Registre um certificado de cliente quando o cliente se conecta ao AWS IoT just-in-time registro (JITR) - AWS IoT Core
Configurar um certificado CA para oferecer suporte ao registro automático (console)Configurar um certificado CA para suportar o registro automático (CLI)Configurar a primeira conexão feita por um cliente para registro automático

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registre um certificado de cliente quando o cliente se conecta ao AWS IoT just-in-time registro (JITR)

Você pode configurar um certificado CA para permitir que os certificados de cliente assinados sejam registrados. AWS IoT automaticamente na primeira vez que o cliente se conecta ao AWS IoT.

Para registrar certificados de cliente quando um cliente se conecta ao AWS IoT pela primeira vez, você deve habilitar o certificado CA para registro automático e configurar a primeira conexão do cliente para fornecer os certificados necessários.

Configurar um certificado CA para oferecer suporte ao registro automático (console)

Para configurar um certificado CA para oferecer suporte ao registro automático de certificados de cliente usando o AWS IoT console

  1. Faça login no AWS Console de gerenciamento e abra o AWS IoT console.

  2. No painel de navegação esquerdo, escolha Seguro, escolha CAs.

  3. Na lista de autoridades de certificação, localize aquela para a qual deseja ativar o registro automático e abra o menu de opções usando o ícone de reticências.

  4. No menu de opções, selecione Habilitar o registro automático.

nota

O status do registro automático não é mostrado na lista de autoridades de certificação. Para ver o status do registro automático de uma autoridade de certificação, é necessário abrir a página Detalhes da autoridade de certificação.

Configurar um certificado CA para suportar o registro automático (CLI)

Se você já registrou seu certificado CA com AWS IoT, use o update-ca-certificatecomando para definir autoRegistrationStatus o certificado CA comoENABLE.

aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE

Se deseja habilitar autoRegistrationStatus quando registrar o certificado CA, use o comando register-ca-certificate.

aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem

Use o comando describe-ca-certificate para ver o status do certificado CA.

Configurar a primeira conexão feita por um cliente para registro automático

Quando um cliente tenta se conectar ao AWS IoT pela primeira vez, o certificado do cliente assinado pelo seu certificado CA deve estar presente no cliente durante o handshake Transport Layer Security (TLS).

Quando o cliente se conecta ao AWS IoT, use o certificado de cliente que você criou em Criar AWS IoT certificados de cliente ou Crie seus próprios certificados de cliente. AWS IoT reconhece o certificado CA como um certificado CA registrado, registra o certificado do cliente e define seu status como. PENDING_ACTIVATION Isso indica que o certificado de cliente foi registrado automaticamente e está aguardando ativação. O estado do certificado do cliente deve ser ACTIVE antes que ele possa ser usado para se conectar ao AWS IoT. Consulte Ativar ou desativar um certificado de cliente para obter informações sobre como ativar um certificado de cliente.

nota

Você pode provisionar dispositivos usando AWS IoT Core just-in-timerecurso registration (JITR) sem precisar enviar toda a cadeia de confiança na primeira conexão dos dispositivos para AWS IoT Core. A apresentação do certificado CA é opcional, mas é necessário que o dispositivo envie a extensão Server Name Indication (SNI) ao se conectar.

Quando AWS IoT registra automaticamente um certificado ou quando um cliente apresenta um certificado no PENDING_ACTIVATION status, AWS IoT publica uma mensagem para o seguinte MQTT tópico:

$aws/events/certificates/registered/caCertificateId

Em que caCertificateId é o ID do certificado CA que emitiu o certificado de cliente.

A mensagem publicada para este tópico tem a seguinte estrutura:

{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}

Você pode criar uma regra que ouça esse tópico e execute algumas ações. Recomendamos que você crie uma regra Lambda que verifique se o certificado do cliente não está em uma lista de revogação de certificados (CRL), ative o certificado e crie e anexe uma política ao certificado. A política determina quais recursos o cliente pode acessar. Para obter mais informações sobre como criar uma regra Lambda que escuta o $aws/events/certificates/registered/caCertificateID tópico e executa essas ações, consulte just-in-time registro de certificados de cliente em AWS IoT.

Se ocorrer algum erro ou exceção durante o registro automático dos certificados do cliente, AWS IoT envia eventos ou mensagens para seus registros no CloudWatch Logs. Para obter mais informações sobre como configurar os registros da sua conta, consulte a CloudWatch documentação da Amazon.