Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Registrare un certificato client quando il client si connette alla AWS IoT just-in-time registrazione (JITR)
<a name="auto-register-device-cert"></a>

È possibile configurare un certificato CA per abilitare la registrazione AWS IoT automatica dei certificati client con cui ha firmato la registrazione la prima volta che il client si connette. AWS IoT

Per registrare i certificati client quando un client si connette AWS IoT per la prima volta, è necessario abilitare il certificato CA per la registrazione automatica e configurare la prima connessione da parte del client per fornire i certificati richiesti.

## Configurare un certificato CA per supportare la registrazione automatica (console)
<a name="enable-auto-registration-console"></a>

**Per configurare un certificato CA per supportare la registrazione automatica dei certificati client tramite la AWS IoT console**

1. Accedi alla console di AWS gestione e apri la [AWS IoT console](https://console.aws.amazon.com/iot/home).

1. Nel riquadro di navigazione a sinistra, scegli **Sicuro**, scegli **CAs**.

1. Nell'elenco delle autorità di certificazione individuare quella per cui si desidera abilitare la registrazione automatica e aprire il menu delle opzioni utilizzando l'icona con i puntini di sospensione.

1. Scegliere **Enable auto-registration (Abilita registrazione automatica)**dal menu delle opzioni.

**Nota**  
Lo stato della registrazione automatica non viene visualizzato nell'elenco delle autorità di certificazione. Per visualizzare lo stato di registrazione automatica di un'autorità di certificazione, è necessario aprire la pagina **Details (Dettagli)** dell'autorità di certificazione.

## Configurare un certificato CA per supportare la registrazione automatica (CLI)
<a name="enable-auto-registration-cli"></a>

Se hai già registrato il certificato CA con AWS IoT, usa il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)comando per impostare `autoRegistrationStatus` il certificato CA su`ENABLE`.

```
aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE
```

Se si desidera abilitare `autoRegistrationStatus` quando si registra il certificato CA, utilizzare il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html).

```
aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```

Usare il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) per visualizzare lo stato del certificato CA.

## Configurare la prima connessione da parte di un client per la registrazione automatica
<a name="configure-auto-reg-first-connect"></a>

Quando un client tenta di connettersi AWS IoT per la prima volta, il certificato client firmato dal certificato CA deve essere presente sul client durante l'handshake Transport Layer Security (TLS).

Quando il client si connette AWS IoT, utilizza il certificato client creato in [Crea certificati AWS IoT client](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-create.html) o [Crea certificati client personalizzati.](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html) AWS IoT riconosce il certificato CA come certificato CA registrato, registra il certificato client e ne imposta lo stato su. `PENDING_ACTIVATION` Questo significa che il certificato client è stato automaticamente registrato ed è in attesa dell'attivazione. Lo stato del certificato client deve essere `ACTIVE` prima che possa essere utilizzato per connettersi ad AWS IoT. Vedi [Attivare o disattivare un certificato client](activate-or-deactivate-device-cert.md) per informazioni sull'attivazione di un certificato client.

**Nota**  
È possibile effettuare il provisioning dei dispositivi utilizzando la funzionalità di AWS IoT Core just-in-time registrazione (JITR) senza dover inviare l'intera catena di fiducia alla prima connessione dei dispositivi a. AWS IoT Core La presentazione del certificato emesso da una CA è facoltativa, ma il dispositivo è necessario per inviare l'estensione [Server Name Indication (SNI)](https://datatracker.ietf.org/doc/html/rfc3546#section-3.1) quando si collegano.

Quando registra AWS IoT automaticamente un certificato o quando un client presenta un certificato nello `PENDING_ACTIVATION` stato, AWS IoT pubblica un messaggio sul seguente argomento MQTT:

`$aws/events/certificates/registered/caCertificateId`

Dove `caCertificateId` è l'ID del certificato emesso da una CA che ha rilasciato il certificato client.

Il messaggio pubblicato in questo argomento ha la struttura seguente:

```
{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}
```

Puoi creare una regola che resti in ascolto in questo argomento ed esegua alcune operazioni. Ti consigliamo di creare una regola Lambda che verifichi che il certificato client non sia incluso in un elenco di revoche di certificati (CRL), che attivi il certificato e crei e colleghi una policy a quest'ultimo. La policy determina le risorse cui il client può accedere. Se la politica che state creando richiede l'ID client dai dispositivi di connessione, potete utilizzare la funzione clientid () della regola per recuperare l'ID client. Un esempio di definizione di regola può essere simile al seguente:

```
SELECT *,
   clientid() as clientid
from $aws/events/certificates/registered/caCertificateId
```

In questo esempio, la regola sottoscrive l'argomento JITR `$aws/events/certificates/registered/caCertificateID` e utilizza la funzione clientid () per recuperare l'ID del client. La regola aggiunge quindi l'ID client al payload JITR. [Per ulteriori informazioni sulla funzione clientid () della regola, vedete clientid ().](https://docs.aws.amazon.com//iot/latest/developerguide/iot-sql-functions.html#iot-sql-function-clientid)

Per ulteriori informazioni su come creare una regola Lambda che ascolti l'`$aws/events/certificates/registered/caCertificateID`argomento ed esegua queste azioni, vedi [just-in-time Registrazione dei certificati client](https://aws.amazon.com/blogs/iot/just-in-time-registration-of-device-certificates-on-aws-iot/) su. AWS IoT

Se si verifica un errore o un'eccezione durante la registrazione automatica dei certificati client, AWS IoT invia eventi o messaggi ai registri in CloudWatch Logs. Per ulteriori informazioni sulla configurazione dei log per il tuo account, consulta la [ CloudWatch documentazione di Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/).