Certificati client X.509 - AWS IoT Core
Utilizzo dei certificati client X.509Utilizzo dei certificati client X.509 in più Account AWS secondi con registrazione multiaccountAlgoritmi di firma dei certificati supportati da AWS IoTAlgoritmi chiave supportati da AWS IoT

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Certificati client X.509

I certificati X.509 offrono la possibilità di AWS IoT autenticare le connessioni di client e dispositivi. I certificati client devono essere registrati presso AWS IoT prima che un client possa comunicare con. AWS IoT Un certificato client può essere registrato in più Account AWS file contemporaneamente Regione AWS per facilitare lo spostamento di dispositivi tra Account AWS i server della stessa regione. Per ulteriori informazioni, consulta Utilizzo dei certificati client X.509 in più Account AWS secondi con registrazione multiaccount.

Consigliamo che a ogni dispositivo o client sia assegnato un certificato univoco per permettere operazioni di gestione granulare del client, inclusa la revoca di certificati. I dispositivi e i client devono anche supportare la rotazione e la sostituzione dei certificati per garantire un funzionamento corretto allo scadere dei certificati.

Per informazioni sull'utilizzo dei certificati X.509 per supportare più dispositivi, consulta Provisioning dei dispositivi per esaminare le diverse opzioni di gestione dei certificati e provisioning supportate da AWS IoT .

AWS IoT supporta questi tipi di certificati client X.509:

  • certificati X.509 generati da AWS IoT

  • Certificati X.509 firmati da una CA registrata con. AWS IoT

  • Certificati X.509 firmati da una CA non registrata con AWS IoT.

In questa sezione viene descritto come gestire i certificati X.509 in AWS IoT. È possibile utilizzare la AWS IoT console o AWS CLI eseguire le seguenti operazioni sui certificati:

Per ulteriori informazioni sui AWS CLI comandi che eseguono queste operazioni, consulta AWS IoT CLI Reference.

Utilizzo dei certificati client X.509

I certificati X.509 autenticano le connessioni di client e dispositivi a. AWS IoT I certificati X.509 offrono diversi vantaggi rispetto ad altri meccanismi di identificazione e autenticazione. I certificati X.509 permettono l'uso di chiavi asimmetriche con i dispositivi. Ad esempio, è possibile masterizzare le chiavi private in un dispositivo di storage sicuro in modo che il materiale crittografico sensibile resta sempre nel dispositivo. I certificati X.509 forniscono un'autenticazione client più affidabile rispetto ad altri schemi, ad esempio un nome utente e una password o un token di connessione, perché la chiave privata resta sempre nel dispositivo.

AWS IoT autentica i certificati client utilizzando la modalità di autenticazione client del protocollo TLS. Il supporto TLS è disponibile in molti linguaggi di programmazione e sistemi operativi e viene usato in genere per crittografare i dati. Nell'autenticazione client TLS, AWS IoT richiede un certificato client X.509 e convalida lo stato del certificato e confrontandolo con un registro di certificati. Account AWS Quindi richiede al client la prova della proprietà della chiave privata che corrisponde alla chiave pubblica contenuta nel certificato. AWS IoT richiede ai client di inviare l'estensione SNI (Server Name Indication) al protocollo Transport Layer Security (TLS). Per ulteriori informazioni sulla configurazione dell'estensione SNI, consulta Sicurezza dei trasporti in AWS IoT Core.

Per facilitare una connessione client sicura e coerente al AWS IoT core, un certificato client X.509 deve possedere quanto segue:

Puoi creare certificati client che utilizzano l'autorità di certificazione root Amazon e puoi utilizzare i tuoi certificati client firmati da un'altra CA. Per ulteriori informazioni sull'utilizzo della AWS IoT console per creare certificati che utilizzano Amazon Root CA, consultaCrea certificati AWS IoT client. Per ulteriori informazioni sull'utilizzo dei certificati X.509, consulta Creare certificati client personali.

La data e l'ora di scadenza per i certificati firmati da un certificato CA vengono impostate alla creazione del certificato. I certificati X.509 generati da AWS IoT scadono alla mezzanotte UTC del 31 dicembre 2049 (2049-12-31T 23:59:59 Z).

AWS IoT Device Defender può eseguire audit su te Account AWS e sui dispositivi che supportano le migliori pratiche di sicurezza IoT comuni. Ciò include la gestione delle date di scadenza dei certificati X.509 firmati dalla tua CA o da Amazon Root CA. Per ulteriori informazioni sulla gestione della data di scadenza di un certificato, consulta Scadenza del certificato del dispositivo e Scadenza del certificato CA.

Nel AWS IoT blog ufficiale, un approfondimento sulla gestione della rotazione dei certificati dei dispositivi e sulle migliori pratiche di sicurezza è esplorato in Come gestire la rotazione dei certificati dei dispositivi IoT utilizzando AWS IoT.

Utilizzo dei certificati client X.509 in più Account AWS secondi con registrazione multiaccount

La registrazione a più account consente di spostare dispositivi tra i tuoi Account AWS nella stessa regione o in regioni diverse. In questo modo puoi registrare, testare e configurare un dispositivo in un account di pre-produzione, quindi registrare e utilizzare lo stesso dispositivo e certificato del dispositivo in un account di produzione. È inoltre possibile registrare il certificato client sul dispositivo o i certificati del dispositivo senza una CA registrata con. AWS IoT Per ulteriori informazioni, consulta Registrazione di un certificato client firmato da una CA non registrata (CLI).

Nota

I certificati utilizzati per la registrazione con più account sono supportati in iot:Data-ATS, iot:Data (legacy), iot:Jobs e nei tipi di endpoint iot:CredentialProvider. Per ulteriori informazioni sugli endpoint dei AWS IoT dispositivi, consultaAWS IoT dati del dispositivo e endpoint di servizio.

I dispositivi che utilizzano la registrazione multiaccount devono inviare l'estensione SNI (Server Name Indication) al protocollo Transport Layer Security (TLS) e fornire l'indirizzo completo dell'endpoint sul host_name campo, quando si connettono. AWS IoT AWS IoT utilizza l'indirizzo dell'endpoint in host_name per indirizzare la connessione all'account corretto. AWS IoT I dispositivi esistenti che non inviano un indirizzo endpoint valido in host_name continueranno a funzionare, ma non saranno in grado di utilizzare le funzionalità che richiedono queste informazioni. Per ulteriori informazioni sull'estensione SNI e per informazioni su come identificare l'indirizzo endpoint per il campo host_name, vedere Sicurezza dei trasporti in AWS IoT Core.

Per utilizzare la registrazione con più account

  1. Puoi registrare i certificati del dispositivo con una CA. Puoi registrare la CA di firma in più account in modalità SNI_ONLY e utilizzare tale CA per registrare lo stesso certificato client su più account. Per ulteriori informazioni, consulta Registrazione di un certificato CA in modalità SNI_ONLY (CLI) - Consigliato.

  2. Puoi registrare i certificati del dispositivo senza una CA. Per informazioni, consulta Registra un certificato client firmato da una CA (CLI) non registrata. La registrazione di una CA è facoltativa. Non è necessario registrare la CA con AWS IoT cui ha firmato i certificati del dispositivo.

Algoritmi di firma dei certificati supportati da AWS IoT

AWS IoT supporta i seguenti algoritmi di firma dei certificati:

  • SHA256WITHRSA

  • SHA384WITHRSA

  • SHA512WITHRSA

  • SHA256WITHRSAANDMGF1 (RSASSA-PSS)

  • SHA384WITHRSAANDMGF1 (RSASSA-PSS)

  • SHA512WITHRSAANDMGF1 (RSASSA-PSS)

  • DSA_WITH_SHA256

  • ECDSA-WITH-SHA256

  • ECDSA-WITH-SHA384

  • ECDSA-WITH-SHA512

Per ulteriori informazioni sull'autenticazione e la sicurezza dei certificati, consulta Device certificate key quality.

Nota

La richiesta di firma del certificato (CSR) deve includere una chiave pubblica. La chiave può essere una chiave RSA con lunghezza di almeno 2048 bit o una chiave ECC da curva NIST P–256, NIST P–384 o NIST P-521. Per ulteriori informazioni, CreateCertificateFromCsrconsulta la Guida di riferimento delle AWS IoT API.

Algoritmi chiave supportati da AWS IoT

La tabella seguente mostra come sono supportati gli algoritmi chiave:

Algoritmo chiave Algoritmo di firma dei certificati Versione TLS Supportato? Sì o No
RSA con una dimensione della chiave di almeno 2048 bit Tutti TLS 1.2 TLS 1.3
ECC NIST P-256/P-384/P-521 Tutti TLS 1.2 TLS 1.3
RSA-PSS con una dimensione della chiave di almeno 2048 bit Tutti TLS 1.2 No
RSA-PSS con una dimensione della chiave di almeno 2048 bit Tutti TLS 1.3

Per creare un certificato utilizzando CreateCertificatefromCSR, puoi utilizzare un algoritmo a chiave supportato per generare una chiave pubblica per la tua CSR. Per registrare il proprio certificato utilizzando RegisterCertificateo RegisterCertificatesenza CA, è possibile utilizzare un algoritmo a chiave supportato per generare una chiave pubblica per il certificato.

Per ulteriori informazioni, consulta Politiche di sicurezza.