Registre un certificado de cliente cuando el cliente se conecte al AWS IoT just-in-time registro (JITR) - AWS IoT Core

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registre un certificado de cliente cuando el cliente se conecte al AWS IoT just-in-time registro (JITR)

Puede configurar un certificado de CA para permitir que los certificados de cliente con los que ha firmado se registren AWS IoT automáticamente la primera vez que el cliente se conecte. AWS IoT

Para registrar los certificados de cliente cuando un cliente se conecte AWS IoT por primera vez, debe habilitar el registro automático del certificado de CA y configurar la primera conexión del cliente para proporcionar los certificados necesarios.

Configurar un certificado de entidad de certificación para admitir el registro automático (consola)

Para configurar un certificado de CA para que admita el registro automático de certificados de cliente mediante la AWS IoT consola
  1. Inicie sesión en la consola AWS de administración y abra la AWS IoT consola.

  2. En el panel de navegación de la izquierda, elija Secure (Seguridad) y, a continuación, elija CAs (Entidades de certificación).

  3. En la lista de entidades de certificación, busque aquella para la que desea habilitar el registro automático y abra el menú de opciones mediante el icono de puntos suspensivos.

  4. En el menú de opciones, elija Enable auto-registration (Habilitar registro automático).

nota

El estado de registro automático no se muestra en la lista de entidades de certificación. Para ver el estado de registro automático de una entidad de certificación, debe abrir la página Details (Detalles) de la entidad de certificación.

Configurar un certificado de entidad de certificación para admitir el registro automático (CLI)

Si ya ha registrado su certificado de CA AWS IoT, utilice el update-ca-certificatecomando para establecer el certificado autoRegistrationStatus de CA enENABLE.

aws iot update-ca-certificate \ --certificate-id caCertificateId \ --new-auto-registration-status ENABLE

Si desea habilitar autoRegistrationStatus al registrar el certificado de entidad de certificación, utilice el comando register-ca-certificate.

aws iot register-ca-certificate \ --allow-auto-registration \ --ca-certificate file://root_CA_cert_filename.pem \ --verification-cert file://verification_cert_filename.pem

Utilice el comando describe-ca-certificate para ver el estado del certificado de entidad de certificación.

Configurar la primera conexión de un cliente para el registro automático

Cuando un cliente intenta conectarse AWS IoT por primera vez, el certificado de cliente firmado por su certificado de CA debe estar presente en el cliente durante el protocolo de enlace de Transport Layer Security (TLS).

Cuando el cliente se conecte AWS IoT, utilice el certificado de cliente que creó en Crear certificados de AWS IoT cliente o Crear sus propios certificados de cliente. AWS IoT reconoce el certificado de CA como un certificado de CA registrado, registra el certificado de cliente y establece su estado enPENDING_ACTIVATION. Esto significa que el certificado de cliente se registró automáticamente y que está a la espera de su activación. El estado del certificado de cliente debe ser ACTIVE antes de que se pueda usar para conectarse a AWS IoT. Consulte Activar o desactivar un certificado de cliente para obtener información sobre la activación de un certificado de cliente.

nota

Puede aprovisionar los dispositivos mediante la función de registro AWS IoT Core justo a tiempo (JITR) sin tener que enviar toda la cadena de confianza en el momento de la primera conexión de los dispositivos. AWS IoT Core La presentación del certificado de entidad de certificación es opcional, pero es necesario que el dispositivo envíe la extensión Indicación del nombre del servidor (SNI) cuando se conecte.

Cuando registra AWS IoT automáticamente un certificado o cuando un cliente presenta un certificado en ese PENDING_ACTIVATION estado, AWS IoT publica un mensaje sobre el siguiente tema de MQTT:

$aws/events/certificates/registered/caCertificateId

Donde caCertificateId es el ID del certificado de entidad de certificación que generó el certificado de cliente.

El mensaje publicado en este tema tiene la estructura siguiente:

{ "certificateId": "certificateId", "caCertificateId": "caCertificateId", "timestamp": timestamp, "certificateStatus": "PENDING_ACTIVATION", "awsAccountId": "awsAccountId", "certificateRegistrationTimestamp": "certificateRegistrationTimestamp" }

Puede crear una regla que escuche este tema y realice algunas acciones. Le recomendamos crear una regla de Lambda que verifique que el certificado de cliente no se encuentre en una lista de revocación de certificados (CRL), active el certificado y cree una política y la asocie a este. La política determina a qué recursos puede tener acceso el cliente. Para obtener más información sobre cómo crear una regla Lambda que escuche el $aws/events/certificates/registered/caCertificateID tema y lleve a cabo estas acciones, consulte just-in-time Registro de certificados de cliente en. AWS IoT

Si se produce algún error o excepción durante el registro automático de los certificados de cliente, AWS IoT envía eventos o mensajes a sus CloudWatch registros en Logs. Para obtener más información sobre cómo configurar los registros de tu cuenta, consulta la CloudWatch documentación de Amazon.