Création d'un BYOC (ECDSA) - FreeRTOS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un BYOC (ECDSA)

Dans ces procédures, vous utilisez la console AWS IoT, l’AWS Command Line Interface, et OpenSSL pour créer et enregistrer des certificats et des clés pour un appareil sur le cloud AWS. Assurez-vous que vous avez installé et configuré l' AWS CLI sur votre machine avant d'exécuter les commandes AWS CLI.

Note

Lorsque vous créez des certificats CA, utilisez des valeurs valides et cohérentes pour les champs DN (Nom unique) lorsque vous y êtes invité. Pour le champ Common Name (Nom commun), vous pouvez utiliser n'importe quelle valeur, sauf spécifications contraires.

Pour générer une CA racine

  1. Utilisez la commande suivante pour générer une clé privée CA racine :

    openssl ecparam -name prime256v1 -genkey -noout -out rootCA.key
  2. Utilisez la commande suivante pour générer un certificat CA racine :

    openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt

Pour générer un CA intermédiaire

  1. Créez les fichiers requis :

    touch index.txt
    echo 1000 > serial
  2. Enregistrez le fichier ca.config dans le répertoire de travail en cours.

  3. Utilisez la commande suivante pour générer la clé privée du CA intermédiaire :

    openssl ecparam -name prime256v1 -genkey -noout -out intermediateCA.key
  4. Utilisez la commande suivante pour générer la CSR du CA intermédiaire :

    openssl req -new -sha256 -key intermediateCA.key -out intermediateCA.csr
  5. Utilisez la commande suivante pour signer la CSR du CA intermédiaire avec la CA racine :

    openssl ca -config ca.config -notext -cert rootCA.crt -keyfile rootCA.key -days 500 -in intermediateCA.csr -out intermediateCA.crt

Pour générer un certificat d'appareil

Note

Un certificat ECDSA est utilisé ici à titre d'exemple.

  1. Utilisez la commande suivante pour créer une clé privée.

    openssl ecparam -name prime256v1 -genkey -noout -out deviceCert.key
  2. Utilisez la commande suivante pour générer une CSR pour un certificat d'appareil :

    openssl req -new -key deviceCert.key -out deviceCert.csr
  3. Utilisez la commande suivante pour signer le certificat d'appareil avec le CA intermédiaire :

    openssl x509 -req -in deviceCert.csr -CA intermediateCA.crt -CAkey intermediateCA.key -CAcreateserial -out deviceCert.crt -days 500 -sha256

Pour enregistrer les deux certificats CA

  1. Utilisez la commande d’AWS CLI suivante pour obtenir le code d'inscription :

    aws iot get-registration-code
  2. Utilisez la commande suivante pour générer une clé privée pour la vérification des certificats :

    openssl ecparam -name prime256v1 -genkey -noout -out verificationCert.key
  3. Utilisez la commande suivante pour créer une CSR pour la vérification des certificats :

    openssl req -new -key verificationCert.key -out verificationCert.csr

    Lorsque vous y êtes invité, pour Common Name, saisissez le code d'inscription que vous avez obtenu au cours de la première étape.

  4. Utilisez la commande suivante pour signer un certificat de vérification à l'aide du CA racine :

    openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out rootCAverificationCert.crt -days 500 -sha256
  5. Utilisez la commande suivante pour signer un certificat de vérification à l'aide du CA intermédiaire :

    openssl x509 -req -in verificationCert.csr -CA intermediateCA.crt -CAkey intermediateCA.key -CAcreateserial -out intermediateCAverificationCert.crt -days 500 -sha256
  6. Utilisez les commandes d’AWS CLI suivantes pour enregistrer les deux certificats CA avec AWS IoT :

    aws iot register-ca-certificate --ca-certificate file://rootCA.crt --verification-cert file://rootCAverificationCert.crt
    aws iot register-ca-certificate --ca-certificate file://intermediateCA.crt --verification-cert file://intermediateCAverificationCert.crt
  7. Utilisez la commande d’AWS CLI suivante pour activer les deux certificats CA :

    aws iot update-ca-certificate --certificate-id ID --new-status ACTIVE

    ID désigne l'ID d'un des certificats.

Pour enregistrer le certificat de l'appareil

  1. Utilisez la commande d’AWS CLI suivante pour enregistrer le certificat de l'appareil avec AWS IoT :

    aws iot register-certificate --certificate-pem file://deviceCert.crt --ca-certificate-pem file://intermediateCA.crt
  2. Utilisez la commande d’AWS CLI suivante pour activer le certificat d'appareil.

    aws iot update-certificate --certificate-id ID --new-status ACTIVE

    ID désigne l'ID du certificat.