Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Integration von Hardware-Sicherheit

PDF
RSS
Fokusmodus
Integration von Hardware-Sicherheit - AWS IoT Greengrass
VoraussetzungenBewährte MethodenInstallieren Sie die AWS IoT Greengrass Core-Software mit HardwaresicherheitKonfigurieren Sie die Hardwaresicherheit auf einem vorhandenen Core-GerätVerwenden Sie Hardware ohne PKCS #11 -UnterstützungWeitere Informationen finden Sie auch unter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anmerkung

Diese Funktion ist für Version 2.5.3 und höher der Greengrass Nucleus-Komponente verfügbar. AWS IoT Greengrass unterstützt diese Funktion derzeit nicht auf Windows Core-Geräten.

Sie können die AWS IoT Greengrass Core-Software so konfigurieren, dass sie ein Hardware-Sicherheitsmodul (HSM) über die PKCS #11 -Schnittstelle verwendet. Mit dieser Funktion können Sie den privaten Schlüssel und das Zertifikat des Geräts sicher speichern, sodass sie nicht offengelegt oder in der Software dupliziert werden. Sie können den privaten Schlüssel und das Zertifikat auf einem Hardwaremodul wie einem HSM oder einem Trusted Platform Module (TPM) speichern.

Die AWS IoT Greengrass Core-Software verwendet einen privaten Schlüssel und ein X.509-Zertifikat, um Verbindungen zu den AND-Diensten zu authentifizieren. AWS IoT AWS IoT Greengrass Die Secret Manager-Komponente verwendet diesen privaten Schlüssel, um die Secrets, die Sie auf einem Greengrass-Core-Gerät bereitstellen, sicher zu verschlüsseln und zu entschlüsseln. Wenn Sie ein Kerngerät für die Verwendung eines HSM konfigurieren, verwenden diese Komponenten den privaten Schlüssel und das Zertifikat, die Sie im HSM speichern.

Die Moquette MQTT-Broker-Komponente speichert auch einen privaten Schlüssel für ihr lokales MQTT-Serverzertifikat. Diese Komponente speichert den privaten Schlüssel im Dateisystem des Geräts im Arbeitsordner der Komponente. Unterstützt derzeit AWS IoT Greengrass nicht das Speichern dieses privaten Schlüssels oder Zertifikats in einem HSM.

Tipp

Suchen Sie im AWS Partner-Gerätekatalog nach Geräten, die diese Funktion unterstützen.

Voraussetzungen

Sie müssen die folgenden Anforderungen erfüllen, um ein HSM auf einem Greengrass-Core-Gerät verwenden zu können:

  • Greengrass Nucleus v2.5.3 oder höher ist auf dem Kerngerät installiert. Sie können eine kompatible Version wählen, wenn Sie die AWS IoT Greengrass Core-Software auf einem Core-Gerät installieren.

  • Die PKCS #11 -Anbieterkomponente ist auf dem Kerngerät installiert. Sie können diese Komponente herunterladen und installieren, wenn Sie die AWS IoT Greengrass Core-Software auf einem Core-Gerät installieren.

  • Ein Hardware-Sicherheitsmodul, das das Signaturschema PKCS #1 v1.5 und RSA-Schlüssel mit einer RSA-2048-Schlüsselgröße (oder größer) oder ECC-Schlüssel unterstützt.

    Anmerkung

    Um ein Hardware-Sicherheitsmodul mit ECC-Schlüsseln zu verwenden, müssen Sie Greengrass Nucleus v2.5.6 oder höher verwenden.

    Um ein Hardware-Sicherheitsmodul und einen Secret Manager zu verwenden, müssen Sie ein Hardware-Sicherheitsmodul mit RSA-Schlüsseln verwenden.

  • Eine PKCS #11 -Anbieterbibliothek, die die AWS IoT Greengrass Core-Software zur Laufzeit laden kann (mit libdl), um PKCS #11 -Funktionen aufzurufen. Die PKCS #11 -Anbieterbibliothek muss die folgenden PKCS #11 -API-Operationen implementieren:

    • C_Initialize

    • C_Finalize

    • C_GetSlotList

    • C_GetSlotInfo

    • C_GetTokenInfo

    • C_OpenSession

    • C_GetSessionInfo

    • C_CloseSession

    • C_Login

    • C_Logout

    • C_GetAttributeValue

    • C_FindObjectsInit

    • C_FindObjects

    • C_FindObjectsFinal

    • C_DecryptInit

    • C_Decrypt

    • C_DecryptUpdate

    • C_DecryptFinal

    • C_SignInit

    • C_Sign

    • C_SignUpdate

    • C_SignFinal

    • C_GetMechanismList

    • C_GetMechanismInfo

    • C_GetInfo

    • C_GetFunctionList

  • Das Hardwaremodul muss nach Slot-Label auflösbar sein, wie in der PKCS#11-Spezifikation definiert.

  • Sie müssen den privaten Schlüssel und das Zertifikat im HSM im selben Steckplatz speichern, und sie müssen dieselbe Objektbezeichnung und Objekt-ID verwenden, wenn das HSM Objekt unterstützt. IDs

  • Das Zertifikat und der private Schlüssel müssen durch Objektbezeichnungen aufgelöst werden können.

  • Der private Schlüssel muss über die folgenden Berechtigungen verfügen:

    • sign

    • decrypt

  • (Optional) Um die Secret Manager-Komponente verwenden zu können, müssen Sie Version 2.1.0 oder höher verwenden, und der private Schlüssel muss über die folgenden Berechtigungen verfügen:

    • unwrap

    • wrap

Bewährte Methoden zur Hardwaresicherheit

Beachten Sie bei der Konfiguration der Hardwaresicherheit auf Greengrass-Core-Geräten die folgenden bewährten Methoden.

  • Generieren Sie private Schlüssel direkt auf dem HSM mit Hilfe des internen Hardware-Zufallszahlengenerators. Dieser Ansatz ist sicherer als der Import eines privaten Schlüssels, den Sie an anderer Stelle generieren, da der private Schlüssel im HSM verbleibt.

  • Konfigurieren Sie private Schlüssel so, dass sie unveränderlich sind, und verbieten Sie den Export.

  • Verwenden Sie das vom HSM-Hardwareanbieter empfohlene Bereitstellungstool, um mithilfe des hardwaregeschützten privaten Schlüssels eine Certificate Signing Request (CSR) zu generieren, und verwenden Sie dann die Konsole oder API, um ein Client-Zertifikat zu generieren. AWS IoT

Anmerkung

Die bewährte Sicherheitsmethode, Schlüssel zu rotieren, gilt nicht, wenn Sie private Schlüssel auf einem HSM generieren.

Installieren Sie die AWS IoT Greengrass Core-Software mit Hardwaresicherheit

Wenn Sie die AWS IoT Greengrass Core-Software installieren, können Sie sie so konfigurieren, dass sie einen privaten Schlüssel verwendet, den Sie in einem HSM generieren. Dieser Ansatz folgt den bewährten Sicherheitsverfahren zur Generierung des privaten Schlüssels im HSM, sodass der private Schlüssel im HSM verbleibt.

Gehen Sie wie folgt vor, um die AWS IoT Greengrass Core-Software mit Hardwaresicherheit zu installieren:

  1. Generieren Sie einen privaten Schlüssel im HSM.

  2. Erstellen Sie aus dem privaten Schlüssel eine Zertifikatsignieranforderung (CSR).

  3. Erstellen Sie ein Zertifikat aus der CSR. Sie können ein Zertifikat erstellen, das von AWS IoT oder von einer anderen Stammzertifizierungsstelle (CA) signiert wurde. Weitere Informationen zur Verwendung einer anderen Stammzertifizierungsstelle finden Sie unter Erstellen eigener Client-Zertifikate im AWS IoT Core Entwicklerhandbuch.

  4. Laden Sie das AWS IoT Zertifikat herunter und importieren Sie es in das HSM.

  5. Installieren Sie die AWS IoT Greengrass Core-Software aus einer Konfigurationsdatei, die die Verwendung der PKCS #11 -Anbieterkomponente sowie des privaten Schlüssels und des Zertifikats im HSM spezifiziert.

Sie können eine der folgenden Installationsoptionen wählen, um die AWS IoT Greengrass Core-Software mit Hardwaresicherheit zu installieren:

Unterstützt derzeit AWS IoT Greengrass nicht die Installation der AWS IoT Greengrass Core-Software mit Hardwaresicherheit, wenn Sie die Installation mit automatischer Ressourcenbereitstellung oder AWS IoT Flottenbereitstellung durchführen.

Konfigurieren Sie die Hardwaresicherheit auf einem vorhandenen Core-Gerät

Sie können den privaten Schlüssel und das Zertifikat eines Core-Geräts in ein HSM importieren, um die Hardwaresicherheit zu konfigurieren.

Überlegungen

  • Sie benötigen Root-Zugriff auf das Dateisystem des Kerngeräts.

  • Bei diesem Verfahren fahren Sie die AWS IoT Greengrass Core-Software herunter, sodass das Kerngerät während der Konfiguration der Hardwaresicherheit offline und nicht verfügbar ist.

Gehen Sie wie folgt vor, um die Hardwaresicherheit auf einem vorhandenen Kerngerät zu konfigurieren:

  1. Initialisieren Sie das HSM.

  2. Stellen Sie die PKCS #11 -Anbieterkomponente auf dem Kerngerät bereit.

  3. Stoppen Sie die AWS IoT Greengrass Core-Software.

  4. Importieren Sie den privaten Schlüssel und das Zertifikat des Core-Geräts in das HSM.

  5. Aktualisieren Sie die Konfigurationsdatei der AWS IoT Greengrass Core-Software, um den privaten Schlüssel und das Zertifikat im HSM zu verwenden.

  6. Starten Sie die AWS IoT Greengrass Core-Software.

Schritt 1: Initialisieren Sie das Hardware-Sicherheitsmodul

Führen Sie den folgenden Schritt aus, um das HSM auf Ihrem Kerngerät zu initialisieren.

Um das Hardware-Sicherheitsmodul zu initialisieren

  • Initialisieren Sie ein PKCS #11 -Token im HSM und speichern Sie die Steckplatz-ID und die Benutzer-PIN für das Token. In der Dokumentation zu Ihrem HSM erfahren Sie, wie Sie ein Token initialisieren. Sie verwenden die Steckplatz-ID und die Benutzer-PIN später, wenn Sie die PKCS #11 -Anbieterkomponente bereitstellen und konfigurieren.

Schritt 2: Stellen Sie die PKCS #11 -Anbieterkomponente bereit

Gehen Sie wie folgt vor, um die PKCS #11 -Anbieterkomponente bereitzustellen und zu konfigurieren. Sie können die Komponente auf einem oder mehreren Kerngeräten bereitstellen.

  1. Wählen Sie im Navigationsmenü der AWS IoT Greengrass Konsole die Option Components aus.

  2. Wählen Sie auf der Seite Komponenten die Registerkarte Öffentliche Komponenten und wählen Sie dann aws.greengrass.crypto.Pkcs11Provider.

  3. Auf der aws.greengrass.crypto.Pkcs11ProviderWählen Sie auf der Seite Deploy aus.

  4. Wählen Sie unter Zur Bereitstellung hinzufügen eine vorhandene Bereitstellung aus, die Sie überarbeiten möchten, oder erstellen Sie eine neue Bereitstellung und klicken Sie dann auf Weiter.

  5. Wenn Sie eine neue Bereitstellung erstellen möchten, wählen Sie das Ziel-Core-Gerät oder die Dinggruppe für die Bereitstellung aus. Wählen Sie auf der Seite „Ziel angeben“ unter Bereitstellungsziel ein Kerngerät oder eine Dinggruppe aus, und klicken Sie dann auf Weiter.

  6. Wählen Sie auf der Seite Komponenten auswählen unter Öffentliche Komponenten die Option aws.greengrass.crypto.Pkcs11Provider, und wählen Sie dann Weiter.

  7. Wählen Sie auf der Seite Komponenten konfigurieren aws.greengrass.crypto.Pkcs11Provider, und gehen Sie dann wie folgt vor:

    1. Wählen Sie Komponente konfigurieren aus.

    2. In der Konfiguration aws.greengrass.crypto.Pkcs11ProviderModal, unter Konfigurationsupdate, unter Konfiguration zum Zusammenführen, geben Sie das folgende Konfigurationsupdate ein. Aktualisieren Sie die folgenden Konfigurationsparameter mit Werten für die Kernzielgeräte. Geben Sie die Steckplatz-ID und die Benutzer-PIN an, mit der Sie das PKCS #11 -Token zuvor initialisiert haben. Sie importieren den privaten Schlüssel und das Zertifikat später in diesen Steckplatz im HSM.

      name

      Ein Name für die PKCS #11 -Konfiguration.

      library

      Der absolute Dateipfad zur Bibliothek der PKCS #11 -Implementierung, die die AWS IoT Greengrass Core-Software mit libdl laden kann.

      slot

      Die ID des Steckplatzes, der den privaten Schlüssel und das Gerätezertifikat enthält. Dieser Wert unterscheidet sich vom Steckplatzindex oder der Steckplatzbezeichnung.

      userPin

      Die Benutzer-PIN, die für den Zugriff auf den Steckplatz verwendet werden soll.

      {
  "name": "softhsm_pkcs11",
  "library": "/usr/lib/softhsm/libsofthsm2.so",
  "slot": 1,
  "userPin": "1234"
}

    3. Wählen Sie Bestätigen, um das Modal zu schließen, und klicken Sie dann auf Weiter.

  8. Behalten Sie auf der Seite Erweiterte Einstellungen konfigurieren die Standardkonfigurationseinstellungen bei und wählen Sie Weiter.

  9. Wählen Sie auf der Seite Review (Prüfen) die Option Deploy (Bereitstellen) aus.

    Es kann bis zu einer Minute dauern, bis die Bereitstellung abgeschlossen ist.

So stellen Sie die PKCS #11 -Anbieterkomponente (Konsole) bereit

  1. Wählen Sie im Navigationsmenü der AWS IoT Greengrass Konsole die Option Components aus.

  2. Wählen Sie auf der Seite Komponenten die Registerkarte Öffentliche Komponenten und wählen Sie dann aws.greengrass.crypto.Pkcs11Provider.

  3. Auf der aws.greengrass.crypto.Pkcs11ProviderWählen Sie auf der Seite Deploy aus.

  4. Wählen Sie unter Zur Bereitstellung hinzufügen eine vorhandene Bereitstellung aus, die Sie überarbeiten möchten, oder erstellen Sie eine neue Bereitstellung und klicken Sie dann auf Weiter.

  5. Wenn Sie eine neue Bereitstellung erstellen möchten, wählen Sie das Ziel-Core-Gerät oder die Dinggruppe für die Bereitstellung aus. Wählen Sie auf der Seite „Ziel angeben“ unter Bereitstellungsziel ein Kerngerät oder eine Dinggruppe aus, und klicken Sie dann auf Weiter.

  6. Wählen Sie auf der Seite Komponenten auswählen unter Öffentliche Komponenten die Option aws.greengrass.crypto.Pkcs11Provider, und wählen Sie dann Weiter.

  7. Wählen Sie auf der Seite Komponenten konfigurieren aws.greengrass.crypto.Pkcs11Provider, und gehen Sie dann wie folgt vor:

    1. Wählen Sie Komponente konfigurieren aus.

    2. In der Konfiguration aws.greengrass.crypto.Pkcs11ProviderModal, unter Konfigurationsupdate, unter Konfiguration zum Zusammenführen, geben Sie das folgende Konfigurationsupdate ein. Aktualisieren Sie die folgenden Konfigurationsparameter mit Werten für die Kernzielgeräte. Geben Sie die Steckplatz-ID und die Benutzer-PIN an, mit der Sie das PKCS #11 -Token zuvor initialisiert haben. Sie importieren den privaten Schlüssel und das Zertifikat später in diesen Steckplatz im HSM.

      name

      Ein Name für die PKCS #11 -Konfiguration.

      library

      Der absolute Dateipfad zur Bibliothek der PKCS #11 -Implementierung, die die AWS IoT Greengrass Core-Software mit libdl laden kann.

      slot

      Die ID des Steckplatzes, der den privaten Schlüssel und das Gerätezertifikat enthält. Dieser Wert unterscheidet sich vom Steckplatzindex oder der Steckplatzbezeichnung.

      userPin

      Die Benutzer-PIN, die für den Zugriff auf den Steckplatz verwendet werden soll.

      {
  "name": "softhsm_pkcs11",
  "library": "/usr/lib/softhsm/libsofthsm2.so",
  "slot": 1,
  "userPin": "1234"
}

    3. Wählen Sie Bestätigen, um das Modal zu schließen, und klicken Sie dann auf Weiter.

  8. Behalten Sie auf der Seite Erweiterte Einstellungen konfigurieren die Standardkonfigurationseinstellungen bei und wählen Sie Weiter.

  9. Wählen Sie auf der Seite Review (Prüfen) die Option Deploy (Bereitstellen) aus.

    Es kann bis zu einer Minute dauern, bis die Bereitstellung abgeschlossen ist.

Um die PKCS #11 -Anbieterkomponente bereitzustellen, erstellen Sie ein Bereitstellungsdokument, das das components Objekt enthältaws.greengrass.crypto.Pkcs11Provider, und geben Sie das Konfigurationsupdate für die Komponente an. Folgen Sie den Anweisungen unterErstellen von Bereitstellungen, um ein neues Deployment zu erstellen oder ein bestehendes Deployment zu überarbeiten.

Im folgenden Beispieldokument zur teilweisen Bereitstellung wird angegeben, dass die PKCS #11 -Anbieterkomponente bereitgestellt und konfiguriert werden soll. Aktualisieren Sie die folgenden Konfigurationsparameter mit Werten für die Core-Zielgeräte. Speichern Sie die Steckplatz-ID und die Benutzer-PIN, um sie später zu verwenden, wenn Sie den privaten Schlüssel und das Zertifikat in das HSM importieren.

name

Ein Name für die PKCS #11 -Konfiguration.

library

Der absolute Dateipfad zur Bibliothek der PKCS #11 -Implementierung, die die AWS IoT Greengrass Core-Software mit libdl laden kann.

slot

Die ID des Steckplatzes, der den privaten Schlüssel und das Gerätezertifikat enthält. Dieser Wert unterscheidet sich vom Steckplatzindex oder der Steckplatzbezeichnung.

userPin

Die Benutzer-PIN, die für den Zugriff auf den Steckplatz verwendet werden soll.

{
  "name": "softhsm_pkcs11",
  "library": "/usr/lib/softhsm/libsofthsm2.so",
  "slot": 1,
  "userPin": "1234"
}
{
  ...,
  "components": {
    ...,
    "aws.greengrass.crypto.Pkcs11Provider": {
      "componentVersion": "2.0.0",
      "configurationUpdate": {
        "merge": "{\"name\":\"softhsm_pkcs11\",\"library\":\"/usr/lib/softhsm/libsofthsm2.so\",\"slot\":1,\"userPin\":\"1234\"}"
      }
    }
  }
}

Um die PKCS #11 -Anbieterkomponente bereitzustellen, erstellen Sie ein Bereitstellungsdokument, das das components Objekt enthältaws.greengrass.crypto.Pkcs11Provider, und geben Sie das Konfigurationsupdate für die Komponente an. Folgen Sie den Anweisungen unterErstellen von Bereitstellungen, um ein neues Deployment zu erstellen oder ein bestehendes Deployment zu überarbeiten.

Im folgenden Beispieldokument zur teilweisen Bereitstellung wird angegeben, dass die PKCS #11 -Anbieterkomponente bereitgestellt und konfiguriert werden soll. Aktualisieren Sie die folgenden Konfigurationsparameter mit Werten für die Core-Zielgeräte. Speichern Sie die Steckplatz-ID und die Benutzer-PIN, um sie später zu verwenden, wenn Sie den privaten Schlüssel und das Zertifikat in das HSM importieren.

name

Ein Name für die PKCS #11 -Konfiguration.

library

Der absolute Dateipfad zur Bibliothek der PKCS #11 -Implementierung, die die AWS IoT Greengrass Core-Software mit libdl laden kann.

slot

Die ID des Steckplatzes, der den privaten Schlüssel und das Gerätezertifikat enthält. Dieser Wert unterscheidet sich vom Steckplatzindex oder der Steckplatzbezeichnung.

userPin

Die Benutzer-PIN, die für den Zugriff auf den Steckplatz verwendet werden soll.

{
  "name": "softhsm_pkcs11",
  "library": "/usr/lib/softhsm/libsofthsm2.so",
  "slot": 1,
  "userPin": "1234"
}
{
  ...,
  "components": {
    ...,
    "aws.greengrass.crypto.Pkcs11Provider": {
      "componentVersion": "2.0.0",
      "configurationUpdate": {
        "merge": "{\"name\":\"softhsm_pkcs11\",\"library\":\"/usr/lib/softhsm/libsofthsm2.so\",\"slot\":1,\"userPin\":\"1234\"}"
      }
    }
  }
}

Es kann einige Minuten dauern, bis die Bereitstellung abgeschlossen ist. Sie können den AWS IoT Greengrass Dienst verwenden, um den Status der Bereitstellung zu überprüfen. Sie können anhand der AWS IoT Greengrass Core-Softwareprotokolle überprüfen, ob die PKCS #11 -Anbieterkomponente erfolgreich bereitgestellt wurde. Weitere Informationen finden Sie hier:

Wenn die Bereitstellung fehlschlägt, können Sie Fehler bei der Bereitstellung auf jedem Kerngerät beheben. Weitere Informationen finden Sie unter Problembehebung AWS IoT Greengrass V2.

Schritt 3: Aktualisieren Sie die Konfiguration auf dem Kerngerät

Die AWS IoT Greengrass Core-Software verwendet eine Konfigurationsdatei, die festlegt, wie das Gerät funktioniert. Diese Konfigurationsdatei enthält den Speicherort des privaten Schlüssels und des Zertifikats, mit denen das Gerät eine Verbindung herstellt AWS Cloud. Gehen Sie wie folgt vor, um den privaten Schlüssel und das Zertifikat des Kerngeräts in das HSM zu importieren und die Konfigurationsdatei für die Verwendung des HSM zu aktualisieren.

Um die Konfiguration auf dem Kerngerät zu aktualisieren, um Hardware-Sicherheit zu verwenden

  1. Stoppen Sie die AWS IoT Greengrass Core-Software. Wenn Sie die AWS IoT Greengrass Core-Software als Systemdienst mit systemd konfiguriert haben, können Sie den folgenden Befehl ausführen, um die Software zu beenden.

    sudo systemctl stop greengrass.service

  2. Suchen Sie den privaten Schlüssel und die Zertifikatsdateien des Kerngeräts.

    • Wenn Sie die AWS IoT Greengrass Core-Software mit automatischer Bereitstellung oder Flottenbereitstellung installiert haben, befindet sich der private Schlüssel unter /greengrass/v2/privKey.key und das Zertifikat unter. /greengrass/v2/thingCert.crt

    • Wenn Sie die AWS IoT Greengrass Core-Software mit manueller Bereitstellung installiert haben, ist der private Schlüssel /greengrass/v2/private.pem.key standardmäßig und das Zertifikat standardmäßig vorhanden. /greengrass/v2/device.pem.crt

    Sie können auch die system.certificateFilePath Eigenschaften system.privateKeyPath und überprüfen/greengrass/v2/config/effectiveConfig.yaml, um den Speicherort dieser Dateien zu ermitteln.

  3. Importieren Sie den privaten Schlüssel und das Zertifikat in das HSM. In der Dokumentation zu Ihrem HSM erfahren Sie, wie Sie private Schlüssel und Zertifikate in das HSM importieren. Importieren Sie den privaten Schlüssel und das Zertifikat mit der Steckplatz-ID und der Benutzer-PIN, mit der Sie das PKCS #11 -Token zuvor initialisiert haben. Sie müssen dieselbe Objektbezeichnung und Objekt-ID für den privaten Schlüssel und das Zertifikat verwenden. Speichern Sie die Objektbezeichnung, die Sie beim Import der einzelnen Dateien angeben. Sie verwenden dieses Label später, wenn Sie die AWS IoT Greengrass Core-Softwarekonfiguration aktualisieren, um den privaten Schlüssel und das Zertifikat im HSM zu verwenden.

  4. Aktualisieren Sie die AWS IoT Greengrass Core-Konfiguration, um den privaten Schlüssel und das Zertifikat im HSM zu verwenden. Um die Konfiguration zu aktualisieren, ändern Sie die AWS IoT Greengrass Core-Konfigurationsdatei und führen die AWS IoT Greengrass Core-Software mit der aktualisierten Konfigurationsdatei aus, um die neue Konfiguration anzuwenden.

    Gehen Sie wie folgt vor:

    1. Erstellen Sie eine Sicherungskopie der AWS IoT Greengrass Core-Konfigurationsdatei. Sie können dieses Backup verwenden, um das Kerngerät wiederherzustellen, falls Sie bei der Konfiguration der Hardwaresicherheit auf Probleme stoßen.

      sudo cp /greengrass/v2/config/effectiveConfig.yaml ~/ggc-config-backup.yaml

    2. Öffnen Sie die AWS IoT Greengrass Core-Konfigurationsdatei in einem Texteditor. Sie können beispielsweise den folgenden Befehl ausführen, um die Datei mit GNU Nano zu bearbeiten. /greengrass/v2Ersetzen Sie durch den Pfad zum Greengrass-Stammordner.

      sudo nano /greengrass/v2/config/effectiveConfig.yaml

    3. Ersetzen Sie den Wert von system.privateKeyPath durch den PKCS #11 -URI für den privaten Schlüssel im HSM. iotdevicekeyErsetzen Sie ihn durch die Objektbezeichnung, in die Sie zuvor den privaten Schlüssel und das Zertifikat importiert haben.

      pkcs11:object=iotdevicekey;type=private

    4. Ersetzen Sie den Wert von system.certificateFilePath durch den PKCS #11 -URI für das Zertifikat im HSM. iotdevicekeyErsetzen Sie ihn durch die Objektbezeichnung, in die Sie zuvor den privaten Schlüssel und das Zertifikat importiert haben.

      pkcs11:object=iotdevicekey;type=cert

    Nachdem Sie diese Schritte abgeschlossen haben, sollte die system Eigenschaft in der AWS IoT Greengrass Core-Konfigurationsdatei dem folgenden Beispiel ähneln.

    system:
  certificateFilePath: "pkcs11:object=iotdevicekey;type=cert"
  privateKeyPath: "pkcs11:object=iotdevicekey;type=private"
  rootCaPath: "/greengrass/v2/rootCA.pem"
  rootpath: "/greengrass/v2"
  thingName: "MyGreengrassCore"

  5. Wenden Sie die Konfiguration in der aktualisierten effectiveConfig.yaml Datei an. Führen Sie den Greengrass.jar Befehl mit dem --init-config Parameter aus, in dem die Konfiguration angewendet werden solleffectiveConfig.yaml. /greengrass/v2Ersetzen Sie durch den Pfad zum Greengrass-Stammordner.

    sudo java -Droot="/greengrass/v2" \
  -jar /greengrass/v2/alts/current/distro/lib/Greengrass.jar \
  --start false \
  --init-config /greengrass/v2/config/effectiveConfig.yaml

  6. Starten Sie die AWS IoT Greengrass Core-Software. Wenn Sie die AWS IoT Greengrass Core-Software als Systemdienst mit systemd konfiguriert haben, können Sie den folgenden Befehl ausführen, um die Software zu starten.

    sudo systemctl start greengrass.service

    Weitere Informationen finden Sie unter Führen Sie die AWS IoT Greengrass Core-Software aus.

  7. Überprüfen Sie die AWS IoT Greengrass Core-Softwareprotokolle, um sicherzustellen, dass die Software gestartet wird und eine Verbindung zum AWS Cloud herstellt. Die AWS IoT Greengrass Core-Software verwendet den privaten Schlüssel und das Zertifikat, um eine Verbindung zu den AWS IoT und AWS IoT Greengrass -Diensten herzustellen.

    sudo tail -f /greengrass/v2/logs/greengrass.log

    Die folgenden Protokollmeldungen auf Infoebene weisen darauf hin, dass die AWS IoT Greengrass Core-Software erfolgreich eine Verbindung zu den AWS IoT AND-Diensten herstellt. AWS IoT Greengrass 

    2021-12-06T22:47:53.702Z [INFO] (Thread-3) com.aws.greengrass.mqttclient.AwsIotMqttClient: Successfully connected to AWS IoT Core. {clientId=MyGreengrassCore5, sessionPresent=false}

  8. (Optional) Nachdem Sie überprüft haben, ob die AWS IoT Greengrass Core-Software mit dem privaten Schlüssel und dem Zertifikat im HSM funktioniert, löschen Sie den privaten Schlüssel und die Zertifikatsdateien aus dem Dateisystem des Geräts. Führen Sie den folgenden Befehl aus und ersetzen Sie die Dateipfade durch die Pfade zu den privaten Schlüssel- und Zertifikatsdateien.

    sudo rm /greengrass/v2/privKey.key
sudo rm /greengrass/v2/thingCert.crt

Verwenden Sie Hardware ohne PKCS #11 -Unterstützung

Die PKCS#11-Bibliothek wird typischerweise vom Hardwarehersteller bereitgestellt oder ist Open Source. Bei standardkonformer Hardware (wie TPM1 .2) könnte es beispielsweise möglich sein, vorhandene Open-Source-Software zu verwenden. Wenn Ihre Hardware jedoch nicht über eine entsprechende PKCS #11 -Bibliotheksimplementierung verfügt oder wenn Sie einen benutzerdefinierten PKCS #11 -Anbieter schreiben möchten, wenden Sie sich mit Fragen zur Integration an Ihren Amazon Web Services Enterprise Support-Mitarbeiter.

Weitere Informationen finden Sie auch unter

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.