Registrieren Sie ein Client-Zertifikat, wenn der Client eine Verbindung zur AWS IoT just-in-time Registrierung herstellt (JITR) - AWS IoT Core
Konfigurieren eines CA-Zertifikats zur Unterstützung der automatischen Registrierung (Konsole)Konfigurieren eines CA-Zertifikats zur Unterstützung der automatischen Registrierung (CLI)Konfigurieren der ersten Verbindung durch einen Client für die automatische Registrierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Registrieren Sie ein Client-Zertifikat, wenn der Client eine Verbindung zur AWS IoT just-in-time Registrierung herstellt (JITR)

Sie können ein CA-Zertifikat so konfigurieren, dass Client-Zertifikate, mit denen es signiert wurde, AWS IoT automatisch registriert werden, wenn der Client zum AWS IoT ersten Mal eine Verbindung herstellt.

Um Client-Zertifikate zu registrieren, wenn ein Client AWS IoT zum ersten Mal eine Verbindung herstellt, müssen Sie das CA-Zertifikat für die automatische Registrierung aktivieren und die erste Verbindung des Clients so konfigurieren, dass die erforderlichen Zertifikate bereitgestellt werden.

Konfigurieren eines CA-Zertifikats zur Unterstützung der automatischen Registrierung (Konsole)

Um ein CA-Zertifikat zur Unterstützung der automatischen Registrierung von Client-Zertifikaten mithilfe der AWS IoT Konsole zu konfigurieren

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS IoT Konsole.

  2. Wählen Sie im linken Navigationsbereich Sichern und dann CAs.

  3. Suchen Sie in der Liste der Zertifizierungsstellen diejenige, für die Sie die automatische Registrierung aktivieren möchten, und öffnen Sie das Optionsmenü über das Ellipsensymbol.

  4. Wählen Sie im Optionsmenü Automatische Registrierung aktivieren.

Anmerkung

Der Status der automatischen Registrierung wird in der Liste der Zertifizierungsstellen nicht angezeigt. Um den Status der automatischen Registrierung einer Zertifizierungsstelle anzuzeigen, müssen Sie die Seite Details der Zertifizierungsstelle öffnen.

Konfigurieren eines CA-Zertifikats zur Unterstützung der automatischen Registrierung (CLI)

Wenn Sie Ihr CA-Zertifikat bereits registriert haben AWS IoT, verwenden Sie den update-ca-certificateBefehl, um das CA-Zertifikat auf festzulegen autoRegistrationStatusENABLE.

aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE

Wenn Sie autoRegistrationStatus bei der Registrierung des CA-Zertifikats aktivieren möchten, verwenden Sie den Befehl register-ca-certificate.

aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem

Verwenden Sie den Befehl describe-ca-certificate, um den Status des CA-Zertifikats anzuzeigen.

Konfigurieren der ersten Verbindung durch einen Client für die automatische Registrierung

Wenn ein Client zum ersten Mal versucht, eine Verbindung herzustellen, muss das mit Ihrem CA-Zertifikat signierte Client-Zertifikat während des Transport Layer Security (TLS) -Handshakes auf dem Client vorhanden sein. AWS IoT

Wenn der Client eine Verbindung herstellt AWS IoT, verwenden Sie das Client-Zertifikat, das Sie unter AWS IoT Client-Zertifikate erstellen oder Eigene Client-Zertifikate erstellen erstellt haben. AWS IoT erkennt das CA-Zertifikat als registriertes CA-Zertifikat, registriert das Client-Zertifikat und setzt seinen Status aufPENDING_ACTIVATION. Das bedeutet, dass das Clientzertifikat automatisch registriert wurde und auf die Aktivierung wartet. Das Clientzertifikat muss den Status ACTIVE aufweisen, damit es zur Verbindung mit AWS IoT verwendet werden kann. Informationen zur Aktivierung eines Clientzertifikats finden Sie unter Aktivieren oder Deaktivieren eines Clientzertifikats.

Anmerkung

Sie können Geräte mithilfe der AWS IoT Core Just-in-Time-Registrierung (JITR) bereitstellen, ohne die gesamte Vertrauenskette bei der ersten Verbindung der Geräte an senden zu müssen. AWS IoT Core Die Vorlage des CA-Zertifikats ist optional, aber das Gerät muss die Server Name Indication (SNI) senden, wenn es eine Verbindung herstellt.

Wenn ein Zertifikat AWS IoT automatisch registriert wird oder wenn ein Client ein Zertifikat mit dem PENDING_ACTIVATION Status vorlegt, wird eine Nachricht zum folgenden AWS IoT MQTT-Thema veröffentlicht:

$aws/events/certificates/registered/caCertificateId

Dabei ist caCertificateId die ID des CA-Zertifikats, das das Gerätezertifikat ausgestellt hat.

Die im Topic veröffentlichte Nachricht weist die folgende Struktur auf:

{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}

Sie können eine Regel zum Beobachten dieses Topics und Ausführen bestimmter Aktionen erstellen. Wir empfehlen, eine Lambda-Regel zu erstellen, mit der sichergestellt wird, dass sich das Clientzertifikat nicht auf einer Zertifikataufhebungsliste (Certificate Revocation List, CRL) befindet, und mit der das Zertifikat aktiviert und eine Richtlinie erstellt und an das Zertifikat angefügt wird. Die Richtlinie bestimmt, auf welche Ressourcen der Client zugreifen kann. Weitere Informationen zum Erstellen einer Lambda-Regel, die das $aws/events/certificates/registered/caCertificateID Thema überwacht und diese Aktionen ausführt, finden Sie unter just-in-time Registrierung von Client-Zertifikaten am. AWS IoT

Wenn bei der automatischen Registrierung der Client-Zertifikate ein Fehler oder eine Ausnahme auftritt, AWS IoT sendet es Ereignisse oder Meldungen an Ihre Logs in CloudWatch Logs. Weitere Informationen zur Einrichtung der Logs für Ihr Konto finden Sie in der CloudWatch Amazon-Dokumentation.