWS IoT Core
Anda dapat menggunakan describe-endpoint perintah untuk membuat ATS titik akhir Anda.
aws iot describe-endpoint --endpoint-type iot:Data-ATS
describe-endpointPerintah mengembalikan endpoint dalam format berikut.
account-specific-prefix.iot.your-region.amazonaws.com
catatan
Pertama kali describe-endpoint dipanggil, titik akhir dibuat. Semua panggilan berikutnya untuk describe-endpoint mengembalikan titik akhir yang sama.
catatan
Untuk melihat iot:Data-ATS titik akhir Anda di AWS IoT Core konsol, pilih Pengaturan. Konsol hanya menampilkan iot:Data-ATS titik akhir.
Membuat IotDataPlaneClient dengan AWS SDK untuk Java
Untuk membuat IotDataPlaneClient yang menggunakan iot:Data-ATS endpoint, Anda harus melakukan hal berikut.
-
Buat
iot:Data-ATStitik akhir dengan menggunakan. DescribeEndpointAPI -
Tentukan titik akhir itu saat Anda membuat.
IotDataPlaneClient
Contoh berikut melakukan kedua operasi ini.
public void setup() throws Exception { IotClient client = IotClient.builder().credentialsProvider(CREDENTIALS_PROVIDER_CHAIN).region(Region.US_EAST_1).build(); String endpoint = client.describeEndpoint(r -> r.endpointType("iot:Data-ATS")).endpointAddress(); iot = IotDataPlaneClient.builder() .credentialsProvider(CREDENTIALS_PROVIDER_CHAIN) .endpointOverride(URI.create("https://" + endpoint)) .region(Region.US_EAST_1) .build(); }
Sertifikat CA untuk otentikasi server
Bergantung pada jenis titik akhir data yang Anda gunakan dan rangkaian sandi mana yang telah Anda negosiasikan, sertifikat otentikasi AWS IoT Core server ditandatangani oleh salah satu sertifikat CA root berikut:
Titik Akhir Amazon Trust Services (lebih disukai)
catatan
Anda mungkin perlu mengklik kanan tautan ini dan memilih Simpan tautan sebagai... untuk menyimpan sertifikat ini sebagai file.
-
RSAKunci 2048 bit: Amazon Root CA 1
. -
RSAKunci 4096 bit: Amazon Root CA 2. Dicadangkan untuk penggunaan masa depan.
-
ECCKunci 256 bit: Amazon Root CA 3
. -
ECCKunci 384 bit: Amazon Root CA 4. Dicadangkan untuk penggunaan masa depan.
Semua sertifikat ini ditandatangani silang oleh Starfield Root CA
VeriSign Titik akhir (warisan)
-
RSAKunci 2048 bit: Sertifikat CA root G5 Primer Publik VeriSign Kelas 3
Pedoman otentikasi server
Ada banyak variabel yang dapat mempengaruhi kemampuan perangkat untuk memvalidasi sertifikat otentikasi AWS IoT Core server. Misalnya, perangkat mungkin terlalu dibatasi memori untuk menyimpan semua sertifikat CA root yang mungkin, atau perangkat dapat menerapkan metode validasi sertifikat non-standar. Untuk alasan ini kami sarankan mengikuti pedoman ini:
-
Kami menyarankan Anda menggunakan ATS titik akhir Anda dan menginstal semua yang didukung Amazon Root CA sertifikat.
-
Jika Anda tidak dapat menyimpan semua sertifikat ini di perangkat Anda dan jika perangkat Anda tidak menggunakan validasi ECC berbasis, Anda dapat menghilangkan Amazon Root CA 3
dan Amazon Root CA 4 ECCsertifikat. Jika perangkat Anda tidak menerapkan validasi sertifikat RSA berbasis, Anda dapat menghilangkan Amazon Root CA 1 dan Amazon Root CA 2 RSAsertifikat. Anda mungkin perlu mengklik kanan tautan ini dan memilih Simpan tautan sebagai... untuk menyimpan sertifikat ini sebagai file. -
Jika Anda mengalami masalah validasi sertifikat server saat menyambung ke ATS titik akhir, coba tambahkan sertifikat Amazon Root CA yang ditandatangani silang ke toko kepercayaan Anda. Anda mungkin perlu mengklik kanan tautan ini dan memilih Simpan tautan sebagai... untuk menyimpan sertifikat ini sebagai file.
-
Jika Anda mengalami masalah validasi sertifikat server, perangkat Anda mungkin perlu mempercayai root CA secara eksplisit. Coba tambahkan Starfield Root CA Certificate
ke toko kepercayaan Anda. -
Jika Anda masih mengalami masalah setelah menjalankan langkah-langkah di atas, silakan hubungi Dukungan AWS Pengembang
.
catatan
Sertifikat CA memiliki tanggal kedaluwarsa setelah itu mereka tidak dapat digunakan untuk memvalidasi sertifikat server. Sertifikat CA mungkin harus diganti sebelum tanggal kedaluwarsa. Pastikan Anda dapat memperbarui sertifikat root CA di semua perangkat atau klien Anda untuk membantu memastikan konektivitas yang berkelanjutan dan mengikuti perkembangan praktik terbaik keamanan.
catatan
Saat menghubungkan ke AWS IoT Core dalam kode perangkat Anda, berikan sertifikat ke yang API Anda gunakan untuk terhubung. Yang API Anda gunakan akan bervariasi menurutSDK. Untuk informasi selengkapnya, lihat AWS IoT Core Perangkat SDKs.
