Registrare un certificato client quando il client si connette alla AWS IoT just-in-time registrazione (JITR) - AWS IoT Core
Configurare un certificato CA per supportare la registrazione automatica (console)Configurare un certificato CA per supportare la registrazione automatica (CLI)Configurare la prima connessione da parte di un client per la registrazione automatica

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrare un certificato client quando il client si connette alla AWS IoT just-in-time registrazione (JITR)

È possibile configurare un certificato CA per abilitare la registrazione AWS IoT automatica dei certificati client con cui ha firmato la registrazione la prima volta che il client si connette. AWS IoT

Per registrare i certificati client quando un client si connette AWS IoT per la prima volta, è necessario abilitare il certificato CA per la registrazione automatica e configurare la prima connessione da parte del client per fornire i certificati richiesti.

Configurare un certificato CA per supportare la registrazione automatica (console)

Per configurare un certificato CA per supportare la registrazione automatica dei certificati client tramite la AWS IoT console

  1. Accedi alla console di AWS gestione e apri la AWS IoT console.

  2. Nel riquadro di navigazione di sinistra, scegliere Secure (Sicurezza), quindi CAs (CA).

  3. Nell'elenco delle autorità di certificazione individuare quella per cui si desidera abilitare la registrazione automatica e aprire il menu delle opzioni utilizzando l'icona con i puntini di sospensione.

  4. Scegliere Enable auto-registration (Abilita registrazione automatica)dal menu delle opzioni.

Nota

Lo stato della registrazione automatica non viene visualizzato nell'elenco delle autorità di certificazione. Per visualizzare lo stato di registrazione automatica di un'autorità di certificazione, è necessario aprire la pagina Details (Dettagli) dell'autorità di certificazione.

Configurare un certificato CA per supportare la registrazione automatica (CLI)

Se hai già registrato il certificato CA con AWS IoT, usa il update-ca-certificatecomando per impostare autoRegistrationStatus il certificato CA suENABLE.

aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE

Se si desidera abilitare autoRegistrationStatus quando si registra il certificato CA, utilizzare il comando register-ca-certificate.

aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem

Usare il comando describe-ca-certificate per visualizzare lo stato del certificato CA.

Configurare la prima connessione da parte di un client per la registrazione automatica

Quando un client tenta di connettersi AWS IoT per la prima volta, il certificato client firmato dal certificato CA deve essere presente sul client durante l'handshake Transport Layer Security (TLS).

Quando il client si connette AWS IoT, utilizza il certificato client creato in Crea certificati AWS IoT client o Crea certificati client personalizzati. AWS IoT riconosce il certificato CA come certificato CA registrato, registra il certificato client e ne imposta lo stato su. PENDING_ACTIVATION Questo significa che il certificato client è stato automaticamente registrato ed è in attesa dell'attivazione. Lo stato del certificato client deve essere ACTIVE prima che possa essere utilizzato per connettersi ad AWS IoT. Vedi Attivare o disattivare un certificato client per informazioni sull'attivazione di un certificato client.

Nota

È possibile effettuare il provisioning dei dispositivi utilizzando la funzionalità AWS IoT Core Just-in-Time Registration (JITR) senza dover inviare l'intera catena di fiducia alla prima connessione dei dispositivi a. AWS IoT Core La presentazione del certificato emesso da una CA è facoltativa, ma il dispositivo è necessario per inviare l'estensione Server Name Indication (SNI) quando si collegano.

Quando registra AWS IoT automaticamente un certificato o quando un client presenta un certificato nello PENDING_ACTIVATION stato, AWS IoT pubblica un messaggio sul seguente argomento MQTT:

$aws/events/certificates/registered/caCertificateId

Dove caCertificateId è l'ID del certificato emesso da una CA che ha rilasciato il certificato client.

Il messaggio pubblicato in questo argomento ha la struttura seguente:

{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}

Puoi creare una regola che resti in ascolto in questo argomento ed esegua alcune operazioni. Ti consigliamo di creare una regola Lambda che verifichi che il certificato client non sia incluso in un elenco di revoche di certificati (CRL), che attivi il certificato e crei e colleghi una policy a quest'ultimo. La policy determina le risorse cui il client può accedere. Per ulteriori informazioni su come creare una regola Lambda che ascolti l'$aws/events/certificates/registered/caCertificateIDargomento ed esegua queste azioni, vedi just-in-time Registrazione dei certificati client su. AWS IoT

Se si verifica un errore o un'eccezione durante la registrazione automatica dei certificati client, AWS IoT invia eventi o messaggi ai registri in CloudWatch Logs. Per ulteriori informazioni sulla configurazione dei log per il tuo account, consulta la CloudWatch documentazione di Amazon.