Persyaratan Konfigurasi keamanan perangkat keras Praktik penyediaan Cipher suite yang didukung Konfigurasi pembaruan OTA Kompatibilitas mundur Perangkat keras tanpa mendukung PKCS#11 Lihat juga

AWS IoT Greengrass Version 1 memasuki fase umur panjang pada 30 Juni 2023. Untuk informasi selengkapnya, lihat kebijakan AWS IoT Greengrass V1 pemeliharaan. Setelah tanggal ini, tidak AWS IoT Greengrass V1 akan merilis pembaruan yang menyediakan fitur, penyempurnaan, perbaikan bug, atau patch keamanan. Perangkat yang berjalan AWS IoT Greengrass V1 tidak akan terganggu dan akan terus beroperasi dan terhubung ke cloud. Kami sangat menyarankan Anda bermigrasi ke AWS IoT Greengrass Version 2, yang menambahkan fitur baru yang signifikan dan dukungan untuk platform tambahan.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Integrasi keamanan perangkat keras

Fitur ini tersedia untuk AWS IoT Greengrass Core v1.7 dan yang lebih baru.

AWS IoT Greengrass mendukung penggunaan modul keamanan perangkat keras (HSM) melalui antarmuka PKCS #11 untuk penyimpanan aman dan pembongkaran kunci privat. Ini mencegah kunci dari yang terekspos atau terduplikasi dalam perangkat lunak. Kunci privat dapat disimpan dengan aman pada modul perangkat keras, seperti HSMS, Trusted Platform Modules (TPM), atau elemen kriptografi lainnya.

Cari perangkat yang memenuhi syarat untuk fitur ini dalam AWS Partner Katalog Perangkat.

Diagram berikut menunjukkan arsitektur keamanan perangkat keras untuk AWS IoT Greengrass core.

Pada penginstalan standar, AWS IoT Greengrass menggunakan dua kunci privat. Salah satu kunci yang digunakan oleh komponen klien AWS IoT (klien IoT) selama jabat tangan Transport Layer Security (TLS) ketika core Greengrass menghubungkan ke AWS IoT Core. (Kunci ini juga disebut sebagai kunci privat core.) Kunci lainnya digunakan oleh server MQTT lokal, yang mengizinkan perangkat Greengrass untuk berkomunikasi dengan core Greengrass. Jika Anda ingin menggunakan keamanan perangkat keras untuk kedua komponen, Anda dapat menggunakan kunci privat bersama atau kunci privat terpisah. Untuk informasi selengkapnya, lihat Praktik penyediaan untuk AWS IoT Greengrass keamanan perangkat keras.

catatan

Pada penginstalan standar, secrets manager lokal juga menggunakan kunci klien IoT untuk proses enkripsi, tetapi Anda dapat menggunakan kunci privat Anda sendiri. Ini harus menjadi kunci RSA dengan panjang minimum 2048 bit. Untuk informasi selengkapnya, lihat Tentukan kunci privat untuk enkripsi rahasia.

Persyaratan

Sebelum Anda dapat mengonfigurasi keamanan perangkat keras untuk core Greengrass, Anda harus memiliki hal berikut:

Modul keamanan perangkat keras (HSM) yang mendukung konfigurasi kunci privat target Anda untuk klien IoT, server MQTT lokal, dan komponen secrets manager lokal. Konfigurasi dapat mencakup satu, dua, atau tiga kunci privat berbasis perangkat keras, tergantung pada apakah Anda mengonfigurasi komponen untuk berbagi kunci. Untuk informasi lebih lanjut tentang mendukung kunci privat, lihat AWS IoT Greengrass prinsip keamanan inti.
- Untuk kunci RSA: Ukuran kunci RSA-2048 (atau lebih besar) danPKCS #1 v1.5skema tanda tangan.
- Untuk kunci EC: Kurva NIST P-256 atau NIST P-384.
catatan
Cari perangkat yang memenuhi syarat untuk fitur ini dalam AWS Partner Katalog Perangkat.
Pustaka penyedia PKCS#11 yang dapat dimuat saat waktu aktif (menggunakan libdl) dan menyediakan fungsi PKCS#11 ini.
Modul perangkat keras harus dapat diatasi dengan label slot, sebagaimana ditentukan di dalam spesifikasi PKCS#11.
Kunci privat harus dihasilkan dan dimuat pada HSM dengan menggunakan alat penyediaan yang disediakan vendor.
Kunci privat harus dapat diatasi dengan label objek.
Sertifikat perangkat core. Ini adalah sertifikat klien IoT yang sesuai dengan kunci privat.
Jika Anda menggunakan agen pembaruan Greengrass OTA, pustaka pembungkus OpenSSL libp11 PKCS#11 harus diinstal. Untuk informasi selengkapnya, lihat Konfigurasikan dukungan untuk over-the-air pembaruan.

Sebagai tambahan, pastikan bahwa kondisi berikut terpenuhi:

Sertifikat klien IoT yang terkait dengan kunci privat terdaftar di dalam AWS IoT dan diaktifkan. Anda dapat memverifikasi hal ini diAWS IoTkonsol di bawahKelola, perluasSemua perangkat, chooseThingsdan pilihlahSertifikattab untuk hal inti.
Perangkat lunak Core v1.7 AWS IoT Greengrass atau yang lebih baru diinstal pada perangkat core, seperti yang dideskripsikan di dalam Modul 2 dari tutorial Memulai. Versi 1.9 atau yang lebih baru diperlukan untuk menggunakan kunci EC untuk server MQTT.
Sertifikat yang melekat pada core Greengrass. Anda dapat memverifikasi ini dari halaman Kelola untuk hal core dalam konsol AWS IoT tersebut.

catatan

Saat ini, AWS IoT Greengrass tidak mendukung pemuatan sertifikat CA atau sertifikat klien IoT langsung dari HSM. Sertifikat harus dimuat sebagai file teks biasa pada sistem file di lokasi yang dapat dibaca oleh Greengrass.

Konfigurasi keamanan perangkat keras untuk AWS IoT Greengrass core

Keamanan perangkat keras dikonfigurasi dalam file konfigurasi Greengrass. Ini adalah file config.json yang terletak di dalam direktori /greengrass-root/config ini.

catatan

Untuk menjalani proses pengaturan konfigurasi HSM menggunakan implementasi perangkat lunak murni, lihat Modul 7: Mensimulasikan integrasi keamanan perangkat keras.

penting

Konfigurasi simulasi dalam contoh tidak menyediakan manfaat keamanan apa pun. Ini dimaksudkan untuk mengizinkan Anda mempelajari tentang spesifikasi PKCS#11 dan melakukan pengujian awal perangkat lunak Anda jika Anda berencana untuk menggunakan HSM berbasis perangkat keras di masa mendatang.

Untuk mengonfigurasi keamanan perangkat keras di AWS IoT Greengrass, Anda mengedit objek crypto di dalam config.json.

Saat menggunakan keamanan perangkat keras, objek crypto digunakan untuk menentukan path ke sertifikat, kunci privat, dan aset untuk perpustakaan penyedia PKCS#11 pada core, seperti yang ditunjukkan di dalam contoh berikut.


"crypto": {
  "PKCS11" : {
    "OpenSSLEngine" : "/path-to-p11-openssl-engine",
    "P11Provider" : "/path-to-pkcs11-provider-so",
    "slotLabel" : "crypto-token-name",
    "slotUserPin" : "crypto-token-user-pin"
  },
  "principals" : {
    "IoTCertificate" : {
      "privateKeyPath" : "pkcs11:object=core-private-key-label;type=private",
      "certificatePath" : "file:///path-to-core-device-certificate"
    },
    "MQTTServerCertificate" : {
      "privateKeyPath" : "pkcs11:object=server-private-key-label;type=private"
    },
    "SecretsManager" : {
      "privateKeyPath": "pkcs11:object=core-private-key-label;type=private"
    }
  },    
  "caPath" : "file:///path-to-root-ca"

Objek crypto berisi properti berikut:

Bidang	Deskripsi	Catatan
`caPath`	Jalur absolut ke CA root AWS IoT ini.	Harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`. catatan Pastikan bahwa titik akhir Anda sesuai dengan jenis sertifikat Anda.
`PKCS11`
`OpenSSLEngine`	Tidak wajib. Jalur absolut ke file `.so` mesin OpenSSL untuk mengaktifkan mendukung PKCS#11 pada OpenSSL.	Harus berupa jalur ke file pada sistem file. Properti ini diperlukan jika Anda menggunakan agen pembaruan Greengrass OTA dengan keamanan perangkat keras. Untuk informasi selengkapnya, lihat Konfigurasikan dukungan untuk over-the-air pembaruan.
`P11Provider`	Jalur absolut ke perpustakaan libdl-loadable implementasi PKCS#11.	Harus berupa jalur ke file pada sistem file.
`slotLabel`	Slot label yang digunakan untuk mengidentifikasi modul perangkat keras.	Harus sesuai dengan spesifikasi label PKCS#11.
`slotUserPin`	PIN pengguna yang digunakan untuk mengautentikasi core Greengrass ke modul.	Harus memiliki izin yang memadai untuk melakukan C_Sign dengan kunci privat yang dikonfigurasi.
`principals`
`IoTCertificate`	The certificate and private key that the core uses to make requests to AWS IoT.
`IoTCertificate.privateKeyPath`	Jalur ke kunci privat core.	Untuk penyimpanan sistem file, harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`. Untuk penyimpanan HSM, harus jalur RFC 7512 PKCS#11 yang menentukan label objek.
`IoTCertificate .certificatePath`	Jalur absolut untuk sertifikat perangkat core.	Harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`.
`MQTTServerCertificate`	Tidak wajib. Kunci privat yang menggunakan core dalam kombinasi dengan sertifikat untuk bertindak sebagai server MQTT atau gateway.
`MQTTServerCertificate .privateKeyPath`	Jalur ke kunci privat server MQTT lokal.	Gunakan nilai ini untuk menentukan kunci privat Anda sendiri untuk server MQTT lokal. Untuk penyimpanan sistem file, harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`. Untuk penyimpanan HSM, harus jalur RFC 7512 PKCS#11 yang menentukan label objek. Jika properti ini dihilangkan, AWS IoT Greengrass memutar kunci berdasarkan pengaturan rotasi Anda. Jika ditentukan, pelanggan bertanggung jawab untuk memutar kunci.
`SecretsManager`	The private key that secures the data key used for encryption. For more information, see Men-deploy rahasia ke AWS IoT Greengrass core.
`SecretsManager .privateKeyPath`	Jalur ke kunci privat secrets manager lokal.	Hanya kunci RSA yang didukung. Untuk penyimpanan sistem file, harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`. Untuk penyimpanan HSM, harus jalur RFC 7512 PKCS#11 yang menentukan label objek. Kunci privat harus dibuat menggunakan mekanisme padding PKCS#1 v1.5 ini.

Bidang	Deskripsi	Catatan
`caPath`	Jalur absolut ke CA root AWS IoT ini.	Harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`. catatan Pastikan bahwa titik akhir Anda sesuai dengan jenis sertifikat Anda.
`PKCS11`
`OpenSSLEngine`	Tidak wajib. Jalur absolut ke file `.so` mesin OpenSSL untuk mengaktifkan mendukung PKCS#11 pada OpenSSL.	Harus berupa jalur ke file pada sistem file. Properti ini diperlukan jika Anda menggunakan agen pembaruan Greengrass OTA dengan keamanan perangkat keras. Untuk informasi selengkapnya, lihat Konfigurasikan dukungan untuk over-the-air pembaruan.
`P11Provider`	Jalur absolut ke perpustakaan libdl-loadable implementasi PKCS#11.	Harus berupa jalur ke file pada sistem file.
`slotLabel`	Slot label yang digunakan untuk mengidentifikasi modul perangkat keras.	Harus sesuai dengan spesifikasi label PKCS#11.
`slotUserPin`	PIN pengguna yang digunakan untuk mengautentikasi core Greengrass ke modul.	Harus memiliki izin yang memadai untuk melakukan C_Sign dengan kunci privat yang dikonfigurasi.
`principals`
`IoTCertificate`	The certificate and private key that the core uses to make requests to AWS IoT.
`IoTCertificate.privateKeyPath`	Jalur ke kunci privat core.	Untuk penyimpanan sistem file, harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`. Untuk penyimpanan HSM, harus jalur RFC 7512 PKCS#11 yang menentukan label objek.
`IoTCertificate .certificatePath`	Jalur absolut untuk sertifikat perangkat core.	Harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`.
`MQTTServerCertificate`	Tidak wajib. Kunci privat yang menggunakan core dalam kombinasi dengan sertifikat untuk bertindak sebagai server MQTT atau gateway.
`MQTTServerCertificate .privateKeyPath`	Jalur ke kunci privat server MQTT lokal.	Gunakan nilai ini untuk menentukan kunci privat Anda sendiri untuk server MQTT lokal. Untuk penyimpanan sistem file, harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`. Untuk penyimpanan HSM, harus jalur RFC 7512 PKCS#11 yang menentukan label objek. Jika properti ini dihilangkan, AWS IoT Greengrass memutar kunci berdasarkan pengaturan rotasi Anda. Jika ditentukan, pelanggan bertanggung jawab untuk memutar kunci.
`SecretsManager`	The private key that secures the data key used for encryption. For more information, see Men-deploy rahasia ke AWS IoT Greengrass core.
`SecretsManager .privateKeyPath`	Jalur ke kunci privat secrets manager lokal.	Hanya kunci RSA yang didukung. Untuk penyimpanan sistem file, harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`. Untuk penyimpanan HSM, harus jalur RFC 7512 PKCS#11 yang menentukan label objek. Kunci privat harus dibuat menggunakan mekanisme padding PKCS#1 v1.5 ini.

Bidang	Deskripsi	Catatan
`caPath`	Jalur absolut ke CA root AWS IoT ini.	Harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`. catatan Pastikan bahwa titik akhir Anda sesuai dengan jenis sertifikat Anda.
`PKCS11`
`OpenSSLEngine`	Tidak wajib. Jalur absolut ke file `.so` mesin OpenSSL untuk mengaktifkan mendukung PKCS#11 pada OpenSSL.	Harus berupa jalur ke file pada sistem file. Properti ini diperlukan jika Anda menggunakan agen pembaruan Greengrass OTA dengan keamanan perangkat keras. Untuk informasi selengkapnya, lihat Konfigurasikan dukungan untuk over-the-air pembaruan.
`P11Provider`	Jalur absolut ke perpustakaan libdl-loadable implementasi PKCS#11.	Harus berupa jalur ke file pada sistem file.
`slotLabel`	Slot label yang digunakan untuk mengidentifikasi modul perangkat keras.	Harus sesuai dengan spesifikasi label PKCS#11.
`slotUserPin`	PIN pengguna yang digunakan untuk mengautentikasi core Greengrass ke modul.	Harus memiliki izin yang memadai untuk melakukan C_Sign dengan kunci privat yang dikonfigurasi.
`principals`
`IoTCertificate`	The certificate and private key that the core uses to make requests to AWS IoT.
`IoTCertificate.privateKeyPath`	Jalur ke kunci privat core.	Untuk penyimpanan sistem file, harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`. Untuk penyimpanan HSM, harus jalur RFC 7512 PKCS#11 yang menentukan label objek.
`IoTCertificate .certificatePath`	Jalur absolut untuk sertifikat perangkat core.	Harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`.
`MQTTServerCertificate`	Tidak wajib. Kunci privat yang menggunakan core dalam kombinasi dengan sertifikat untuk bertindak sebagai server MQTT atau gateway.
`MQTTServerCertificate .privateKeyPath`	Jalur ke kunci privat server MQTT lokal.	Gunakan nilai ini untuk menentukan kunci privat Anda sendiri untuk server MQTT lokal. Untuk penyimpanan sistem file, harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`. Untuk penyimpanan HSM, harus jalur RFC 7512 PKCS#11 yang menentukan label objek. Jika properti ini dihilangkan, AWS IoT Greengrass memutar kunci berdasarkan pengaturan rotasi Anda. Jika ditentukan, pelanggan bertanggung jawab untuk memutar kunci.
`SecretsManager`	The private key that secures the data key used for encryption. For more information, see Men-deploy rahasia ke AWS IoT Greengrass core.
`SecretsManager .privateKeyPath`	Jalur ke kunci privat secrets manager lokal.	Hanya kunci RSA yang didukung. Untuk penyimpanan sistem file, harus berupa URI file dalam bentuk: `file:///absolute/path/to/file`. Untuk penyimpanan HSM, harus jalur RFC 7512 PKCS#11 yang menentukan label objek. Kunci privat harus dibuat menggunakan mekanisme padding PKCS#1 v1.5 ini.

Praktik penyediaan untuk AWS IoT Greengrass keamanan perangkat keras

Berikut ini adalah praktik penyediaan terkait keamanan dan performa.

Keamanan

Hasilkan kunci privat langsung pada HSM dengan menggunakan generator nomor acak perangkat keras internal.

catatan
Jika Anda mengonfigurasi kunci privat untuk digunakan dengan fitur ini (dengan mengikuti petunjuk yang disediakan oleh vendor perangkat keras), perhatikan bahwa AWS IoT Greengrass saat ini hanya mendukung mekanisme padding PKCS1 v1.5 untuk enkripsi dan dekripsi local secrets. AWS IoT Greengrass tidak mendukung Optimal Asymmetric Encryption Padding (OAEP).
Konfigurasi kunci privat untuk melarang ekspor.
Gunakan alat penyediaan yang disediakan oleh vendor perangkat keras untuk menghasilkan sertifikat permintaan penandatanganan (CSR) menggunakan kunci privat yang dilindungi perangkat keras, lalu gunakan konsol AWS IoT untuk menghasilkan sertifikat klien.

catatan

Praktik tombol berputar tidak berlaku ketika kunci privat dihasilkan pada HSM.

Kinerja

Diagram berikut menunjukkan komponen klien IoT dan server MQTT lokal pada AWS IoT Greengrass core. Jika Anda ingin menggunakan konfigurasi HSM untuk kedua komponen, Anda dapat menggunakan kunci privat yang sama atau kunci privat terpisah. Jika Anda menggunakan kunci terpisah, kunci tersebut harus disimpan di dalam slot yang sama.

catatan

AWS IoT Greengrass tidak memaksakan batasan pada jumlah kunci yang Anda simpan di HSM, sehingga Anda dapat menyimpan kunci privat untuk klien IoT, server MQTT, dan komponen secrets manager. Namun, beberapa vendor HSM mungkin memberlakukan batas pada jumlah kunci yang dapat Anda simpan di dalam slot.

Secara umum, kunci klien IoT tidak digunakan sangat sering karena perangkat lunak core AWS IoT Greengrass mempertahankan koneksi berumur panjang ke cloud. Namun, kunci server MQTT digunakan setiap kali perangkat Greengrass terhubung ke core. Interaksi ini secara langsung memengaruhi performa.

Ketika kunci server MQTT disimpan pada HSM, tingkat di mana perangkat dapat terhubung tergantung pada jumlah operasi tanda tangan RSA per detik yang HSM dapat lakukan. Sebagai contoh, jika HSM membutuhkan waktu 300 milidetik untuk melakukan tanda tangan RSASSA-PKCS1-v1.5 pada kunci privat RSA-2048, maka hanya tiga perangkat yang dapat terhubung ke core Greengrass per detik. Setelah koneksi dibuat, HSM tidak lagi digunakan dan standar kuota untuk AWS IoT Greengrass berlaku.

Untuk memitigasi performa bottleneck, Anda dapat menyimpan kunci privat untuk server MQTT pada sistem file bukan pada HSM. Dengan konfigurasi ini, server MQTT berperilaku seolah-olah keamanan perangkat keras tidak diaktifkan.

AWS IoT Greengrass mendukung beberapa konfigurasi penyimpanan-kunci untuk klien IoT dan komponen server MQTT, sehingga Anda dapat mengoptimalkan untuk persyaratan keamanan dan performa Anda. Tabel berikut mencakup konfigurasi contoh.

Konfigurasi	Kunci IoT	Kunci MQTT	Performa
Kunci bersama HSM	HSM: Kunci A	HSM: Kunci A	Dibatasi oleh HSM atau CPU
Kunci terpisah HSM	HSM: Kunci A	HSM: Kunci B	Dibatasi oleh HSM atau CPU
HSM hanya untuk IoT	HSM: Kunci A	Sistem file: Kunci B	Dibatasi oleh CPU
Warisan	Sistem file: Kunci A	Sistem file: Kunci B	Dibatasi oleh CPU

Untuk mengonfigurasi core Greengrass menggunakan kunci berbasis sistem file untuk server MQTT, hilangkan bagian principals.MQTTServerCertificate dari config.json (atau tentukan path berbasis file ke kunci jika anda tidak menggunakan kunci default yang dihasilkan oleh AWS IoT Greengrass). Objek crypto yang dihasilkan terlihat seperti ini:


"crypto": {
  "PKCS11": {
    "OpenSSLEngine": "...",
    "P11Provider": "...",
    "slotLabel": "...",
    "slotUserPin": "..."
  },
  "principals": {
    "IoTCertificate": {
      "privateKeyPath": "...",
      "certificatePath": "..."
    },      
    "SecretsManager": {
      "privateKeyPath": "..."
    }
  },    
  "caPath" : "..."
}

Chiper suites yang didukung untuk integrasi keamanan perangkat keras

AWS IoT Greengrass mendukung satu set cipher suite ketika core dikonfigurasi untuk keamanan perangkat keras. Ini adalah bagian dari cipher suites yang didukung ketika core dikonfigurasi untuk menggunakan keamanan berbasis file. Untuk informasi selengkapnya, lihat TLS cipher suite mendukung.

catatan

Ketika menghubungkan ke core Greengrass dari perangkat Greengrass melalui jaringan lokal, pastikan untuk menggunakan salah satu cipher suites yang didukung untuk membuat koneksi TLS.

Konfigurasikan dukungan untuk over-the-air pembaruan

Untuk mengaktifkan over-the-air (OTA) pembaruanAWS IoT GreengrassPerangkat lunak inti saat menggunakan keamanan perangkat keras, Anda harus menginstal OpenSC libp11Pustaka pembungkus PKCS #11dan edit file konfigurasi Greengrass. Untuk informasi lebih lanjut tentang pembaruan OS, lihat Perbarui OTA AWS IoT Greengrass perangkat lunak Core.

Hentikan daemon Greengrass.
```
cd /greengrass-root/ggc/core/
sudo ./greengrassd stop
```
catatan
greengrass-root mewakili jalur di mana AWS IoT Greengrass perangkat lunak Core diinstal pada perangkat Anda. Biasanya, ini adalah /greengrass direktori.
Pasang mesin OpenSSL. OpenSSL 1.0 atau 1.1 didukung.
```
sudo apt-get install libengine-pkcs11-openssl
```
Temukan path ke mesin OpenSSL (libpkcs11.so) pada sistem Anda:
1. Dapatkan daftar paket yang diinstal untuk perpustakaan.
```
sudo dpkg -L libengine-pkcs11-openssl
```
  File libpkcs11.so terletak di engines direktori.
2. Salin jalur lengkap ke file (sebagai contoh, /usr/lib/ssl/engines/libpkcs11.so).
Buka file konfigurasi Greengrass. Ini adalah file config.json dalam direktori /greengrass-root/config ini.

Untuk properti OpenSSLEngine ini, masukkan path ke libpkcs11.so file.


{
 "crypto": {
   "caPath" : "file:///path-to-root-ca",
   "PKCS11" : {
     "OpenSSLEngine" : "/path-to-p11-openssl-engine",
     "P11Provider" : "/path-to-pkcs11-provider-so",
     "slotLabel" : "crypto-token-name",
     "slotUserPin" : "crypto-token-user-pin"
    },
    ...
  }
  ...
}

catatan

Jika properti OpenSSLEngine tidak ada di dalam objek PKCS11 ini, maka tambahkan.

Mulai daemon Greengrass.


cd /greengrass-root/ggc/core/
sudo ./greengrassd start

Kompatibilitas mundur dengan versi sebelumnya AWS IoT Greengrass perangkat lunak core

Perangkat lunak core AWS IoT Greengrass dengan mendukung keamanan perangkat keras sepenuhnya kompatibel mundur dengan file config.json yang dihasilkan untuk v1.6 dan sebelumnya. Jika objek crypto tidak ada di dalam file konfigurasi config.json ini, maka AWS IoT Greengrass menggunakan properti coreThing.certPath, coreThing.keyPath, dan coreThing.caPath berbasis file. Kompatibilitas mundur ini berlaku untuk pembaruan Greengrass OTA, yang tidak menimpa konfigurasi berbasis file yang ditentukan di dalam config.json.

Perangkat keras tanpa mendukung PKCS#11

Perpustakaan PKCS #11 biasanya disediakan oleh vendor perangkat keras atau open source. Sebagai contoh, dengan perangkat keras yang sesuai standar (seperti TPM1.2), dimungkinkan untuk menggunakan perangkat lunak sumber terbuka yang ada. Namun, jika perangkat keras Anda tidak memiliki implementasi perpustakaan PKCS#11 yang sesuai, atau jika Anda ingin menulis penyedia PKCS#11 kustom, Anda harus kontak perwakilan Support Korporasi AWS dengan pertanyaan terkait integrasi.

Lihat juga

Panduan Penggunaan Antarmuka Token Kriptografi PKCS #11 Versi 2.40. Diedit oleh John Leiseboer dan Robert Griffin. 16 November 2014. Catatan Komite OASIS 02. http://docs.oasis-open.org/pkcs11/pkcs11-ug/v2.40/cn02/pkcs11-ug-v2.40-cn02.html. Versi terbaru: http://docs.oasis-open.org/pkcs11/pkcs11-ug/v2.40/pkcs11-ug-v2.40.html.
RFC 7512
PKCS #1: Enkripsi RSA Versi 1.5

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Manajemen kunci

Autentikasi dan otorisasi perangkat