As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Você pode configurar um certificado CA para permitir que os certificados do cliente que ele assinou sejam registrados AWS IoT automaticamente na primeira vez em que o cliente se conectar AWS IoT.
Para registrar certificados de cliente quando um cliente se conecta AWS IoT pela primeira vez, você deve habilitar o certificado CA para registro automático e configurar a primeira conexão do cliente para fornecer os certificados necessários.
Configurar um certificado CA para oferecer suporte ao registro automático (console)
Para configurar um certificado CA para oferecer suporte ao registro automático de certificados de clientes usando o AWS IoT console
-
Faça login no AWS Management Console e abra o AWS IoT console
. -
No painel de navegação esquerdo, escolha Seguro, escolha CAs.
-
Na lista de autoridades de certificação, localize aquela para a qual deseja ativar o registro automático e abra o menu de opções usando o ícone de reticências.
-
No menu de opções, selecione Habilitar o registro automático.
nota
O status do registro automático não é mostrado na lista de autoridades de certificação. Para ver o status do registro automático de uma autoridade de certificação, é necessário abrir a página Detalhes da autoridade de certificação.
Configurar um certificado CA para oferecer suporte ao registro automático (CLI)
Se você já registrou seu certificado CA com AWS IoT, use o update-ca-certificateautoRegistrationStatus
o certificado CA comoENABLE
.
aws iot update-ca-certificate \ --certificate-id
caCertificateId
\ --new-auto-registration-status ENABLE
Se deseja habilitar autoRegistrationStatus
quando registrar o certificado CA, use o comando register-ca-certificate
aws iot register-ca-certificate \ --allow-auto-registration \ --ca-certificate file://
root_CA_cert_filename.pem
\ --verification-cert file://verification_cert_filename.pem
Use o comando describe-ca-certificate
Configurar a primeira conexão feita por um cliente para registro automático
Quando um cliente tenta se conectar AWS IoT pela primeira vez, o certificado do cliente assinado pelo seu certificado CA deve estar presente no cliente durante o handshake do Transport Layer Security (TLS).
Quando o cliente se conectar AWS IoT, use o certificado de cliente que você criou em Criar certificados de AWS IoT cliente ou Criar seus próprios certificados de cliente. AWS IoT reconhece o certificado CA como um certificado CA registrado, registra o certificado do cliente e define seu status como. PENDING_ACTIVATION
Isso indica que o certificado de cliente foi registrado automaticamente e está aguardando ativação. O estado do certificado de cliente deve ser ACTIVE
para que ele possa ser usado para se conectar ao AWS IoT. Consulte Ativar ou desativar um certificado de cliente para ver mais informações sobre como ativar um certificado de cliente.
nota
Você pode provisionar dispositivos usando o recurso de AWS IoT Core just-in-time registro (JITR) sem precisar enviar toda a cadeia de confiança na primeira conexão dos dispositivos. AWS IoT Core A apresentação do certificado da CA é opcional, mas é necessário que o dispositivo envie a extensão Server Name Indication (SNI)
Quando registra AWS IoT automaticamente um certificado ou quando um cliente apresenta um certificado no PENDING_ACTIVATION
status, AWS IoT publica uma mensagem no seguinte tópico do MQTT:
$aws/events/certificates/registered/
caCertificateId
Em que
é o ID do certificado CA que emitiu o certificado de cliente.caCertificateId
A mensagem publicada para este tópico tem a seguinte estrutura:
{
"certificateId": "certificateId
",
"caCertificateId": "caCertificateId
",
"timestamp": timestamp
,
"certificateStatus": "PENDING_ACTIVATION",
"awsAccountId": "awsAccountId
",
"certificateRegistrationTimestamp": "certificateRegistrationTimestamp
"
}
Você pode criar uma regra que ouça esse tópico e execute algumas ações. Recomendamos que você crie uma regra do Lambda que verifique se o certificado de cliente não está em uma lista de revogação de certificados (CRL), ative o certificado e crie e anexe uma política para o certificado. A política determina quais recursos o cliente pode acessar. Se a política que você está criando exigir o ID do cliente dos dispositivos conectados, você pode usar a função clientid () da regra para recuperar o ID do cliente. Um exemplo de definição de regra pode ter a seguinte aparência:
SELECT *,
clientid() as clientid
from $aws/events/certificates/registered/caCertificateId
Neste exemplo, a regra se inscreve no tópico JITR $aws/events/certificates/registered/
e usa a função clientid () para recuperar o ID do cliente. Em seguida, a regra anexa o ID do cliente ao payload do JITR. Para obter mais informações sobre a função clientid () da regra, consulte clientid ().caCertificateID
Para obter mais informações sobre como criar uma regra Lambda que escuta o $aws/events/certificates/registered/
tópico e executa essas ações, consulte just-in-time registro de certificados de clientecaCertificateID
Se ocorrer algum erro ou exceção durante o registro automático dos certificados do cliente, AWS IoT envia eventos ou mensagens para seus CloudWatch registros no Logs. Para obter mais informações sobre como configurar os registros da sua conta, consulte a CloudWatch documentação da Amazon.