Certificados de cliente X.509

Los certificados X.509 permiten AWS IoT autenticar las conexiones de clientes y dispositivos. Los certificados de cliente deben estar registrados AWS IoT antes de que un cliente pueda comunicarse con ellos. AWS IoT Un certificado de cliente se puede registrar en varios Cuenta de AWS s de la misma región Región de AWS para facilitar el traslado de dispositivos entre Cuenta de AWS los de la misma región. Para obtener más información, consulte Uso de certificados de cliente X.509 en varios Cuenta de AWS s con registro de varias cuentas.

Se recomienda que cada dispositivo o cliente reciba un certificado único para permitir acciones de administración de clientes precisas, incluida la revocación de certificados. Los dispositivos y los clientes deben ser compatibles con la rotación y la sustitución de certificados para garantizar un buen funcionamiento cuando los certificados caduquen.

Para obtener información sobre el uso de certificados X.509 para admitir más de unos pocos dispositivos, consulte Aprovisionamiento de dispositivos para revisar las distintas opciones de aprovisionamiento y administración de certificados que admite AWS IoT .

AWS IoT admite los siguientes tipos de certificados de cliente X.509:

• Certificados X.509 generados por AWS IoT

• Certificados X.509 firmados por una entidad emisora de certificados registrada en. AWS IoT

• Certificados X.509 firmados por una entidad de certificación que no está registrada con AWS IoT.

En esta sección se describe cómo administrar certificados X.509 en AWS IoT. Puede utilizar la AWS IoT consola o AWS CLI realizar las siguientes operaciones de certificación:

• Cree certificados de AWS IoT cliente

• Creación de sus propios certificados de cliente

• Registrar un certificado de cliente

• Activar o desactivar un certificado de cliente

• Revocar un certificado de cliente

Para obtener más información sobre los AWS CLI comandos que realizan estas operaciones, consulte la referencia de AWS IoT CLI.

Uso de certificados de cliente X.509

Los certificados X.509 autentican las conexiones de clientes y dispositivos a. AWS IoT Los certificados X.509 ofrecen varios beneficios con respecto a otros mecanismos de identificación y autenticación. Los certificados X.509 permiten usar claves asimétricas con los dispositivos. Por ejemplo, podría forzar claves privadas en un almacenamiento seguro en un dispositivo para que el material criptográfico confidencial nunca salga del dispositivo. Los certificados X.509 proporcionan una autenticación del cliente más fiable que los otros sistemas, como el nombre de usuario y la contraseña o los tokens de portador, ya que la clave privada jamás abandona el dispositivo.

AWS IoT autentica los certificados de cliente mediante el modo de autenticación de cliente del protocolo TLS. La compatibilidad con TLS está disponible en numerosos lenguajes de programación y sistemas operativos, y se utiliza generalmente para cifrar datos. En la autenticación de clientes TLS, AWS IoT solicita un certificado de cliente X.509 y valida el estado del certificado y lo Cuenta de AWS compara con un registro de certificados. A continuación, pide al cliente que demuestre que es propietario de la clave privada que corresponde a la clave pública contenida en el certificado. AWS IoT exige que los clientes envíen la extensión de indicación del nombre del servidor (SNI) al protocolo Transport Layer Security (TLS). Para obtener más información sobre la configuración de la extensión SNI, consulte Seguridad del transporte en AWS IoT Core.

Para facilitar una conexión segura y coherente del cliente con el AWS IoT núcleo, un certificado de cliente X.509 debe tener lo siguiente:

• Registrado en AWS IoT Core. Para obtener más información, consulte Registrar un certificado de cliente.

• Tener un estado ACTIVE. Para obtener más información, consulte Activar o desactivar un certificado de cliente.

• No haber alcanzado aún la fecha de caducidad del certificado.

Puede crear certificados de cliente que utilicen la entidad de certificación Amazon Root y puede utilizar sus propios certificados de cliente firmados por otra entidad de certificación (CA). Para obtener más información sobre el uso de la AWS IoT consola para crear certificados que usen la CA raíz de Amazon, consulteCree certificados de AWS IoT cliente. Para obtener más información sobre el uso de sus propios certificados X.509, consulte Creación de sus propios certificados de cliente.

La fecha y hora de caducidad de los certificados firmados por un certificado de entidad de certificación se establecen en el momento de su creación. Los certificados X.509 generados por AWS IoT vencen a medianoche (UTC) del 31 de diciembre de 2049 (2049-12-31T 23:59:59 Z).

AWS IoT Device Defender puede realizar auditorías en sus dispositivos Cuenta de AWS y en sus dispositivos siguiendo las mejores prácticas comunes de seguridad de IoT. Esto incluye administrar las fechas de caducidad de los certificados X.509 firmados por su entidad de certificación o la entidad de certificación de Amazon Root. Para obtener más información sobre la gestión de la fecha de caducidad de un certificado, consulte Vencimiento del certificado de dispositivo y caducidad del certificado de CA.

En el AWS IoT blog oficial, se profundiza en la gestión de la rotación de certificados de dispositivos y las mejores prácticas de seguridad en Cómo gestionar la rotación de certificados de dispositivos de IoT mediante el uso AWS IoT.

Uso de certificados de cliente X.509 en varios Cuenta de AWS s con registro de varias cuentas

El registro de varias cuentas permite mover dispositivos entre sus Cuenta de AWS en la misma región o en regiones diferentes. Puede registrar, probar y configurar un dispositivo en una cuenta de preproducción y, a continuación, registrar y utilizar el mismo dispositivo y certificado de dispositivo en una cuenta de producción. También puede registrar el certificado de cliente en el dispositivo o los certificados del dispositivo sin una CA en la que esté registrada. AWS IoT Para obtener más información, consulte Registrar un certificado de cliente firmado por una entidad de certificación no registrada (CLI).

nota

Los certificados utilizados para el registro de varias cuentas son compatibles con los tipos de puntos de conexión iot:Data-ATS, iot:Data (heredados), iot:Jobs y iot:CredentialProvider. Para obtener más información sobre los puntos finales de los AWS IoT dispositivos, consulteAWS IoT datos del dispositivo y puntos finales de servicio.

Los dispositivos que utilizan el registro de varias cuentas deben enviar la extensión de indicación del nombre del servidor (SNI) al protocolo Transport Layer Security (TLS) y proporcionar la dirección completa del punto final en el host_name campo cuando se conecten a. AWS IoT AWS IoT utiliza la dirección del punto final host_name para enrutar la conexión a la cuenta correcta. AWS IoT Los dispositivos existentes que no envíen una dirección de punto de conexión válida en host_name seguirán funcionando, pero no podrán utilizar las características que requiere esta información. Para obtener más información acerca de la extensión SNI y para aprender a identificar la dirección del punto de conexión del campo host_name, consulte Seguridad del transporte en AWS IoT Core.

Para utilizar el registro de varias cuentas

1. Puede registrar los certificados de dispositivo con una entidad de certificación. Puede registrar la CA emisora de certificados en varias cuentas en modo SNI_ONLY y utilizar esa entidad de certificación para registrar el mismo certificado de cliente en varias cuentas. Para obtener más información, consulte Registro de un certificado de entidad de certificación en modo SNI_ONLY (CLI) - Recomendado.

2. Puede registrar los certificados de dispositivo sin una entidad de certificación. Consulte Registro de un certificado de cliente firmado por una entidad de certificación no registrada (CLI). El registro de una entidad de certificación es opcional. No es necesario que registre la CA con la que firmó los certificados del dispositivo AWS IoT.

Los algoritmos de firma de certificados son compatibles con AWS IoT

AWS IoT admite los siguientes algoritmos de firma de certificados:

• SHA256WITHRSA

• SHA384WITHRSA

• SHA512WITHRSA

• SHA256WITHRSAANDMGF1 (RSASSA-PSS)

• SHA384WITHRSAANDMGF1 (RSASSA-PSS)

• SHA512WITHRSAANDMGF1 (RSASSA-PSS)

• DSA_WITH_SHA256

• ECDSA-WITH-SHA256

• ECDSA-WITH-SHA384

• ECDSA-WITH-SHA512

Para obtener más información sobre la autenticación y la seguridad de los certificados, consulte Calidad de la clave del certificado del dispositivo.

nota

La solicitud de firma de certificado (CSR) debe incluir una clave pública. Puede tratarse de una clave RSA con una longitud de al menos 2048 bits o una clave ECC de curvas NIST P-256, NIST P-384 o NIST P-521. Para obtener más información, consulte CreateCertificateFromCsrla Guía de referencia de la AWS IoT API.

Algoritmos clave compatibles con AWS IoT

La siguiente tabla muestra cómo se admiten los algoritmos clave:

Algoritmo clave	Algoritmo de firma de certificados	Versión de TLS	¿Se admite? Yes o No
RSA con un tamaño de clave de al menos 2048 bits	Todos	TLS 1.2 TLS 1.3	Sí
ECC NIST P-256/P-384/P-521	Todos	TLS 1.2 TLS 1.3	Sí
RSA-PSS con un tamaño de clave de al menos 2048 bits	Todos	TLS 1.2	No
RSA-PSS con un tamaño de clave de al menos 2048 bits	Todos	TLS 1.3	Sí

Para crear un certificado mediante la CreateCertificateFromCSR, puede utilizar un algoritmo de clave compatible para generar una clave pública para la CSR. Para registrar su propio certificado mediante RegisterCertificateuna RegisterCertificateWithoutCA, puede utilizar un algoritmo de clave compatible para generar una clave pública para el certificado.

Para obtener más información, consulte Políticas de seguridad.