Como conectar dispositivos cliente a um dispositivo do AWS IoT Greengrass Core com um agente MQTT - AWS IoT Greengrass
Como usar sua própria CA

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como conectar dispositivos cliente a um dispositivo do AWS IoT Greengrass Core com um agente MQTT

Quando você usa um agente MQTT no dispositivo do AWS IoT Greengrass Core, o dispositivo usa uma autoridade de certificação (CA) de dispositivo principal exclusiva do dispositivo para emitir um certificado ao agente para fazer conexões TLS mútuas com clientes.

O AWS IoT Greengrass gerará automaticamente uma CA de dispositivo principal, ou você pode fornecer sua própria CA. A CA do dispositivo principal é registrada no AWS IoT Greengrass quando o componente Autenticação do dispositivo cliente é conectado. A CA do dispositivo principal gerada automaticamente é persistente, o dispositivo continuará a usar a mesma CA enquanto o componente de autenticação do dispositivo cliente estiver configurado.

Quando o agente MQTT é iniciado, ele solicita um certificado. O componente de autenticação do dispositivo cliente emite um certificado X.509 usando a CA do dispositivo principal. O certificado é rotacionado quando o agente é iniciado, quando o certificado expira ou quando as informações de conectividade, como o endereço IP, são alteradas. Para ter mais informações, consulte Troca de certificado no agente MQTT local.

Para conectar um cliente ao agente MQTT, você precisa do seguinte:

  • O dispositivo cliente deve ter a CA do dispositivo do AWS IoT Greengrass Core. Você pode ter essa CA por meio da descoberta na nuvem ou fornecendo a CA manualmente. Para ter mais informações, consulte Como usar sua própria autoridade de certificação.

  • O nome de domínio totalmente qualificado (FQDN) ou endereço IP do dispositivo principal deve estar presente no certificado do agente emitido pela CA do dispositivo principal. Você garante isso usando o componente Detector IP ou configurando manualmente o endereço IP. Para ter mais informações, consulte Gerenciar endpoints do dispositivo principal do.

  • O componente de autenticação do dispositivo do cliente deve dar permissão ao dispositivo do cliente para se conectar ao dispositivo principal do Greengrass. Para ter mais informações, consulte Autenticação do dispositivo cliente.

Como usar sua própria autoridade de certificação

Se seus dispositivos cliente não conseguirem acessar a nuvem para descobrir seu dispositivo principal, você poderá fornecer uma autoridade de certificação (CA) do dispositivo principal. Seu dispositivo principal do Greengrass usa a CA do dispositivo principal para emitir certificados para o agente MQTT. Depois de configurar o dispositivo principal e provisionar seu dispositivo cliente com a CA, seus dispositivos cliente podem se conectar ao endpoint e verificar o handshake TLS usando a CA do dispositivo principal (CA fornecida por você ou gerada automaticamente).

Para configurar o componente Autenticação do dispositivo cliente para usar a CA do dispositivo principal, defina o parâmetro de configuração certificateAuthority ao implantar o componente. Forneça os detalhes a seguir durante a configuração:

  • A localização de um certificado de CA do dispositivo principal.

  • A chave privada do certificado de CA do dispositivo principal.

  • (Opcional) A cadeia de certificados para o certificado raiz se a CA do dispositivo principal for uma CA intermediária.

Se você fornecer uma CA de dispositivo principal, o AWS IoT Greengrass registrará a CA na nuvem.

Você pode armazenar os certificados em um módulo de segurança de hardware ou no sistema de arquivos. O exemplo a seguir mostra uma configuração certificateAuthority para uma CA intermediária armazenada usando HSM/TPM. Observe que a cadeia de certificados só pode ser armazenada em disco.

  "certificateAuthority": {
      "certificateUri": "pkcs11:object=CustomerIntermediateCA;type=cert",
      "privateKeyUri": "pkcs11:object=CustomerIntermediateCA;type=private"
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

Neste exemplo, o parâmetro de configuração certificateAuthority configura o componente de autenticação do dispositivo cliente para usar uma CA intermediária do sistema de arquivos:

  "certificateAuthority": {
      "certificateUri": "file:///home/ec2-user/creds/intermediateCA.pem",
      "privateKeyUri": "file:///home/ec2-user/creds/intermediateCA.privateKey.pem",
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

Para conectar os dispositivos ao seu dispositivo do AWS IoT Greengrass Core, faça o seguinte:

  1. Crie uma autoridade de certificação (CA) intermediária para o dispositivo principal do Greengrass usando a CA raiz da sua organização. É recomendável usar uma CA intermediária como prática de segurança.

  2. Forneça o certificado de CA intermediário, a chave privada e a cadeia de certificados à CA raiz para o dispositivo principal do Greengrass. Para ter mais informações, consulte Autenticação do dispositivo cliente. A CA intermediária se torna a CA do dispositivo principal do Greengrass, e o dispositivo registra a CA com o AWS IoT Greengrass.

  3. Registre o dispositivo cliente como um objeto de AWS IoT. Para obter mais informações, consulte Criar um objeto no Guia do desenvolvedor do AWS IoT Core. Adicione a chave privada, chave pública, certificado do dispositivo e certificado de CA raiz ao dispositivo do cliente. A forma como você adiciona as informações depende do dispositivo e software.

Depois de configurar o dispositivo, você pode usar o certificado e a cadeia de chaves públicas para se conectar ao dispositivo principal do Greengrass. Seu software é responsável por encontrar os endpoints do dispositivo principal. Você pode definir o endpoint manualmente para o dispositivo principal. Para ter mais informações, consulte Gerenciar endpoints manualmente.