Connexion d'appareils clients à un appareilAWS IoT Greengrass Core à l'aide d'un courtier MQTT - AWS IoT Greengrass
Utilisation de votre certificat

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connexion d'appareils clients à un appareilAWS IoT Greengrass Core à l'aide d'un courtier MQTT

Lorsque vous utilisez un courtier MQTT sur votre appareilAWS IoT Greengrass Core, celui-ci utilise une autorité de certification (CA) principale propre à l'appareil pour délivrer un certificat au courtier afin d'établir des connexions TLS mutuelles avec les clients.

AWS IoT GreengrassGénérez automatiquement une autorité de certificat de certificat de certificat de certificat de certificat de certificat (CSR) de l'appareil. Le périphérique principal CA est enregistréAWS IoT Greengrass lorsque leAuthentification de l'appareil client composant est connecté. L'autorité de certification principale générée automatiquement est persistante, le périphérique continuera à utiliser la même autorité de certification tant que le composant d'authentification de l'appareil client est configuré.

Lorsque le courtier MQTT démarre, il demande un certificat. Le composant d'authentification de l'appareil client émet un certificat X.509 en utilisant le certificat (CSR) principal. Le certificat est pivoté lorsque le broker démarre, lorsque le certificat expire ou lorsque les informations de connectivité telles que l'adresse IP changent. Pour plus d'informations, veuillez consulter Rotation des certificats sur le broker MQTT local.

Pour connecter un client au courtier MQTT, vous avez besoin des informations suivantes :

  • L'appareil client doit disposer de l'autorité de certificationAWS IoT Greengrass Core. Vous pouvez obtenir cette autorité de certification par le biais de la découverte du cloud ou en fournissant l'autorité de certification manuellement. Pour plus d'informations, veuillez consulter Utilisation de votre propre autorité de certification.

  • Le nom de domaine complet (FQDN) ou l'adresse IP du périphérique principal doit figurer dans le certificat de courtier émis par l'autorité de certification du périphérique principal. Vous vous en assurez en utilisant leDétecteur IP composant ou en configurant manuellement l'adresse IP. Pour plus d'informations, veuillez consulter Gérez les principaux points de terminaison des appareils.

  • Le composant d'authentification de l'appareil client doit autoriser l'appareil client à se connecter au périphérique principal Greengrass. Pour plus d'informations, veuillez consulter Authentification de l'appareil client.

Utilisation de votre propre autorité de certification

Si vos appareils clients ne peuvent pas accéder au cloud pour découvrir votre appareil principal, vous pouvez fournir une autorité de certification (CA) de l'appareil principal. Votre appareil principal Greengrass utilise l'autorité de certification de l'appareil principal pour émettre des certificats pour votre courtier MQTT. Une fois que vous avez configuré le périphérique principal et fourni à votre appareil client son autorité de certification, vos appareils clients peuvent se connecter au point de terminaison et vérifier la liaison TLS à l'aide de l'autorité de certification de l'appareil principal (autorité de certification fournie par l'utilisateur ou générée automatiquement).

Pour configurer leAuthentification de l'appareil client composant afin qu'il utilise l'autorité de certification de votre appareil principal, définissez le paramètre decertificateAuthority configuration lorsque vous déployez le composant. Vous devez fournir les informations suivantes lors de la configuration :

  • Emplacement du certificat CA d'un appareil principal.

  • La clé privée du certificat CA du périphérique principal.

  • (Facultatif) La chaîne de certificats jusqu'au certificat racine si l'autorité de certification du périphérique principal est une autorité de certification intermédiaire.

Si vous fournissez une autorité de certification pour l'appareil principal,AWS IoT Greengrass enregistrez l'autorité de certification auprès du cloud.

Vous pouvez stocker vos certificats dans un module de sécurité matériel ou dans le système de fichiers. L'exemple suivant montre unecertificateAuthority configuration pour une autorité de certification intermédiaire stockée à l'aide de HSM/TPM. Notez que la chaîne de certificats ne peut être stockée que sur disque.

  "certificateAuthority": {
      "certificateUri": "pkcs11:object=CustomerIntermediateCA;type=cert",
      "privateKeyUri": "pkcs11:object=CustomerIntermediateCA;type=private"
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

Dans cet exemple, le paramètrecertificateAuthority de configuration configure le composant d'authentification du périphérique client pour utiliser une autorité de certification intermédiaire provenant du système de fichiers :

  "certificateAuthority": {
      "certificateUri": "file:///home/ec2-user/creds/intermediateCA.pem",
      "privateKeyUri": "file:///home/ec2-user/creds/intermediateCA.privateKey.pem",
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

Pour connecter les appareils à votre appareilAWS IoT Greengrass Core, procédez comme suit :

  1. Créez une autorité de certification (CA) intermédiaire pour le périphérique principal Greengrass à l'aide de l'autorité de certification racine de votre organisation. Nous vous recommandons d'utiliser une autorité de certification (CSR) intermédiaire à titre de bonne pratique de sécurité.

  2. Fournissez le certificat d'autorité de certification intermédiaire, la clé privée et la chaîne de certificats de votre autorité de certification racine au périphérique principal Greengrass. Pour plus d'informations, veuillez consulter Authentification de l'appareil client. L'autorité de certification intermédiaire devient l'autorité de certification principale du périphérique principal Greengrass, et le dispositif enregistre l'autorité de certification auprès deAWS IoT Greengrass.

  3. Enregistrez l'appareil client en tant qu'AWS IoTobjet. Pour plus d'informations, consultez la section Créer un objet dans le Guide duAWS IoT Core développeur. Ajoutez la clé privée, la clé publique, le certificat de l'appareil et le certificat CA racine à votre appareil client. La manière dont vous ajoutez les informations dépend de votre appareil et de votre logiciel.

Une fois que vous avez configuré votre appareil, vous pouvez utiliser le certificat et le trousseau de clés public pour vous connecter à l'appareil principal Greengrass. Votre logiciel est chargé de trouver les principaux points de terminaison de l'appareil. Vous pouvez définir le point de terminaison manuellement pour le périphérique principal. Pour plus d'informations, veuillez consulter Gérer manuellement les points de terminaison.