本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在用戶端連線至註冊時 AWS IoT just-in-time 註冊用戶端憑證 (JITR)
您可以設定 CA 憑證,以便在用戶端第一次連線至 時,啟用其簽署的用戶端憑證,以 AWS IoT 自動向 註冊 AWS IoT。
若要在用戶端 AWS IoT 第一次連線至 時註冊用戶端憑證,您必須啟用 CA 憑證以進行自動註冊,並設定用戶端提供所需憑證的第一個連線。
設定憑證授權機構憑證以支援自動註冊 (主控台)
若要設定 CA 憑證以支援使用 AWS IoT 主控台的自動用戶端憑證註冊
-
登入 AWS Management Console 並開啟AWS IoT 主控台
。 -
在左側導覽窗格中,選擇安全 ,選擇 CAs。
-
在憑證授權單位清單中,尋找您要啟用自動註冊的憑證授權單位,然後使用省略符號圖示開啟選項選單。
-
在選項選單上,選擇 Enable auto-registration (啟用自動註冊)。
注意
自動註冊狀態不會顯示在憑證授權單位清單中。若要查看憑證授權機構的自動註冊狀態,您必須開啟憑證授權機構的 Details (詳細資料) 頁面。
設定 CA 憑證以支援自動註冊 (CLI)
如果您已向 註冊 CA 憑證 AWS IoT,請使用 update-ca-certificateautoRegistrationStatus
將 CA 憑證設為 ENABLE
。
aws iot update-ca-certificate \ --certificate-id
caCertificateId
\ --new-auto-registration-status ENABLE
如果您想要在註冊憑證授權機構憑證時啟用 autoRegistrationStatus
,請使用 register-ca-certificate
aws iot register-ca-certificate \ --allow-auto-registration \ --ca-certificate file://
root_CA_cert_filename.pem
\ --verification-cert file://verification_cert_filename.pem
使用 describe-ca-certificate
設定用戶端的首次連線進行自動註冊
當用戶端 AWS IoT 第一次嘗試連線至 時,在 Transport Layer Security (TLS) 交握期間,用戶端上必須存在由 CA 憑證簽署的用戶端憑證。
當用戶端連線至 時 AWS IoT,請使用您在建立用戶端憑證或建立您自己的用戶端憑證 中建立的 AWS IoT用戶端憑證。 會將 CA 憑證 AWS IoT 識別為已註冊的 CA 憑證、註冊用戶端憑證,並將其狀態設定為 PENDING_ACTIVATION
。 https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html這代表系統會自動註冊該用戶端憑證,並準備啟用。用戶端憑證的狀態必須先是 ACTIVE
才能用來連線 AWS IoT。請參閱 啟用或停用用戶端憑證 以了解啟用用戶端憑證的相關資訊。
注意
您可以使用註冊 (JITR) 功能佈建裝置 AWS IoT Core just-in-time,而不必在裝置的第一個連線上傳送整個信任鏈。 AWS IoT Core出示 CA 憑證是選用的,但裝置在連線時需要傳送伺服器名稱指示 (SNI)
當 AWS IoT 自動註冊憑證,或當用戶端以 PENDING_ACTIVATION
狀態顯示憑證時, 會將訊息 AWS IoT 發佈至下列MQTT主題:
$aws/events/certificates/registered/
caCertificateId
為發行該用戶端憑證的憑證授權機構憑證 ID。caCertificateId
發佈至此主題的訊息具有以下結構:
{ "certificateId": "
certificateId
", "caCertificateId": "caCertificateId
", "timestamp":timestamp
, "certificateStatus": "PENDING_ACTIVATION", "awsAccountId": "awsAccountId
", "certificateRegistrationTimestamp": "certificateRegistrationTimestamp
" }
您可以建立規則以監聽此主題,並執行部分動作。建議您建立 Lambda 規則,以驗證用戶端憑證不在憑證撤銷清單 (CRL) 上、啟用憑證,以及建立政策並將其附加至憑證。政策會決定用戶端能夠存取哪些資源。如需如何建立 Lambda 規則以聆聽$aws/events/certificates/registered/
主題並執行這些動作的詳細資訊,請參閱just-in-time 在 上註冊用戶端憑證 AWS IoTcaCertificateID
如果在自動註冊用戶端憑證期間發生任何錯誤或例外狀況, 會在 CloudWatch Logs AWS IoT 中將事件或訊息傳送至您的日誌。如需設定帳戶日誌的詳細資訊,請參閱 Amazon CloudWatch 文件 。