X.509-Clientzertifikate - AWS IoT Core
Verwenden von X.509-ClientzertifikatenVerwendung von X.509-Client-Zertifikaten in mehrerenAWS-Kontos mit Registrierung mehrerer KontenVon AWS IoT unterstützte Zertifikatsignierungsalgorithmen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

X.509-Clientzertifikate

X.509-Zertifikate ermöglichen AWS IoT die Authentifizierung von Client- und Geräteverbindungen. Clientzertifikate müssen bei AWS IoT registriert werden, bevor ein Client mit AWS IoT kommunizieren kann. Ein Client-Zertifikat kann in mehreren registriert werdenAWS-Kontoist im selbenAWS-Regionum das Verschieben von Geräten zwischen IhrenAWS-Kontos in derselben Region. Weitere Informationen finden Sie unter Verwendung von X.509-Client-Zertifikaten in mehrerenAWS-Kontos mit Registrierung mehrerer Konten.

Wir empfehlen, jedem Gerät oder Client ein eindeutiges Zertifikat zuzuordnen, damit feingranulare Client-Verwaltungsaktionen einschließlich Zertifikatswiderruf möglich sind. Geräte und Clients müssen darüber hinaus das Rotieren und Ersetzen von Zertifikaten unterstützen, um eine reibungslose Ausführung sicherzustellen, wenn Zertifikate ablaufen.

Informationen zur Verwendung von X.509-Zertifikaten zur Unterstützung mehrerer Geräte finden Sie unter Gerätebereitstellung. Dort sind die verschiedenen Optionen für die Zertifikatsverwaltung und -bereitstellung aufgeführt, die von AWS IoT unterstützt werden.

AWS IoT unterstützt die folgenden Typen von X.509-Clientzertifikaten:

  • Von AWS IoT generierte X.509-Zertifikate

  • Von einer bei AWS IoT registrierten Zertifizierungsstelle signierte X.509-Zertifikate

  • Von einer nicht bei AWS IoT registrierten Zertifizierungsstelle signierte X.509-Zertifikate

In diesem Abschnitt wird beschrieben, wie Sie X.509-Zertifikate in AWS IoT verwalten. Sie können mithilfe der AWS IoT-Konsole oder der AWS CLI die folgenden Zertifikatsoperationen ausführen:

Weitere Informationen zu den AWS CLI-Befehlen für diese Operationen finden Sie in der AWS IoT-CLI-Referenz.

Verwenden von X.509-Clientzertifikaten

X.509-Zertifikate authentifizieren Client- und Geräteverbindungen mit AWS IoT. X.509-Zertifikate bieten mehrere Vorteile gegenüber anderen Identifikations- und Authentifizierungsmechanismen. X.509-Zertifikate ermöglichen die Verwendung asymmetrischer Schlüssel mit Geräten. Beispielsweise könnten Sie private Schlüssel nutzen und sicher auf einem Gerät aufbewahren, sodass vertrauliches kryptografisches Material das Gerät niemals verlässt. X.509-Zertifikate bieten eine stärkere Client-Authentifizierung als andere Systeme, wie z. B. Benutzername und Passwort oder Bearer-Token, da der private Schlüssel das Gerät nie verlässt.

AWS IoT authentifiziert Clientzertifikate unter Verwendung des Client-Authentifizierungsmodus des TLS-Protokolls. TLS-Unterstützung ist in vielen Programmiersprachen und Betriebssystemen verfügbar und stellt die gängige Verschlüsselungsmethode für Daten dar. Bei der TLS-Client-AuthentifizierungAWS IoTfordert ein X.509-Client-Zertifikat an und validiert den Status des Zertifikats undAWS-Kontogegen eine Registrierung von Zertifikaten. Anschließend wird der Client aufgefordert, die Eigentümerschaft über den privaten Schlüssel nachzuweisen, der dem im Zertifikat enthaltenen öffentlichen Schlüssel entspricht. AWS IoT verlangt, dass Clients die SNI-Erweiterung (Server Name Indication) an das TLS-Protokoll (Transport Layer Security) senden. Weitere Informationen zum Konfigurieren der SNI-Erweiterung finden Sie unter Transportsicherheit in AWS IoT Core.

Um eine sichere und konsistente Client-Verbindung zu ermöglichenAWS IoTCore, ein X.509-Client-Zertifikat muss über Folgendes verfügen:

Sie können Client-Zertifikate erstellen, die die Amazon Root-CA verwenden, und Sie können Ihre eigenen Client-Zertifikate verwenden, die von einer anderen Zertifizierungsstelle (CA) signiert wurden. Weitere Informationen zur Verwendung der AWS IoT-Konsole zum Erstellen von Zertifikaten, die die Amazon Root CA verwenden, finden Sie unter Erstellen eines AWS IoT-Clientzertifikats. Weitere Informationen zur Verwendung eigener X.509-Zertifikate finden Sie unter Erstellen eigener Clientzertifikate.

Der Ablaufzeitpunkt für mit einem CA-Zertifikat signierte Zertifikate wird bei der Erstellung des entsprechenden Zertifikats festgelegt. Von AWS IoT generierte X.509-Zertifikate laufen am 31. Dezember 2049 um Mitternacht UTC (2049-12-31T23:59:59Z) ab.

AWS IoT Device Defenderkann Audits an Ihrem durchführenAWS-Kontound Geräte, die die gängigen bewährten Methoden in der IoT-Sicherheit unterstützen. Dazu gehört die Verwaltung der Ablaufdaten von X.509-Zertifikaten, die von Ihrer CA oder der Amazon Root CA signiert wurden. Weitere Informationen zur Verwaltung des Ablaufdatums eines Zertifikats finden Sie unterGerätezertifikat läuft abundCA-Zertifikat läuft ab.

Auf dem offiziellenAWS IoTEinen tieferen Einblick in die Verwaltung der Rotation von Gerätezertifikaten und bewährte Sicherheitsverfahren finden Sie inSo verwalten Sie die Rotation von IoT-Gerätezertifikaten mitAWS IoT.

Verwendung von X.509-Client-Zertifikaten in mehrerenAWS-Kontos mit Registrierung mehrerer Konten

Die Registrierung mehrerer Konten ermöglicht es, Geräte zwischen Ihren Konten zu verschiebenAWS-Kontos on on the same on on on on on on on on on on on different regions. Sie können ein Gerät in einem Vorproduktionskonto registrieren, testen und konfigurieren und anschließend dasselbe Gerät und dasselbe Gerätezertifikat in einem Produktionskonto registrieren und verwenden. Sie können auch das Client-Zertifikat auf dem Gerät oder die Gerätezertifikate ohne Zertifizierungsstelle registrieren, die bei registriert istAWS IoT. Weitere Informationen finden Sie unterRegistrieren Sie ein Client-Zertifikat, das von einer nicht registrierten CA (CLI) signiert wurde.

Anmerkung

Zertifikate, die für die Registrierung mehrerer Konten verwendet werden, werden auf dem unterstütztiot:Data-ATS,iot:Data(Vermächtnis),iot:Jobs, undiot:CredentialProviderEndpunkttypen. Weitere Informationen zur finden Sie unterAWS IoTGeräteendpunkte finden Sie unterAWS IoTGerätedaten und Serviceendpunkte.

Geräte, die die Registrierung mit mehreren Konten verwenden, müssen dieServer Name Indication (SNI)zum Transport Layer Security (TLS) -Protokoll und geben Sie die vollständige Endpunktadresse inhost_nameFeld, wenn sie eine Verbindung herstellenAWS IoT.AWS IoTverwendet die Endpunktadresse inhost_nameum die Verbindung zur richtigen weiterzuleitenAWS IoTKonto. Vorhandene Geräte, die keine gültige Endpunktadresse in host_name senden, funktionieren weiterhin, können aber die Funktionen nicht nutzen, für die diese Informationen benötigt werden. Weitere Informationen zur SNI-Erweiterung und zum Identifizieren der Endpunktadresse für das Feld host_name finden Sie unter Transportsicherheit in AWS IoT Core.

So verwenden Sie die Registrierung für mehrere Konten

  1. Sie können die Gerätezertifikate bei einer CA registrieren. Sie können die signierende Zertifizierungsstelle in mehreren Konten registrierenSNI_ONLYModus und verwenden Sie diese CA, um dasselbe Client-Zertifikat für mehrere Konten zu registrieren. Weitere Informationen finden Sie unter Registrieren Sie ein CA-Zertifikat im SNI_ONLY-Modus (CLI) — Empfohlen.

  2. Sie können die Gerätezertifikate ohne CA registrieren. Siehe Registrieren Sie ein Client-Zertifikat, das von einer nicht registrierten CA (CLI) signiert wurde. Die Registrierung einer CA ist optional. Sie müssen die Zertifizierungsstelle, mit der die Gerätezertifikate signiert wurden, nicht registrierenAWS IoT.

Von AWS IoT unterstützte Zertifikatsignierungsalgorithmen

AWS IoT unterstützt die folgenden Algorithmen für die Zertifikatsignierung:

  • SHA256WITHRSA

  • SHA384WITHRSA

  • SHA512WITHRSA

  • SHA256 MIT RSA UND MGF1 (RSASSA-PSS)

  • SHA384 MIT RSA UND MGF1 (RSASSA-PSS)

  • SHA512 MIT RSA UND MGF1 (RSASSA-PSS)

  • DSA_WITH_SHA256

  • ECDSA-WITH-SHA256

  • ECDSA-WITH-SHA384

  • ECDSA-WITH-SHA512

Weitere Informationen zur Authentifizierung und Sicherheit von Zertifikaten finden Sie unterSchlüsselqualität des Gerätezertifikats.

Anmerkung

Die Zertifikatssignieranforderung (CSR) muss einen öffentlichen Schlüssel enthalten. Der Schlüssel kann entweder ein RSA-Schlüssel mit einer Länge von mindestens 2.048 Bit oder ein ECC-Schlüssel aus NIST P-256-, NIST P-384- oder NIST P-521-Kurven sein. Weitere Informationen finden Sie unter CreateCertificateFromCsr in der AWS IoT-API-Referenz.