选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

使用 MQTT 代理将客户端设备连接到 AWS IoT Greengrass 核心设备

PDF
RSS
聚焦模式
使用 MQTT 代理将客户端设备连接到 AWS IoT Greengrass 核心设备 - AWS IoT Greengrass
使用您自己的 CA

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

当您在 AWS IoT Greengrass 核心设备上使用 MQTT 代理时,设备会使用设备独有的核心设备证书颁发机构 (CA) 向代理颁发证书,以便与客户端建立双向 TLS 连接。

AWS IoT Greengrass 将自动生成核心设备 CA,或者您可以提供自己的 CA。连接客户端设备身份验证组件 AWS IoT Greengrass 时,核心设备 CA 即注册到其中。自动生成的核心设备 CA 是永久性的,只要配置了客户端设备身份验证组件,该设备就会持续使用同一 CA。

启动 MQTT 代理后,它会请求证书。客户端设备身份验证组件使用核心设备 CA 颁发 X.509 证书。代理启动、证书过期或连接信息(例如 IP 地址)发生变化时,将轮换证书。有关更多信息,请参阅本地 MQTT 代理的证书轮换

要将客户端连接到 MQTT 代理,您需要满足以下条件:

  • 客户端设备必须具有 AWS IoT Greengrass 核心设备 CA。您可以通过云发现或手动提供 CA 来获取此 CA。有关更多信息,请参阅使用您自己的证书颁发机构

  • 核心设备 CA 颁发的代理证书中必须提供核心设备的完全限定域名(FQDN)或 IP 地址。您可以使用 IP 检测器 组件或通过手动配置 IP 地址来确保这一点。有关更多信息,请参阅管理核心设备端点

  • 客户端设备身份验证组件必须授予客户端设备连接到 Greengrass 核心设备的权限。有关更多信息,请参阅客户端设备身份验证

使用您自己的证书颁发机构

如果您的客户端设备无法通过访问云来发现您的核心设备,则您可以提供核心设备证书颁发机构(CA)。您的 Greengrass 核心设备使用核心设备 CA 来为您的 MQTT 代理颁发证书。配置核心设备并使用其 CA 预置客户端设备后,您的客户端设备就可以连接到端点并使用核心设备 CA(您自己提供的 CA 或自动生成的 CA)来验证 TLS 握手。

要将 客户端设备身份验证 组件配置为使用您的核心设备 CA,请在部署组件时设置 certificateAuthority 配置参数。您必须在配置过程中提供以下详细信息:

  • 核心设备 CA 证书的位置。

  • 核心设备 CA 证书的私有密钥。

  • (可选)如果核心设备 CA 是中间 CA,则为指向根证书的证书链。

如果您提供核心设备 CA,请将该 CA AWS IoT Greengrass 注册到云端。

您可以将证书存储在硬件安全模块或文件系统中。以下示例显示了使用 HSM/TPM 存储的中间 CA 的 certificateAuthority 配置。请注意,证书链只能存储在磁盘上。

  "certificateAuthority": {
      "certificateUri": "pkcs11:object=CustomerIntermediateCA;type=cert",
      "privateKeyUri": "pkcs11:object=CustomerIntermediateCA;type=private"
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

在此示例中,certificateAuthority 配置参数会将客户端设备身份验证组件配置为使用文件系统中的中间 CA:

  "certificateAuthority": {
      "certificateUri": "file:///home/ec2-user/creds/intermediateCA.pem",
      "privateKeyUri": "file:///home/ec2-user/creds/intermediateCA.privateKey.pem",
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

要将设备连接到您的 AWS IoT Greengrass Core 设备,请执行以下操作:

  1. 使用您所在组织的根 CA 为 Greengrass 核心设备创建中间证书颁发机构(CA)。我们建议您使用中间 CA 作为最佳安全实践。

  2. 向 Greengrass 核心设备提供中间 CA 证书、私有密钥,以及指向您根 CA 的证书链。有关更多信息,请参阅 客户端设备身份验证。中间 CA 成为 Greengrass 核心设备的核心设备 CA,设备向注册 CA。 AWS IoT Greengrass

  3. 将客户端设备注册为 AWS IoT 事物。有关更多信息,请参阅《AWS IoT Core 开发人员指南》中的创建事物对象。将私有密钥、公有密钥、设备证书和根 CA 证书添加到客户端设备。如何添加信息取决于您的设备和软件。

配置设备后,您就可以使用证书和公有密钥链连接到 Greengrass 核心设备。您的软件负责查找核心设备端点。您可以手动为核心设备设置端点。有关更多信息,请参阅 手动管理端点

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。