Create AWS IoT Client-Zertifikate

AWS IoT stellt Client-Zertifikate bereit, die von der Amazon Root Certificate Authority (CA) signiert wurden.

In diesem Thema wird beschrieben, wie Sie ein von der Amazon Root-Zertifizierungsstelle signiertes Clientzertifikat erstellen und die Zertifikatsdateien herunterladen. Nachdem Sie die Clientzertifikatdateien erstellt haben, müssen Sie sie auf dem Client installieren.

Anmerkung

Jedes von bereitgestellte X.509 Client-Zertifikat AWS IoT enthält die Attribute des Ausstellers und des Antragstellers, die Sie bei der Erstellung des Zertifikats festgelegt haben. Die Zertifikatsattribute können erst ab der Erstellung des Zertifikats nicht mehr modifiziert werden.

Sie können die AWS IoT Konsole oder die verwenden AWS CLI , um ein von der Amazon Root-Zertifizierungsstelle signiertes AWS IoT Zertifikat zu erstellen.

Erstellen Sie ein AWS IoT Zertifikat (Konsole)

Um ein zu erstellen AWS IoT Zertifikat mit dem AWS IoT Konsole

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS IoT Konsole.

2. Wählen Sie im Navigationsbereich Sichern, Zertifikate und anschließend Erstellen.

3. Wählen Sie One-click Zertifikatserstellung (empfohlen) — Zertifikat erstellen.

4. Laden Sie die Clientzertifikatdateien für das Objekt, den öffentlichen Schlüssel und den privaten Schlüssel auf der Seite Zertifikat erstellt! an einen sicheren Speicherort herunter. Diese von generierten Zertifikate AWS IoT sind nur für die Verwendung mit AWS IoT Diensten verfügbar.

   Wenn Sie auch die Amazon-Root-CA-Zertifikatdatei benötigen, finden Sie auf dieser Seite auch den Link zu der Seite, auf der Sie sie herunterladen können.

5. Es wurde nun ein Clientzertifikat erstellt und bei AWS IoT registriert. Sie müssen das Zertifikat aktivieren, bevor Sie es in einem Client verwenden.

   Wählen Sie Aktivieren, um das Clientzertifikat jetzt zu aktivieren. Wenn Sie das Zertifikat jetzt nicht aktivieren möchten, können Sie unter Aktivieren eines Clientzertifikats (Konsole) erfahren, wie Sie das Zertifikat zu einem späteren Zeitpunkt aktivieren können.

6. Wenn Sie eine Richtlinie an das Zertifikat anfügen möchten, wählen Sie Anfügen einer Richtlinie.

   Wenn Sie jetzt keine Richtlinie anfügen möchten, wählen Sie Fertig , um den Vorgang abzuschließen. Sie können zu einem späteren Zeitpunkt eine Richtlinie anfügen.

Wenn Sie den Vorgang abgeschlossen haben, installieren Sie die Zertifikatdateien auf dem Client.

Erstellen Sie ein AWS IoT Zertifikat (CLI)

Das AWS CLI bietet den create-keys-and-certificate Befehl zum Erstellen von Client-Zertifikaten, die von der Amazon Root-Zertifizierungsstelle signiert wurden. Mit diesem Befehl wird die Amazon Root-CA-Zertifikatdatei jedoch nicht heruntergeladen. Sie können die Amazon Root-CA-Zertifikatdatei von CA-Zertifikate für die Serverauthentifizierung herunterladen.

Dieser Befehl erstellt private Schlüssel-, öffentliche Schlüssel- und X.509 Zertifikatsdateien und registriert und aktiviert das Zertifikat mit AWS IoT.

aws iot create-keys-and-certificate \
    --set-as-active \
    --certificate-pem-outfile certificate_filename.pem \
    --public-key-outfile public_filename.key \
    --private-key-outfile private_filename.key
                            

Wenn Sie das Zertifikat bei der Erstellung und Registrierung nicht aktivieren möchten, erstellt dieser Befehl Dateien mit privatem Schlüssel, öffentlichem Schlüssel und X.509 Zertifikat und registriert das Zertifikat, aktiviert es jedoch nicht. Aktivieren eines Clientzertifikats (CLI)beschreibt, wie das Zertifikat später aktiviert wird.

aws iot create-keys-and-certificate \
    --no-set-as-active \
    --certificate-pem-outfile certificate_filename.pem \
    --public-key-outfile public_filename.key \
    --private-key-outfile private_filename.key
                            

Installieren Sie die Zertifikatdateien auf dem Client.