Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Otentikasi server
Ketika perangkat Anda atau klien lain mencoba untuk terhubung AWS IoT Core, AWS IoT Core server akan mengirimkan sertifikat X.509 yang digunakan perangkat Anda untuk mengautentikasi server. Otentikasi berlangsung di lapisan TLS melalui validasi rantai sertifikat [X.509](x509-client-certs.md). Ini adalah metode yang sama yang digunakan oleh browser Anda ketika Anda mengunjungi URL HTTPS. Jika Anda ingin menggunakan sertifikat dari otoritas sertifikat Anda sendiri, lihat[Kelola sertifikat CA Anda](manage-your-CA-certs.md).
Saat perangkat Anda atau klien lain membuat koneksi TLS ke AWS IoT Core titik akhir, AWS IoT Core tunjukkan rantai sertifikat yang digunakan perangkat untuk memverifikasi bahwa mereka berkomunikasi AWS IoT Core dan bukan meniru server lain. AWS IoT Core Rantai yang disajikan tergantung pada kombinasi dari jenis titik akhir yang terhubung ke perangkat dan [cipher suite](transport-security.md) yang klien dan AWS IoT Core dinegosiasikan selama jabat tangan TLS.
## Jenis titik akhir
AWS IoT Core mendukung`iot:Data-ATS`. `iot:Data-ATS`endpoint menyajikan sertifikat server yang ditandatangani oleh [Amazon Trust Services](https://www.amazontrust.com/repository/) CA.
Sertifikat yang diberikan oleh titik akhir ATS ditandatangani silang oleh Starfield. Beberapa implementasi klien TLS memerlukan validasi akar kepercayaan dan mengharuskan sertifikat Starfield CA dipasang di toko kepercayaan klien.
**Awas**
Menggunakan metode penyematan sertifikat yang melakukan hash seluruh sertifikat (termasuk nama penerbit, dan sebagainya) tidak disarankan karena ini akan menyebabkan verifikasi sertifikat gagal karena sertifikat ATS yang kami berikan ditandatangani silang oleh Starfield dan memiliki nama penerbit yang berbeda.
**penting**
Gunakan `iot:Data-ATS` titik akhir. Sertifikat Symantec dan Verisign telah usang dan tidak lagi didukung oleh. AWS IoT Core
Anda dapat menggunakan `describe-endpoint` perintah untuk membuat titik akhir ATS Anda.
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
`describe-endpoint`Perintah mengembalikan endpoint dalam format berikut.
```
account-specific-prefix.iot.your-region.amazonaws.com
```
**catatan**
Pertama kali `describe-endpoint` dipanggil, titik akhir dibuat. Semua panggilan berikutnya untuk `describe-endpoint` mengembalikan titik akhir yang sama.
**catatan**
Untuk melihat `iot:Data-ATS` titik akhir Anda di AWS IoT Core konsol, pilih **Pengaturan**. Konsol hanya menampilkan `iot:Data-ATS` titik akhir.
### Membuat `IotDataPlaneClient` dengan AWS SDK for Java
Untuk membuat `IotDataPlaneClient` yang menggunakan `iot:Data-ATS` endpoint, Anda harus melakukan hal berikut.
+ Buat `iot:Data-ATS` titik akhir dengan menggunakan [DescribeEndpoint](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeEndpoint.html)API.
+ Tentukan titik akhir itu saat Anda membuat. `IotDataPlaneClient`
Contoh berikut melakukan kedua operasi ini.
```
public void setup() throws Exception {
IotClient client = IotClient.builder().credentialsProvider(CREDENTIALS_PROVIDER_CHAIN).region(Region.US_EAST_1).build();
String endpoint = client.describeEndpoint(r -> r.endpointType("iot:Data-ATS")).endpointAddress();
iot = IotDataPlaneClient.builder()
.credentialsProvider(CREDENTIALS_PROVIDER_CHAIN)
.endpointOverride(URI.create("https://" + endpoint))
.region(Region.US_EAST_1)
.build();
}
```
## Sertifikat CA untuk otentikasi server
Bergantung pada jenis titik akhir data yang Anda gunakan dan rangkaian sandi mana yang telah Anda negosiasikan, sertifikat otentikasi AWS IoT Core server ditandatangani oleh salah satu sertifikat CA root berikut:
**Titik Akhir Amazon Trust Services (lebih disukai)**
**catatan**
Anda mungkin perlu mengklik kanan tautan ini dan memilih **Simpan tautan sebagai...** untuk menyimpan sertifikat ini sebagai file.
+ Kunci RSA 2048 bit:. [https://www.amazontrust.com/repository/AmazonRootCA1.pem](https://www.amazontrust.com/repository/AmazonRootCA1.pem)
+ Kunci RSA 4096 bit:. Amazon Root CA 2 Terpesan untuk digunakan di masa mendatang.
+ Kunci ECC 256 bit: [https://www.amazontrust.com/repository/AmazonRootCA3.pem](https://www.amazontrust.com/repository/AmazonRootCA3.pem).
+ Kunci ECC 384 bit:. Amazon Root CA 4 Terpesan untuk digunakan di masa mendatang.
Semua sertifikat ini ditandatangani silang oleh [Starfield Root CA](https://www.amazontrust.com/repository/SFSRootCAG2.pem) Certificate. Semua AWS IoT Core wilayah baru, dimulai dengan peluncuran 9 Mei 2018 AWS IoT Core di Wilayah Asia Pasifik (Mumbai), hanya melayani sertifikat ATS.
**VeriSign Titik akhir (warisan)**
+ Kunci RSA 2048 bit: Sertifikat CA root [G5 Primer Publik VeriSign Kelas 3](https://www.digicert.com/kb/digicert-root-certificates.htm)
## Pedoman otentikasi server
Ada banyak variabel yang dapat mempengaruhi kemampuan perangkat untuk memvalidasi sertifikat otentikasi AWS IoT Core server. Misalnya, perangkat mungkin terlalu dibatasi memori untuk menyimpan semua sertifikat CA root yang mungkin, atau perangkat dapat menerapkan metode validasi sertifikat non-standar. Untuk alasan ini kami sarankan mengikuti pedoman ini:
+ Kami menyarankan Anda menggunakan titik akhir ATS dan menginstal semua Amazon Root CA sertifikat yang didukung.
+ Jika Anda tidak dapat menyimpan semua sertifikat ini di perangkat Anda dan jika perangkat Anda tidak menggunakan validasi berbasis ECC, Anda dapat menghilangkan sertifikat dan ECC. [https://www.amazontrust.com/repository/AmazonRootCA3.pem](https://www.amazontrust.com/repository/AmazonRootCA3.pem) Jika perangkat Anda tidak menerapkan validasi sertifikat berbasis RSA, Anda dapat menghilangkan sertifikat dan RSA. [https://www.amazontrust.com/repository/AmazonRootCA1.pem](https://www.amazontrust.com/repository/AmazonRootCA1.pem) Anda mungkin perlu mengklik kanan tautan ini dan memilih **Simpan tautan sebagai...** untuk menyimpan sertifikat ini sebagai file.
+ Jika Anda mengalami masalah validasi sertifikat server saat menyambung ke titik akhir ATS, coba tambahkan sertifikat Amazon Root CA yang ditandatangani silang ke toko kepercayaan Anda. Anda mungkin perlu mengklik kanan tautan ini dan memilih **Simpan tautan sebagai...** untuk menyimpan sertifikat ini sebagai file.
+ [Tanda tangan silang Amazon Root CA 1](https://www.amazontrust.com/repository/G2-RootCA1.pem)
+ [Tanda tangan silang Amazon Root CA 2](https://www.amazontrust.com/repository/G2-RootCA2.pem) - Dicadangkan untuk penggunaan di masa mendatang.
+ [Tanda tangan silang Amazon Root CA 3](https://www.amazontrust.com/repository/G2-RootCA3.pem)
+ [Tanda tangan silang Amazon Root CA 4 - Dicadangkan untuk penggunaan di masa mendatang.](https://www.amazontrust.com/repository/G2-RootCA4.pem)
+ Jika Anda mengalami masalah validasi sertifikat server, perangkat Anda mungkin perlu mempercayai root CA secara eksplisit. Coba tambahkan [https://www.amazontrust.com/repository/SFSRootCAG2.pem](https://www.amazontrust.com/repository/SFSRootCAG2.pem)ke toko kepercayaan Anda.
+ Jika Anda masih mengalami masalah setelah menjalankan langkah-langkah di atas, silakan hubungi [Dukungan AWS Pengembang](https://aws.amazon.com/premiumsupport/plans/developers/).
**catatan**
Sertifikat CA memiliki tanggal kedaluwarsa setelah itu mereka tidak dapat digunakan untuk memvalidasi sertifikat server. Sertifikat CA mungkin harus diganti sebelum tanggal kedaluwarsa. Pastikan Anda dapat memperbarui sertifikat root CA di semua perangkat atau klien Anda untuk membantu memastikan konektivitas yang berkelanjutan dan mengikuti perkembangan praktik terbaik keamanan.
**catatan**
Saat menghubungkan ke AWS IoT Core dalam kode perangkat Anda, teruskan sertifikat ke API yang Anda gunakan untuk menyambungkan. API yang Anda gunakan akan bervariasi menurut SDK. Untuk informasi selengkapnya, lihat [AWS IoT Core Perangkat SDKs](iot-sdks.md).