Administración de sus certificados de entidad de certificación - AWS IoT Core

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de sus certificados de entidad de certificación

En esta sección se describen las tareas comunes para administrar sus propios certificados de entidad de certificación.

Puede registrar su entidad emisora de certificados (CA) AWS IoT si utiliza certificados de cliente firmados por una entidad emisora de certificados que AWS IoT no los reconoce.

Si desea que los clientes registren automáticamente sus certificados de cliente AWS IoT cuando se conecten por primera vez, la CA que firmó los certificados de cliente debe estar registrada AWS IoT. De lo contrario, no es necesario registrar el certificado de entidad de certificación que firmó los certificados de cliente.

nota

Un certificado de entidad de certificación se puede registrar en modo DEFAULT solo mediante una cuenta en una región. Un certificado de entidad de certificación se puede registrar en modo SNI_ONLY mediante varias cuentas en una región.

Creación de un certificado de entidad de certificación

Si no dispone de certificado de entidad de certificación, puede crear uno con las herramientas de OpenSSL v1.1.1i.

nota

No puede realizar este procedimiento en la AWS IoT consola.

Para crear un certificado de entidad de certificación con las herramientas de OpenSSL v1.1.1i
  1. Genere un par de claves.

    openssl genrsa -out root_CA_key_filename.key 2048
  2. Utilice la clave privada del par de claves para generar un certificado de entidad de certificación.

    openssl req -x509 -new -nodes \ -key root_CA_key_filename.key \ -sha256 -days 1024 \ -out root_CA_cert_filename.pem

Registro de su certificado de entidad de certificación

Estos procedimientos describen cómo registrar un certificado de una autoridad de certificación (CA) que no es la CA de Amazon. AWS IoT Core utiliza certificados de CA para verificar la propiedad de los certificados. Para usar certificados de dispositivo firmados por una CA que no sea la CA de Amazon, debes registrar el certificado de CA con el AWS IoT Core fin de comprobar la propiedad del certificado del dispositivo.

Registro de un certificado de entidad de certificación (consola).

nota

Para registrar un certificado de entidad de certificación en la consola, comience en la consola en Registro de un certificado de entidad de certificación. Puede registrar su entidad emisora de certificados en el modo multicuenta y sin necesidad de proporcionar un certificado de verificación ni de acceder a la clave privada. Una entidad emisora de certificados se puede registrar en el modo multicuenta mediante varias Cuentas de AWS en la misma Región de AWS. Puede registrar su entidad emisora de certificados en el modo de cuenta única proporcionando un certificado de verificación y una prueba de propiedad de la clave privada de la entidad emisora de certificados.

Registro de un certificado de entidad de certificación (CLI)

Puede registrar un certificado de entidad de certificación en el modo DEFAULT o el modo SNI_ONLY. Una CA se puede registrar en DEFAULT modo uno Cuenta de AWS a uno Región de AWS. Una CA se puede registrar en SNI_ONLY modo varias veces Cuentas de AWS en la misma modalidad Región de AWS. Para obtener más información acerca del modo de certificados de CA, consulte certificateMode.

nota

Se recomienda registrar una entidad emisora de certificados en el modo SNI_ONLY. No necesita proporcionar un certificado de verificación ni acceder a la clave privada, y puede registrar la CA varias veces Cuentas de AWS en la misma Región de AWS.

Registro de un certificado de entidad de certificación en modo SNI_ONLY (CLI) - Recomendado

Requisitos previos 

Asegúrese de que dispone de lo siguiente en el ordenador antes de continuar:

  • El archivo de certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como root_CA_cert_filename.pem).

  • OpenSSL v1.1.1i o versiones posteriores.

Para registrar un certificado de CA en SNI_ONLY el modo mediante el AWS CLI
  1. Registre el certificado de CA con AWS IoT. Con el comando register-ca-certificate, introduzca el nombre del archivo del certificado de entidad de certificación. Para obtener más información, consulte register-ca-certificatela Referencia de AWS CLI comandos.

    aws iot register-ca-certificate \ --ca-certificate file://root_CA_cert_filename.pem \ --certificate-mode SNI_ONLY

    Este comando devuelve el certificateId si se realiza correctamente.

  2. En este momento, el certificado de CA se ha registrado AWS IoT pero está inactivo. El certificado de entidad de certificación debe estar activo antes de poder registrar los certificados de cliente firmados por él.

    Este paso activa el certificado de entidad de certificación.

    Para activar el certificado de entidad de certificación, utilice el comando update-certificate del modo siguiente. Para obtener más información, consulte update-certificate en la Referencia de comandos de la AWS CLI .

    aws iot update-ca-certificate \ --certificate-id certificateId \ --new-status ACTIVE

Utilice el comando describe-ca-certificate para ver el estado del certificado de entidad de certificación. Para obtener más información, consulte describe-ca-certificatela Referencia de AWS CLI comandos.

Registro de un certificado de entidad de certificación en modo DEFAULT (CLI)

Requisitos previos 

Asegúrese de que dispone de lo siguiente en el ordenador antes de continuar:

  • El archivo de certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como root_CA_cert_filename.pem).

  • El archivo de clave privada del certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como root_CA_key_filename.key).

  • OpenSSL v1.1.1i o versiones posteriores.

Para registrar un certificado de CA en DEFAULT el modo mediante el AWS CLI
  1. Para obtener un código de registro AWS IoT, utiliceget-registration-code. Guarde el registrationCode devuelto para usarlo como Common Name del certificado de verificación de clave privada. Para obtener más información, consulte get-registration-codela Referencia de AWS CLI comandos.

    aws iot get-registration-code
  2. Genere un par de claves para el certificado de verificación de clave privada:

    openssl genrsa -out verification_cert_key_filename.key 2048
  3. Cree una solicitud de firma de certificado (CSR) para el certificado de verificación de clave privada. Establezca el campo Common Name del certificado en el registrationCode devuelto por get-registration-code.

    openssl req -new \ -key verification_cert_key_filename.key \ -out verification_cert_csr_filename.csr

    Se le solicita información, incluido el Common Name del certificado.

    You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) []: Locality Name (for example, city) []: Organization Name (for example, company) []: Organizational Unit Name (for example, section) []: Common Name (e.g. server FQDN or YOUR name) []:your_registration_code Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
  4. Utilice la CSR para crear un certificado de verificación de la clave privada:

    openssl x509 -req \ -in verification_cert_csr_filename.csr \ -CA root_CA_cert_filename.pem \ -CAkey root_CA_key_filename.key \ -CAcreateserial \ -out verification_cert_filename.pem \ -days 500 -sha256
  5. Registre el certificado de CA con AWS IoT. Pase el nombre de archivo del certificado de entidad de certificación y el nombre de archivo del certificado de verificación de clave privada al comando register-ca-certificate, tal como sigue: Para obtener más información, consulte register-ca-certificatela Referencia de AWS CLI comandos.

    aws iot register-ca-certificate \ --ca-certificate file://root_CA_cert_filename.pem \ --verification-cert file://verification_cert_filename.pem

    Este comando devuelve el certificateID, si se realiza correctamente.

  6. En este momento, el certificado de CA se ha registrado AWS IoT pero no está activo. El certificado de entidad de certificación debe estar activo antes de poder registrar los certificados de cliente firmados por él.

    Este paso activa el certificado de entidad de certificación.

    Para activar el certificado de entidad de certificación, utilice el comando update-certificate del modo siguiente. Para obtener más información, consulte update-certificate en la Referencia de comandos de la AWS CLI .

    aws iot update-ca-certificate \ --certificate-id certificateId \ --new-status ACTIVE

Utilice el comando describe-ca-certificate para ver el estado del certificado de entidad de certificación. Para obtener más información, consulte describe-ca-certificatela Referencia de AWS CLI comandos.

Creación un certificado de verificación de CA para registrarlo en la consola

nota

Este procedimiento solo se utiliza si va a registrar un certificado de CA desde la AWS IoT consola.

Si no ha realizado este procedimiento desde la AWS IoT consola, inicie el proceso de registro del certificado de CA en la consola en Registrar el certificado de CA.

Asegúrese de que dispone de lo siguiente en el mismo ordenador antes de continuar:

  • El archivo de certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como root_CA_cert_filename.pem).

  • El archivo de clave privada del certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como root_CA_key_filename.key).

  • OpenSSL v1.1.1i o versiones posteriores.

Para usar la interfaz de línea de comandos con el fin de crear un certificado de verificación de CA para registrar su certificado de entidad de certificación en la consola:
  1. Reemplace verification_cert_key_filename.key por el nombre del archivo de clave del certificado de verificación que quiera crear (por ejemplo, verification_cert.key). Luego ejecute este comando para generar un par de claves para el certificado de verificación de clave privada:

    openssl genrsa -out verification_cert_key_filename.key 2048
  2. Reemplace verification_cert_key_filename.key por el nombre del archivo de clave que creó en el paso 1.

    Reemplace verification_cert_csr_filename.csr por el nombre del archivo de solicitud de firma de certificado (CSR) que quiera crear. Por ejemplo, verification_cert.csr.

    Ejecute el comando para crear el archivo CSR.

    openssl req -new \ -key verification_cert_key_filename.key \ -out verification_cert_csr_filename.csr

    El comando le solicita información adicional que se explica más adelante.

  3. En la AWS IoT consola, en el contenedor del certificado de verificación, copie el código de registro.

  4. La información que le solicita el comando openssl se muestra en el siguiente ejemplo. A excepción del campo Common Name, puede introducir sus propios valores o mantenerlos vacíos.

    En el campo Common Name, pegue el código de registro que copió en el paso anterior.

    You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) []: Locality Name (for example, city) []: Organization Name (for example, company) []: Organizational Unit Name (for example, section) []: Common Name (e.g. server FQDN or YOUR name) []:your_registration_code Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

    Al terminar, el comando crea el archivo CSR.

  5. Reemplace verification_cert_csr_filename.csr por el verification_cert_csr_filename.csr que utilizó en el paso anterior.

    Reemplace root_CA_cert_filename.pem por el nombre del archivo de del certificado de entidad de certificación que quiera registrar.

    Reemplace root_CA_key_filename.key por el nombre del archivo de clave privada del certificado de entidad de certificación.

    Reemplace verification_cert_filename.pem por el nombre del archivo de clave del certificado de verificación que quiera crear. Por ejemplo, verification_cert.pem.

    openssl x509 -req \ -in verification_cert_csr_filename.csr \ -CA root_CA_cert_filename.pem \ -CAkey root_CA_key_filename.key \ -CAcreateserial \ -out verification_cert_filename.pem \ -days 500 -sha256
  6. Cuando se complete el comando OpenSSL, debería tener estos archivos listos para usarlos cuando regrese a la consola.

    • Su archivo de certificado de entidad de certificación (root_CA_cert_filename.pem utilizado en el comando anterior).

    • El certificado de verificación que creó en el paso anterior (verification_cert_filename.pem utilizado en el comando anterior)

Desactivar un certificado de entidad de certificación

Cuando un certificado de una entidad emisora de certificados (CA) está habilitado para el registro automático del certificado de cliente, AWS IoT comprueba el certificado de la CA para asegurarse de que la CA lo estáACTIVE. Si el certificado de CA lo estáINACTIVE, AWS IoT no permite registrar el certificado de cliente.

Al establecer el certificado de entidad de certificación como INACTIVE, impide que los certificados de cliente nuevos emitidos por la entidad de certificación se registren automáticamente.

nota

Todos los certificados de dispositivo registrados que haya firmado el certificado de entidad de certificación en riesgo siguen funcionando hasta que revoque explícitamente cada uno de ellos.

Desactivar un certificado de entidad de certificación (consola)

Para desactivar un certificado de entidad de certificación mediante la consola de AWS IoT
  1. Inicie sesión en la AWS IoT consola AWS Management Console y ábrala.

  2. En el panel de navegación de la izquierda, elija Secure (Seguridad) y, a continuación, elija CAs (Entidades de certificación).

  3. En la lista de autoridades de certificación, busque la que desea desactivar y elija el icono de los puntos suspensivos para abrir el menú de opciones.

  4. En el menú de opciones, elija Deactivate (Desactivar).

La entidad de certificación debe mostrarse como Inactive (Inactiva) en la lista.

nota

La AWS IoT consola no proporciona una forma de enumerar los certificados firmados por la entidad emisora de certificados que ha desactivado. Para obtener una opción de AWS CLI para enumerar esos certificados, consulte Desactivar un certificado de entidad de certificación (CLI).

Desactivar un certificado de entidad de certificación (CLI)

AWS CLI Proporciona el update-ca-certificatecomando para desactivar un certificado de CA.

aws iot update-ca-certificate \ --certificate-id certificateId \ --new-status INACTIVE

Utilice el comando list-certificates-by-ca para obtener una lista de todos los certificados de cliente registrados firmados por la entidad de certificación especificada. Por cada certificado de cliente firmado por el certificado de entidad de certificación especificado, puede utilizar el comando update-certificate para revocar el certificado de cliente y evitar que este se use.

Utilice el comando describe-ca-certificate para ver el estado del certificado de entidad de certificación.