Daftarkan sertifikat klien saat klien terhubung ke AWS IoT just-in-time registrasi (JITR) - AWS IoT Core
Konfigurasikan sertifikat CA untuk mendukung pendaftaran otomatis (konsol)Konfigurasikan sertifikat CA untuk mendukung pendaftaran otomatis (CLI)Konfigurasikan koneksi pertama oleh klien untuk pendaftaran otomatis

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Daftarkan sertifikat klien saat klien terhubung ke AWS IoT just-in-time registrasi (JITR)

Anda dapat mengonfigurasi sertifikat CA untuk mengaktifkan sertifikat klien yang telah ditandatangani untuk mendaftar AWS IoT secara otomatis saat pertama kali klien terhubung AWS IoT.

Untuk mendaftarkan sertifikat klien saat klien terhubung AWS IoT untuk pertama kalinya, Anda harus mengaktifkan sertifikat CA untuk pendaftaran otomatis dan mengonfigurasi koneksi pertama oleh klien untuk memberikan sertifikat yang diperlukan.

Konfigurasikan sertifikat CA untuk mendukung pendaftaran otomatis (konsol)

Untuk mengonfigurasi sertifikat CA untuk mendukung pendaftaran sertifikat klien otomatis menggunakan AWS IoT konsol

  1. Masuk ke Konsol AWS Manajemen dan buka AWS IoT konsol.

  2. Di panel navigasi kiri, pilih Aman, pilih CA.

  3. Dalam daftar otoritas sertifikat, temukan yang ingin Anda aktifkan pendaftaran otomatis, dan buka menu opsi dengan menggunakan ikon elipsis.

  4. Pada menu opsi, pilih Aktifkan pendaftaran otomatis.

catatan

Status registrasi otomatis tidak ditampilkan dalam daftar otoritas sertifikat. Untuk melihat status registrasi otomatis otoritas sertifikat, Anda harus membuka halaman Detail otoritas sertifikat.

Konfigurasikan sertifikat CA untuk mendukung pendaftaran otomatis (CLI)

Jika Anda telah mendaftarkan sertifikat CA Anda AWS IoT, gunakan update-ca-certificateperintah untuk mengatur autoRegistrationStatus sertifikat CA keENABLE.

aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE

Jika Anda ingin mengaktifkan autoRegistrationStatus ketika Anda mendaftarkan sertifikat CA, gunakan register-ca-certificateperintah.

aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem

Gunakan describe-ca-certificateperintah untuk melihat status sertifikat CA.

Konfigurasikan koneksi pertama oleh klien untuk pendaftaran otomatis

Ketika klien mencoba untuk terhubung AWS IoT untuk pertama kalinya, sertifikat klien yang ditandatangani oleh sertifikat CA Anda harus ada pada klien selama jabat tangan Transport Layer Security (TLS).

Saat klien terhubung AWS IoT, gunakan sertifikat klien yang Anda buat di Buat sertifikat AWS IoT klien atau Buat sertifikat klien Anda sendiri. AWS IoT mengakui sertifikat CA sebagai sertifikat CA terdaftar, mendaftarkan sertifikat klien, dan menetapkan statusnya. PENDING_ACTIVATION Ini berarti bahwa sertifikat klien terdaftar secara otomatis dan sedang menunggu aktivasi. Status sertifikat klien harus ACTIVE sebelum dapat digunakan untuk terhubung AWS IoT. Lihat Mengaktifkan atau menonaktifkan sertifikat klien untuk informasi tentang mengaktifkan sertifikat klien.

catatan

Anda dapat menyediakan perangkat menggunakan fitur AWS IoT Core just-in-time registrasi (JITR) tanpa harus mengirim seluruh rantai kepercayaan pada koneksi pertama perangkat ke. AWS IoT Core Menyajikan sertifikat CA adalah opsional tetapi perangkat diperlukan untuk mengirim ekstensi Server Name Indication (SNI) ketika mereka terhubung.

Ketika AWS IoT secara otomatis mendaftarkan sertifikat atau ketika klien menyajikan sertifikat dalam PENDING_ACTIVATION status, AWS IoT menerbitkan pesan ke topik MQTT berikut:

$aws/events/certificates/registered/caCertificateId

caCertificateIdDimana ID sertifikat CA yang mengeluarkan sertifikat klien.

Pesan yang dipublikasikan untuk topik ini memiliki struktur sebagai berikut:

{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}

Anda dapat membuat aturan yang mendengarkan topik ini dan melakukan beberapa tindakan. Sebaiknya Anda membuat aturan Lambda yang memverifikasi sertifikat klien tidak ada dalam daftar pencabutan sertifikat (CRL), mengaktifkan sertifikat, dan membuat serta melampirkan kebijakan ke sertifikat. Kebijakan menentukan sumber daya mana yang dapat diakses klien. Untuk informasi selengkapnya tentang cara membuat aturan Lambda yang mendengarkan $aws/events/certificates/registered/caCertificateID topik dan melakukan tindakan ini, lihat just-in-time pendaftaran Sertifikat Klien di. AWS IoT

Jika terjadi kesalahan atau pengecualian selama registrasi otomatis sertifikat klien, AWS IoT kirimkan peristiwa atau pesan ke log Anda di CloudWatch Log. Untuk informasi selengkapnya tentang menyiapkan log untuk akun Anda, lihat CloudWatch dokumentasi Amazon.