Configuration d’un certificat d'autorité de certification pour la prise en charge de l'enregistrement automatique (console)Configurer un certificat CA pour prendre en charge l'enregistrement automatique (CLI)Configuration de la première connexion par un client pour l'enregistrement automatique

Enregistrez un certificat client lorsque le client se connecte à AWS IoT just-in-time registration (JITR)

Vous pouvez configurer un certificat CA pour permettre aux certificats clients qu'il a signés de s'enregistrer AWS IoT automatiquement lors de la première connexion du client AWS IoT.

Pour enregistrer des certificats client lorsqu'un client se connecte AWS IoT pour la première fois, vous devez activer le certificat CA pour l'enregistrement automatique et configurer la première connexion du client afin de fournir les certificats requis.

Configuration d’un certificat d'autorité de certification pour la prise en charge de l'enregistrement automatique (console)

Pour configurer un certificat CA afin de prendre en charge l'enregistrement automatique des certificats clients à l'aide de la AWS IoT console

Connectez-vous à la console AWS de gestion et AWS IoT ouvrez-la.
Dans le volet de navigation de gauche, choisissez Secure, choisissez CAs.
Dans la liste des autorités de certification, recherchez celle pour laquelle vous souhaitez activer l'enregistrement automatique et ouvrez le menu d'options à l'aide de l'icône représentant des points de suspension.
Dans le menu d'options, choisissez Activer l'enregistrement automatique.

Note

Le statut d'enregistrement automatique n'apparaît pas dans la liste des autorités de certification. Pour voir le statut d'enregistrement automatique d'une autorité de certification, vous devez ouvrir la page Détails de l'autorité de certification.

Configurer un certificat CA pour prendre en charge l'enregistrement automatique (CLI)

Si vous avez déjà enregistré votre certificat CA auprès de AWS IoT, utilisez la update-ca-certificatecommande pour définir autoRegistrationStatus le certificat CA surENABLE.


aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE

Si vous souhaitez activer autoRegistrationStatus lors de l'enregistrement du certificat d'autorité de certification, utilisez la commande register-ca-certificate.


aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem

Utilisez la commande describe-ca-certificate pour voir le statut du certificat d'autorité de certification.

Configuration de la première connexion par un client pour l'enregistrement automatique

Lorsqu'un client tente de se connecter AWS IoT pour la première fois, le certificat client signé par votre certificat CA doit être présent sur le client lors de la poignée de main Transport Layer Security (TLS).

Lorsque le client se connecte à AWS IoT, utilisez le certificat client que vous avez créé dans Créer des certificats AWS IoT clients ou Créez vos propres certificats clients. AWS IoT reconnaît le certificat CA en tant que certificat CA enregistré, enregistre le certificat client et définit son statut surPENDING_ACTIVATION. Cela signifie que le certificat client a été enregistré automatiquement et qu'il est en attente d'activation. L'état du certificat client doit être ACTIVE avant de pouvoir être utilisé pour la connexion à AWS IoT. Consultez Activation ou désactivation d’un certificat client pour plus d'informations sur l'activation d'un certificat client.

Note

Vous pouvez approvisionner des appareils à l'aide de la fonction AWS IoT Core just-in-time registration (JITR) sans avoir à envoyer l'intégralité de la chaîne de confiance lors de la première connexion des appareils à AWS IoT Core. La présentation du certificat CA est facultative, mais l'appareil doit envoyer l'extension Server Name Indication (SNI) lors de la connexion.

Lors de l'enregistrement AWS IoT automatique d'un certificat ou lorsqu'un client présente un certificat avec le PENDING_ACTIVATION statut, AWS IoT publie un message sur le MQTT sujet suivant :

$aws/events/certificates/registered/caCertificateId

Où caCertificateId est l'ID du certificat d’autorité de certification ayant émis le certificat client.

Le message publié sur cette rubrique a la structure suivante :


{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}

Vous pouvez créer une règle qui écoute cette rubrique et effectue certaines actions. Nous vous recommandons de créer une règle Lambda qui vérifie que le certificat client ne figure pas sur une liste de révocation de certificats (CRL), active le certificat, crée et attache une politique au certificat. La stratégie détermine les ressources auxquelles le client peut accéder. Pour plus d'informations sur la création d'une règle Lambda qui écoute le $aws/events/certificates/registered/caCertificateID sujet et exécute ces actions, consultez la section just-in-time Enregistrement des certificats clients sur. AWS IoT

Si une erreur ou une exception survient lors de l'enregistrement automatique des certificats clients, AWS IoT envoie des événements ou des messages à vos journaux de CloudWatch connexion. Pour plus d'informations sur la configuration des journaux de votre compte, consultez la CloudWatch documentation Amazon.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Enregistrement manuel d’un certificat client

Gérer les certificats clients