Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conexión de dispositivos cliente a un dispositivoAWS IoT Greengrass Core con un broker de MQTT
Cuando utilizas un intermediario de MQTT en tu dispositivoAWS IoT Greengrass Core, el dispositivo utiliza una autoridad certificadora (CA) del dispositivo principal exclusiva del dispositivo para emitir un certificado al intermediario para establecer conexiones TLS mutuas con los clientes.
AWS IoT Greengrassgenerará automáticamente una CA de dispositivo principal, o puede utilizar sus propias CA propias CA. La CA del dispositivo principal se registraAWS IoT Greengrass cuando se conecta elAutenticación del dispositivo cliente componente. La CA del dispositivo principal generada automáticamente es persistente; el dispositivo seguirá utilizando la misma CA mientras esté configurado el componente de autenticación del dispositivo cliente.
Cuando se inicia el bróker MQTT, solicita un certificado. El componente de autenticación del dispositivo cliente emite un certificado X.509 mediante la CA del dispositivo principal. El certificado se rota cuando se inicia el corredor, cuando caduca o cuando cambia la información de conectividad, como la dirección IP. Para obtener más información, consulte Rotación de certificados en el broker MQTT local.
Para conectar un cliente al bróker MQTT, necesita lo siguiente:
-
El dispositivo cliente debe tener la CA del dispositivoAWS IoT Greengrass principal. Puede obtener esta CA mediante la detección en la nube o proporcionándola manualmente. Para obtener más información, consulte Uso de su propia autoridad de certificación.
-
El nombre de dominio completo (FQDN) o la dirección IP del dispositivo principal deben estar presentes en el certificado de intermediario emitido por la CA del dispositivo principal. Asegúrese de ello mediante elDetector de IP componente o configurando manualmente la dirección IP. Para obtener más información, consulte Administre los puntos finales de los dispositivos principales.
-
El componente de autenticación del dispositivo cliente debe conceder permiso al dispositivo cliente para conectarse al dispositivo principal de Greengrass. Para obtener más información, consulte Autenticación del dispositivo cliente.
Uso de su propia autoridad de certificación
Si sus dispositivos cliente no pueden acceder a la nube para descubrir su dispositivo principal, puede proporcionar una autoridad certificadora (CA) del dispositivo principal. Su dispositivo principal de Greengrass utiliza la CA del dispositivo principal para emitir certificados para su agente de MQTT. Una vez que haya configurado el dispositivo principal y haya suministrado su CA al dispositivo cliente, los dispositivos cliente podrán conectarse al punto final y verificar el protocolo de enlace de TLS mediante la CA del dispositivo principal (CA proporcionada por usted o generada automáticamente).
Para configurar elAutenticación del dispositivo cliente componente para que utilice la CA de su dispositivo principal, defina el parámetro decertificateAuthority configuración al implementar el componente. Debe proporcionar los siguientes detalles durante la configuración:
-
La ubicación del certificado de CA de un dispositivo principal.
-
La clave privada del certificado CA del dispositivo principal.
-
(Opcional) La cadena de certificados al certificado raíz si la CA del dispositivo principal es una CA intermedia.
Si proporciona una CA del dispositivo principal,AWS IoT Greengrass registra la CA en la nube.
Puede almacenar los certificados en un módulo de seguridad de hardware o en el sistema de archivos. El siguiente ejemplo muestra unacertificateAuthority configuración para una CA intermedia almacenada mediante HSM/TPM. Tenga en cuenta que la cadena de certificados solo se puede almacenar en el disco.
"certificateAuthority": {
"certificateUri": "pkcs11:object=CustomerIntermediateCA;type=cert",
"privateKeyUri": "pkcs11:object=CustomerIntermediateCA;type=private"
"certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
}En este ejemplo, el parámetro decertificateAuthority configuración configura el componente de autenticación del dispositivo cliente para utilizar una CA intermedia del sistema de archivos:
"certificateAuthority": {
"certificateUri": "file:///home/ec2-user/creds/intermediateCA.pem",
"privateKeyUri": "file:///home/ec2-user/creds/intermediateCA.privateKey.pem",
"certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
}Para conectar los dispositivos a su dispositivoAWS IoT Greengrass Core, haga lo siguiente:
-
Entidad de certificación (CA) intermedia para el dispositivo principal de Greengrass utilizando la entidad de certificación (CA) de la organización. Le recomendamos que utilice una CA intermedia como práctica recomendada desde el punto de vista de vista de vista de la seguridad.
-
Proporcione el certificado de CA intermedio, la clave privada y la cadena de certificados de la CA raíz al dispositivo principal de Greengrass. Para obtener más información, consulte Autenticación del dispositivo cliente. La CA intermedia se convierte en la CA del dispositivo central del dispositivo central de Greengrass y el dispositivo registra la CA conAWS IoT Greengrass.
-
Registre el dispositivo cliente como unaAWS IoT cosa. Para obtener más información, consulta Crear un objeto en la Guía paraAWS IoT Core desarrolladores. Agregue la clave privada, la clave pública, el certificado de dispositivo y el certificado de CA raíz a su dispositivo cliente. La forma de añadir la información depende del dispositivo y del software.
Una vez configurado el dispositivo, puede utilizar el certificado y la cadena de claves públicas para conectarse al dispositivo principal de Greengrass. Su software es responsable de encontrar los puntos finales principales del dispositivo. Puede configurar el punto final manualmente para el dispositivo principal. Para obtener más información, consulte Administre manualmente los puntos finales.
