Sertifikat klien X.509 - AWS IoT Core
Menggunakan sertifikat klien X.509Menggunakan sertifikat klien X.509 dalam beberapa Akun AWS detik dengan pendaftaran multi-akunAlgoritma penandatanganan sertifikat didukung oleh AWS IoTAlgoritma kunci yang didukung oleh AWS IoT

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sertifikat klien X.509

Sertifikat X.509 menyediakan AWS IoT kemampuan untuk mengautentikasi koneksi klien dan perangkat. Sertifikat klien harus terdaftar AWS IoT sebelum klien dapat berkomunikasi dengan AWS IoT. Sertifikat klien dapat didaftarkan dalam beberapa Akun AWS detik yang sama Wilayah AWS untuk memfasilitasi pemindahan perangkat antara Akun AWS s Anda di wilayah yang sama. Untuk informasi selengkapnya, lihat Menggunakan sertifikat klien X.509 dalam beberapa Akun AWS detik dengan pendaftaran multi-akun.

Kami menyarankan agar setiap perangkat atau klien diberikan sertifikat unik untuk mengaktifkan tindakan manajemen klien yang berbutir halus, termasuk pencabutan sertifikat. Perangkat dan klien juga harus mendukung rotasi dan penggantian sertifikat untuk membantu memastikan kelancaran pengoperasian saat sertifikat kedaluwarsa.

Untuk informasi tentang penggunaan sertifikat X.509 untuk mendukung lebih dari beberapa perangkat, lihat Penyediaan perangkat untuk meninjau berbagai opsi manajemen dan penyediaan sertifikat yang mendukung. AWS IoT

AWS IoT mendukung jenis sertifikat klien X.509 ini:

  • Sertifikat X.509 yang dihasilkan oleh AWS IoT

  • Sertifikat X.509 ditandatangani oleh CA yang terdaftar dengan. AWS IoT

  • Sertifikat X.509 ditandatangani oleh CA yang tidak terdaftar. AWS IoT

Bagian ini menjelaskan cara mengelola sertifikat X.509 di. AWS IoT Anda dapat menggunakan AWS IoT konsol atau AWS CLI untuk melakukan operasi sertifikat ini:

Untuk informasi selengkapnya tentang AWS CLI perintah yang melakukan operasi ini, lihat AWS IoT Referensi CLI.

Menggunakan sertifikat klien X.509

Sertifikat X.509 mengautentikasi koneksi klien dan perangkat ke. AWS IoT Sertifikat X.509 memberikan beberapa manfaat dibandingkan mekanisme identifikasi dan otentikasi lainnya. Sertifikat X.509 memungkinkan kunci asimetris untuk digunakan dengan perangkat. Misalnya, Anda dapat membakar kunci pribadi ke dalam penyimpanan aman pada perangkat sehingga materi kriptografi sensitif tidak pernah meninggalkan perangkat. Sertifikat X.509 memberikan otentikasi klien yang lebih kuat atas skema lain, seperti nama pengguna dan kata sandi atau token pembawa, karena kunci pribadi tidak pernah meninggalkan perangkat.

AWS IoT mengotentikasi sertifikat klien menggunakan mode otentikasi klien protokol TLS. Dukungan TLS tersedia dalam banyak bahasa pemrograman dan sistem operasi dan umumnya digunakan untuk mengenkripsi data. Dalam otentikasi klien TLS, AWS IoT meminta sertifikat klien X.509 dan memvalidasi status sertifikat dan Akun AWS terhadap registri sertifikat. Ini kemudian menantang klien untuk bukti kepemilikan kunci pribadi yang sesuai dengan kunci publik yang terkandung dalam sertifikat. AWS IoT mengharuskan klien untuk mengirim ekstensi Server Name Indication (SNI) ke protokol Transport Layer Security (TLS). Untuk informasi selengkapnya tentang mengonfigurasi ekstensi SNI, lihat. Keamanan transportasi di AWS IoT Core

Untuk memfasilitasi koneksi klien yang aman dan konsisten ke AWS IoT inti, sertifikat klien X.509 harus memiliki yang berikut:

Anda dapat membuat sertifikat klien yang menggunakan Amazon Root CA dan Anda dapat menggunakan sertifikat klien Anda sendiri yang ditandatangani oleh otoritas sertifikat (CA) lain. Untuk informasi selengkapnya tentang penggunaan AWS IoT konsol untuk membuat sertifikat yang menggunakan Amazon Root CA, lihatBuat sertifikat AWS IoT klien. Untuk informasi selengkapnya tentang menggunakan sertifikat X.509 Anda sendiri, lihat. Buat sertifikat klien Anda sendiri

Tanggal dan waktu ketika sertifikat yang ditandatangani oleh sertifikat CA kedaluwarsa ditetapkan saat sertifikat dibuat. Sertifikat X.509 yang dihasilkan dengan AWS IoT kedaluwarsa pada tengah malam UTC pada tanggal 31 Desember 2049 (2049-12-31T 23:59:59 Z).

AWS IoT Device Defender dapat melakukan audit pada perangkat Anda Akun AWS dan perangkat yang mendukung praktik terbaik keamanan IoT umum. Ini termasuk mengelola tanggal kedaluwarsa sertifikat X.509 yang ditandatangani oleh CA Anda atau Amazon Root CA. Untuk informasi selengkapnya tentang mengelola tanggal kedaluwarsa sertifikat, lihat Sertifikat perangkat kedaluwarsa dan sertifikat CA kedaluwarsa.

Di AWS IoT blog resmi, penyelaman lebih dalam tentang pengelolaan rotasi sertifikat perangkat dan praktik terbaik keamanan dieksplorasi di Cara mengelola rotasi sertifikat perangkat IoT menggunakan. AWS IoT

Menggunakan sertifikat klien X.509 dalam beberapa Akun AWS detik dengan pendaftaran multi-akun

Pendaftaran multi-akun memungkinkan untuk memindahkan perangkat antara Akun AWS s Anda di Wilayah yang sama atau di Wilayah yang berbeda. Anda dapat mendaftar, menguji, dan mengonfigurasi perangkat di akun pra-produksi, lalu mendaftar dan menggunakan perangkat dan sertifikat perangkat yang sama di akun produksi. Anda juga dapat mendaftarkan sertifikat klien pada perangkat atau sertifikat perangkat tanpa CA yang terdaftar AWS IoT. Untuk informasi selengkapnya, lihat Mendaftarkan sertifikat klien yang ditandatangani oleh CA (CLI) yang tidak terdaftar.

catatan

Sertifikat yang digunakan untuk pendaftaran multi-akun didukung pada jenisiot:Data-ATS, iot:Data (warisan),iot:Jobs, dan titik iot:CredentialProvider akhir. Untuk informasi selengkapnya tentang titik akhir AWS IoT perangkat, lihatAWS IoT data perangkat dan titik akhir layanan.

Perangkat yang menggunakan registrasi multi-akun harus mengirimkan ekstensi Server Name Indication (SNI) ke protokol Transport Layer Security (TLS) dan memberikan alamat endpoint lengkap di host_name lapangan, ketika mereka terhubung ke. AWS IoT AWS IoT menggunakan alamat titik akhir host_name untuk merutekan koneksi ke AWS IoT akun yang benar. Perangkat yang ada yang tidak mengirim alamat titik akhir yang valid host_name akan terus berfungsi, tetapi mereka tidak akan dapat menggunakan fitur yang memerlukan informasi ini. Untuk informasi lebih lanjut tentang ekstensi SNI dan untuk mempelajari cara mengidentifikasi alamat titik akhir untuk host_name bidang tersebut, lihat. Keamanan transportasi di AWS IoT Core

Untuk menggunakan pendaftaran multi-akun

  1. Anda dapat mendaftarkan sertifikat perangkat dengan CA. Anda dapat mendaftarkan CA penandatanganan dalam beberapa akun dalam SNI_ONLY mode dan menggunakan CA tersebut untuk mendaftarkan sertifikat klien yang sama ke beberapa akun. Untuk informasi selengkapnya, lihat Daftarkan sertifikat CA dalam mode SNI_ONLY (CLI) - Direkomendasikan.

  2. Anda dapat mendaftarkan sertifikat perangkat tanpa CA. Lihat Daftarkan sertifikat klien yang ditandatangani oleh CA (CLI) yang tidak terdaftar. Mendaftarkan CA adalah opsional. Anda tidak diharuskan mendaftarkan CA yang menandatangani sertifikat perangkat AWS IoT.

Algoritma penandatanganan sertifikat didukung oleh AWS IoT

AWS IoT mendukung algoritma penandatanganan sertifikat berikut:

  • SHA256WITHRSA

  • SHA384WITHRSA

  • SHA512WITHRSA

  • SHA256WITHRSAANDMGF1 (RSASSA-PSS)

  • SHA384WITHRSAANDMGF1 (RSASSA-PSS)

  • SHA512WITHRSAANDMGF1 (RSASSA-PSS)

  • DSA_DENGAN_SHA256

  • ECDSA-DENGAN-SHA256

  • ECDSA-DENGAN-SHA384

  • ECDSA-DENGAN-SHA512

Untuk informasi selengkapnya tentang otentikasi dan keamanan sertifikat, lihat Kualitas kunci sertifikat perangkat.

catatan

Permintaan penandatanganan sertifikat (CSR) harus menyertakan kunci publik. Kunci dapat berupa kunci RSA dengan panjang setidaknya 2.048 bit atau kunci ECC dari kurva NIST P-256, NIST P-384, atau NIST P-521. Untuk informasi selengkapnya, lihat CreateCertificateFromCsrdi Panduan Referensi AWS IoT API.

Algoritma kunci yang didukung oleh AWS IoT

Tabel di bawah ini menunjukkan bagaimana algoritma kunci didukung:

Algoritma kunci Algoritma penandatanganan sertifikat Versi TLS Didukung? Ya atau Tidak
RSA dengan ukuran kunci minimal 2048 bit Semua TLS 1.2 TLS 1.3 Ya
ECC NIST P-256/P-384/P-521 Semua TLS 1.2 TLS 1.3 Ya
RSA-PSS dengan ukuran kunci minimal 2048 bit Semua TLS 1.2 Tidak
RSA-PSS dengan ukuran kunci minimal 2048 bit Semua TLS 1.3 Ya

Untuk membuat sertifikat menggunakan CreateCertificateFromCSR, Anda dapat menggunakan algoritma kunci yang didukung untuk menghasilkan kunci publik untuk CSR Anda. Untuk mendaftarkan sertifikat Anda sendiri menggunakan RegisterCertificateatau RegisterCertificatetanpa CA, Anda dapat menggunakan algoritme kunci yang didukung untuk menghasilkan kunci publik untuk sertifikat.

Untuk informasi selengkapnya, lihat Kebijakan keamanan.