Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion de vos certificats d’autorité de certification
Cette section décrit les tâches courantes de gestion de vos propres certificats d'autorité de certification.
Vous pouvez enregistrer votre autorité de certification (CA) auprès de laquelle AWS IoT vous utilisez des certificats clients signés par une autorité de AWS IoT certification non reconnue.
Si vous souhaitez que les clients enregistrent automatiquement leurs certificats clients AWS IoT lors de leur première connexion, l'autorité de certification qui a signé les certificats clients doit être enregistrée auprès de l'autorité de certification AWS IoT. Sinon, vous n'avez pas besoin d'enregistrer le certificat de l'autorité de certification qui a signé les certificats clients.
Note
Un certificat d'autorité de certification peut être enregistré en mode DEFAULT
que par un seul compte dans une région. Un certificat d'autorité de certification peut être enregistré en mode SNI_ONLY
que par plusieurs comptes dans une région.
Rubriques :
Création d’un certificat d’autorité de certification
Si vous ne possédez pas de certificat CA, vous pouvez utiliser les outils Open SSL v1.1.1i
Note
Vous ne pouvez pas exécuter cette procédure dans la AWS IoT console.
Pour créer un certificat CA à l'aide des outils Open SSL v1.1.1i
-
Générez une paire de clés.
openssl genrsa -out
root_CA_key_filename.key
2048 -
Utilisez la clé privée de la paire de clés pour générer un certificat CA.
openssl req -x509 -new -nodes \ -key
root_CA_key_filename.key
\ -sha256 -days 1024 \ -outroot_CA_cert_filename.pem
Enregistrement de votre certificat d’autorité de certification
Ces procédures décrivent comment enregistrer un certificat auprès d'une autorité de certification (CA) autre que l'autorité de certification d'Amazon. AWS IoT Core utilise des certificats CA pour vérifier la propriété des certificats. Pour utiliser des certificats d'appareil signés par une autorité de certification autre que celle d'Amazon, vous devez enregistrer le certificat auprès de l'autorité de certification AWS IoT Core afin qu'elle puisse vérifier la propriété du certificat de l'appareil.
Enregistrement d’un certificat d'autorité de certification (console)
Note
Pour enregistrer un certificat CA dans la console, commencez par enregistrer le certificat CA
Enregistrer un certificat CA (CLI)
Vous pouvez enregistrer un certificat CA en mode DEFAULT
ou en mode SNI_ONLY
. Une autorité de certification peut être enregistrée en DEFAULT
mode une Compte AWS par une Région AWS. Une autorité de certification peut être enregistrée en SNI_ONLY
mode par plusieurs Comptes AWS dans le même mode Région AWS. Pour plus d'informations sur le mode certificat CA, consultez certificateMode.
Note
Nous vous recommandons d'enregistrer une autorité de certification en mode SNI_ONLY
. Vous n'avez pas besoin de fournir de certificat de vérification ni d'accès à la clé privée, et vous pouvez enregistrer l'autorité de certification par plusieurs Comptes AWS fois Région AWS.
Enregistrer un certificat CA en ONLY mode SNI _ (CLI) - Recommandé
Prérequis
Vérifiez que les éléments suivants sont disponibles sur votre ordinateur avant de continuer :
-
Le fichier de certificat de l'autorité de certification racine (référencé dans l'exemple suivant sous le nom
)root_CA_cert_filename.pem
Pour enregistrer un certificat CA en SNI_ONLY
mode à l'aide du AWS CLI
-
Enregistrez le certificat CA auprès de AWS IoT. À l'aide de la commande register-ca-certificate, entrez le nom du fichier du certificat CA. Pour plus d'informations, consultez register-ca-certificate
le manuel de référence des AWS CLI commandes. aws iot register-ca-certificate \ --ca-certificate file://
root_CA_cert_filename.pem
\ --certificate-modeSNI_ONLY
En cas de succès, cette commande renvoie le
certificateId
. -
À ce stade, le certificat CA a été enregistré AWS IoT mais il est inactif. Le certificat de l'autorité de certification doit être actif avant que vous puissiez enregistrer les certificats clients qu'il a signés.
Cette étape active le certificat de l'autorité de certification.
Pour activer le certificat CA, utilisez la commande update-certificate comme suit. Pour plus d'informations, consultez mettre à jour-le certificat
dans la AWS CLI Référence des commandes. aws iot update-ca-certificate \ --certificate-id
certificateId
\ --new-status ACTIVE
Utilisez la commande describe-ca-certificate pour voir le statut du certificat CA. Pour plus d'informations, consultez describe-ca-certificate
Enregistrez un certificat CA en DEFAULT
mode (CLI)
Prérequis
Vérifiez que les éléments suivants sont disponibles sur votre ordinateur avant de continuer :
-
Le fichier de certificat de l'autorité de certification racine (référencé dans l'exemple suivant sous le nom
)root_CA_cert_filename.pem
-
Le fichier de certificat de l'autorité de certification racine (référencé dans l'exemple suivant sous
)root_CA_key_filename.key
Pour enregistrer un certificat CA en DEFAULT
mode à l'aide du AWS CLI
-
Pour obtenir un code d'enregistrement auprès de AWS IoT, utilisezget-registration-code. Enregistrez le
registrationCode
renvoyé à utiliser en tant queCommon Name
du certificat de vérification de clé privée. Pour plus d'informations, consultez get-registration-codele manuel de référence des AWS CLI commandes. aws iot get-registration-code
-
Générez une paire de clés pour le certificat de vérification de clé privée :
openssl genrsa -out
verification_cert_key_filename.key
2048 -
Créez une demande de signature de certificat (CSR) pour le certificat de vérification de clé privée. Dans le champ
Common Name
du certificat, indiquez la valeurregistrationCode
renvoyée par get-registration-code.openssl req -new \ -key
verification_cert_key_filename.key
\ -outverification_cert_csr_filename.csr
Vous êtes invité à entrer certaines informations, notamment le
Common Name
du certificat.You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) []: Locality Name (for example, city) []: Organization Name (for example, company) []: Organizational Unit Name (for example, section) []: Common Name (e.g. server FQDN or YOUR name) []:
your_registration_code
Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: -
Utilisez le CSR pour créer un certificat de vérification de clé privée :
openssl x509 -req \ -in
verification_cert_csr_filename.csr
\ -CAroot_CA_cert_filename.pem
\ -CAkeyroot_CA_key_filename.key
\ -CAcreateserial \ -outverification_cert_filename.pem
\ -days 500 -sha256 -
Enregistrez le certificat CA auprès de AWS IoT. Transmettez le nom de fichier de certificat CA et le nom du fichier de certificat de vérification de clé privée à la commande register-ca-certificate, comme suit. Pour plus d'informations, consultez register-ca-certificate
le manuel de référence des AWS CLI commandes. aws iot register-ca-certificate \ --ca-certificate file://
root_CA_cert_filename.pem
\ --verification-cert file://verification_cert_filename.pem
Cette commande renvoie
certificateId
, en cas de succès. -
À ce stade, le certificat CA a été enregistré AWS IoT mais n'est pas actif. Le certificat CA doit être actif avant que vous puissiez enregistrer les certificats clients qu'il a signés.
Cette étape active le certificat de l'autorité de certification.
Pour activer le certificat CA, utilisez la commande update-certificate comme suit. Pour plus d'informations, consultez mettre à jour-le certificat
dans la AWS CLI Référence des commandes. aws iot update-ca-certificate \ --certificate-id
certificateId
\ --new-status ACTIVE
Utilisez la commande describe-ca-certificate pour voir le statut du certificat CA. Pour plus d'informations, consultez describe-ca-certificate
Créez un certificat de vérification CA pour enregistrer le certificat CA dans la console
Note
Cette procédure est uniquement destinée à être utilisée si vous enregistrez un certificat CA depuis la AWS IoT console.
Si vous n'avez pas accédé à cette procédure depuis la AWS IoT console, lancez le processus d'enregistrement du certificat CA dans la console à l'adresse Enregistrer le certificat CA
Vérifiez que les éléments suivants sont disponibles sur le même ordinateur avant de continuer :
-
Le fichier de certificat de l'autorité de certification racine (référencé dans l'exemple suivant sous le nom
)root_CA_cert_filename.pem
-
Le fichier de certificat de l'autorité de certification racine (référencé dans l'exemple suivant sous
)root_CA_key_filename.key
Pour utiliser l'interface de ligne de commande pour créer un certificat de vérification CA afin d'enregistrer votre certificat CA dans la console
-
Remplacez-le par le nom du fichier clé du certificat de vérification que vous souhaitez créer (par exemple,verification_cert_key_filename.key
verification_cert.key
). Exécutez ensuite cette commande pour générer une paire de clés pour le certificat de vérification de clé privée :openssl genrsa -out
verification_cert_key_filename.key
2048 -
Remplacez
par le nom du fichier de clé que vous avez créé à l'étape 1.verification_cert_key_filename.key
Remplacez-le par le nom du fichier de demande de signature de certificat (CSR) que vous souhaitez créer. Par exemple,verification_cert_csr_filename.csr
verification_cert.csr
.Exécutez cette commande pour créer le CSR fichier.
openssl req -new \ -key
verification_cert_key_filename.key
\ -outverification_cert_csr_filename.csr
La commande vous invite à saisir des informations supplémentaires qui seront expliquées plus loin.
-
Dans la AWS IoT console, dans le conteneur du certificat de vérification, copiez le code d'enregistrement.
-
Les informations que la commande openssl vous demande de saisir sont présentées dans l'exemple suivant. À l'exception du champ
Common Name
, vous pouvez saisir vos propres valeurs ou les laisser vides.Dans le champ
Common Name
, collez le code d'enregistrement que vous avez copié à l'étape précédente.You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) []: Locality Name (for example, city) []: Organization Name (for example, company) []: Organizational Unit Name (for example, section) []: Common Name (e.g. server FQDN or YOUR name) []:
your_registration_code
Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:Une fois que vous avez terminé, la commande crée le CSR fichier.
-
Remplacez la
par laverification_cert_csr_filename.csr
que vous avez utilisée à l'étape précédente.verification_cert_csr_filename.csr
Remplacez
par le nom de fichier du certificat CA que vous souhaitez enregistrer.root_CA_cert_filename.pem
Remplacez
par le nom du fichier de clé privée du certificat CA.root_CA_key_filename.key
Remplacez
par le nom de fichier du certificat de vérification que vous souhaitez créer. Par exemple,verification_cert_filename.pem
verification_cert.pem
.openssl x509 -req \ -in
verification_cert_csr_filename.csr
\ -CAroot_CA_cert_filename.pem
\ -CAkeyroot_CA_key_filename.key
\ -CAcreateserial \ -outverification_cert_filename.pem
\ -days 500 -sha256 -
Une fois la SSL commande Ouvrir terminée, ces fichiers devraient être prêts à être utilisés lorsque vous retournerez dans la console.
-
Votre fichier de certificat CA (
utilisé dans la commande précédente)root_CA_cert_filename.pem
-
Le certificat de vérification que vous avez créé à l'étape précédente (
verification_cert_filename.pem
utilisé dans la commande précédente)
-
Désactivation d'un certificat d'autorité de certification
Lorsqu'un certificat d'autorité de certification (CA) est activé pour l'enregistrement automatique des certificats clients, AWS IoT vérifie le certificat de l'autorité de certification pour s'assurer que l'autorité de certification l'estACTIVE
. Si le certificat CA l'estINACTIVE
, AWS IoT cela n'autorise pas l'enregistrement du certificat client.
En définissant le certificat de l'autorité de certification sur INACTIVE
, vous empêchez l'enregistrement automatique de tout nouveau certificat client émis par l'autorité de certification.
Note
Les certificats clients enregistrés qui ont été signés par le certificat d'autorité de certification compromis continuent de fonctionner jusqu’à ce que vous les révoquiez explicitement.
Désactivation d'un certificat d'autorité de certification (console)
Pour désactiver un certificat d'autorité de certification à l'aide de la console AWS IoT
-
Connectez-vous à la AWS IoT console AWS Management Console et ouvrez-la
. -
Dans le volet de navigation de gauche, choisissez Secure, choisissez CAs.
-
Dans la liste des autorités de certification, recherchez celle que vous souhaitez désactiver et choisissez l'icône de points de suspension pour ouvrir le menu d'options.
-
Dans le menu d'options, choisissez Désactiver.
L'autorité de certification doit apparaître comme Inactive dans la liste.
Note
La AWS IoT console ne permet pas de répertorier les certificats signés par l'autorité de certification que vous avez désactivée. Pour connaître l’option d’ AWS CLI permettant de répertorier ces certificats, veuillez consulter Désactiver un certificat CA () CLI.
Désactiver un certificat CA () CLI
AWS CLI Fournit la update-ca-certificate
aws iot update-ca-certificate \ --certificate-id
certificateId
\ --new-status INACTIVE
Utilisez la commande list-certificates-by-ca
Utilisez la commande describe-ca-certificate