Membuat dan mengonfigurasi domain terkelola pelanggan - AWS IoT Core
Mendaftarkan sertifikat server di manajer AWS sertifikatMembuat konfigurasi domainMembuat DNS catatanPemecahan Masalah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat dan mengonfigurasi domain terkelola pelanggan

Konfigurasi domain memungkinkan Anda menentukan nama domain kustom yang memenuhi syarat (FQDN) untuk AWS IoT Core disambungkan. Ada banyak manfaat menggunakan domain yang dikelola pelanggan (juga dikenal sebagai domain khusus): Anda dapat mengekspos domain Anda sendiri atau domain perusahaan Anda sendiri kepada pelanggan untuk tujuan branding; Anda dapat dengan mudah mengubah domain Anda sendiri untuk menunjuk ke broker baru; Anda dapat mendukung multi-tenancy untuk melayani pelanggan dengan domain yang berbeda dalam hal yang sama Akun AWS; dan Anda dapat mengelola detail sertifikat server Anda sendiri, seperti otoritas sertifikat root (CA) yang digunakan untuk menandatangani sertifikat, algoritma tanda tangan, kedalaman rantai sertifikat, dan siklus hidup sertifikat.

Alur kerja untuk mengatur konfigurasi domain dengan domain kustom terdiri dari tiga tahap berikut.

  1. Mendaftarkan Sertifikat Server di AWS Certificate Manager

  2. Membuat Konfigurasi Domain

  3. Membuat DNS Rekaman

Mendaftarkan sertifikat server di manajer AWS sertifikat

Sebelum Anda membuat konfigurasi domain dengan domain kustom, Anda harus mendaftarkan rantai sertifikat server Anda di AWS Certificate Manager (ACM). Anda dapat menggunakan tiga jenis sertifikat server berikut.

catatan

AWS IoT Core menganggap sertifikat ditandatangani oleh CA publik jika disertakan dalam ca-bundle tepercaya Mozilla.

Persyaratan sertifikat

Lihat Prasyarat untuk Mengimpor Sertifikat untuk persyaratan untuk mengimpor sertifikat ke. ACM Selain persyaratan ini, AWS IoT Core tambahkan persyaratan berikut.

  • Sertifikat leaf harus menyertakan ekstensi Extended Key Usage x509 v3 dengan nilai serverAuth(TLSWeb Server Authentication). Jika Anda meminta sertifikat dariACM, ekstensi ini ditambahkan secara otomatis.

  • Kedalaman rantai sertifikat maksimum adalah 5 sertifikat.

  • Ukuran rantai sertifikat maksimum adalah 16KB.

  • Algoritma kriptografi dan ukuran kunci yang didukung meliputi RSA 2048 bit (RSA_2048) dan ECDSA 256 bit (EC_Prime256v1).

Menggunakan satu sertifikat untuk beberapa domain

Jika Anda berencana menggunakan satu sertifikat untuk mencakup beberapa subdomain, gunakan domain wildcard di bidang common name (CN) atau Subject Alternative Names (). SAN Misalnya, gunakan *.iot.example.com untuk menutupi dev.iot.example.com, qa.iot.example.com, dan prod.iot.example.com. Masing-masing FQDN memerlukan konfigurasi domainnya sendiri, tetapi lebih dari satu konfigurasi domain dapat menggunakan nilai wildcard yang sama. Entah CN atau SAN harus mencakup FQDN yang ingin Anda gunakan sebagai domain khusus. Jika SANs ada, CN diabaikan dan SAN harus mencakup FQDN yang ingin Anda gunakan sebagai domain khusus. Cakupan ini bisa berupa kecocokan persis atau pertandingan wildcard. Setelah sertifikat wildcard divalidasi dan didaftarkan ke akun, akun lain di wilayah tersebut diblokir agar tidak membuat domain khusus yang tumpang tindih dengan sertifikat.

Bagian berikut menjelaskan cara mendapatkan setiap jenis sertifikat. Setiap sumber daya sertifikat memerlukan Nama Sumber Daya Amazon (ARN) ACM yang terdaftar dengan yang Anda gunakan saat membuat konfigurasi domain.

ACM-sertifikat publik yang dihasilkan

Anda dapat membuat sertifikat publik untuk domain kustom Anda dengan menggunakan RequestCertificateAPI. Ketika Anda membuat sertifikat dengan cara ini, ACM memvalidasi kepemilikan Anda atas domain kustom. Untuk informasi lebih lanjut, lihat Permintaan Sertifikat Publik dalam Panduan Pengguna AWS Certificate Manager .

Sertifikat eksternal yang ditandatangani oleh CA publik

Jika Anda sudah memiliki sertifikat server yang ditandatangani oleh CA publik (CA yang disertakan dalam ca-bundle tepercaya Mozilla), Anda dapat mengimpor rantai sertifikat langsung ke dalam ACM dengan menggunakan. ImportCertificateAPI Untuk mempelajari lebih lanjut tentang tugas ini dan prasyarat serta persyaratan format sertifikat, lihat Mengimpor Sertifikat.

Sertifikat eksternal yang ditandatangani oleh CA pribadi

Jika Anda sudah memiliki sertifikat server yang ditandatangani oleh CA pribadi atau ditandatangani sendiri, Anda dapat menggunakan sertifikat untuk membuat konfigurasi domain Anda, tetapi Anda juga harus membuat sertifikat publik tambahan ACM untuk memvalidasi kepemilikan domain Anda. Untuk melakukan ini, daftarkan rantai sertifikat server Anda dalam ACM menggunakan file ImportCertificateAPI. Untuk mempelajari lebih lanjut tentang tugas ini dan prasyarat serta persyaratan format sertifikat, lihat Mengimpor Sertifikat.

Membuat sertifikat validasi

Setelah Anda mengimpor sertifikatACM, buat sertifikat publik untuk domain kustom Anda dengan menggunakan RequestCertificateAPI. Ketika Anda membuat sertifikat dengan cara ini, ACM memvalidasi kepemilikan Anda atas domain kustom. Untuk informasi selengkapnya, lihat Meminta Sertifikat Publik. Saat Anda membuat konfigurasi domain, gunakan sertifikat publik ini sebagai sertifikat validasi Anda.

Membuat konfigurasi domain

Anda membuat titik akhir yang dapat dikonfigurasi pada domain kustom dengan menggunakan. CreateDomainConfigurationAPI Konfigurasi domain untuk domain kustom terdiri dari yang berikut:

  • domainConfigurationName

    Nama yang ditentukan pengguna yang mengidentifikasi konfigurasi domain. Nama konfigurasi domain IoT: yang dimulai dengan dicadangkan untuk titik akhir default dan tidak dapat digunakan. Juga, nilai ini harus unik untuk Anda Wilayah AWS.

  • domainName

    FQDNYang digunakan perangkat Anda untuk terhubung AWS IoT Core. AWS IoT Core memanfaatkan TLS ekstensi indikasi nama server (SNI) untuk menerapkan konfigurasi domain. Perangkat harus menggunakan ekstensi ini saat menghubungkan dan meneruskan nama server yang identik dengan nama domain yang ditentukan dalam konfigurasi domain.

  • serverCertificateArns

    Rantai sertifikat server yang Anda daftarkanACM. ARN AWS IoT Core saat ini hanya mendukung satu sertifikat server.

  • validationCertificateArn

    Sertifikat publik yang Anda hasilkan ACM untuk memvalidasi kepemilikan domain kustom Anda. ARN Argumen ini tidak diperlukan jika Anda menggunakan sertifikat server yang ditandatangani secara publik atau ACM yang dibuat secara publik.

  • defaultAuthorizerName (optional)

    Nama otorisasi khusus untuk digunakan pada titik akhir.

  • allowAuthorizerOverride

    Nilai Boolean yang menentukan apakah perangkat dapat mengganti otorisasi default dengan menentukan otorisasi yang berbeda di header permintaan. HTTP Nilai ini diperlukan jika nilai untuk defaultAuthorizerName ditentukan.

  • serviceType

    AWS IoT Core saat ini hanya mendukung jenis DATA layanan. Bila Anda menentukanDATA, AWS IoT mengembalikan endpoint dengan tipe endpoint. iot:Data-ATS

  • TlsConfig(opsional)

    Objek yang menentukan TLS konfigurasi untuk domain. Untuk informasi selengkapnya, lihat Mengkonfigurasi TLS pengaturan dalam konfigurasi domain.

  • serverCertificateConfig(opsional)

    Objek yang menentukan konfigurasi sertifikat server untuk domain. Untuk informasi selengkapnya, lihat Konfigurasi sertifikat server untuk OCSP stapling.

AWS CLI Perintah berikut membuat konfigurasi domain untuk iot.example.com.

aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" --service-type "DATA" 
--domain-name "iot.example.com" --server-certificate-arns serverCertARN --validation-certificate-arn validationCertArn
catatan

Setelah Anda membuat konfigurasi domain, mungkin diperlukan waktu hingga 60 menit hingga AWS IoT Core menyajikan sertifikat server kustom Anda.

Untuk informasi selengkapnya, lihat Mengelola konfigurasi domain.

Membuat DNS catatan

Setelah Anda mendaftarkan rantai sertifikat server Anda dan membuat konfigurasi domain Anda, buat DNS catatan sehingga domain kustom Anda menunjuk ke AWS IoT domain. Catatan ini harus menunjuk ke AWS IoT titik akhir tipeiot:Data-ATS. Anda bisa mendapatkan titik akhir Anda dengan menggunakan. DescribeEndpointAPI

AWS CLI Perintah berikut menunjukkan cara mendapatkan endpoint Anda.

aws iot describe-endpoint --endpoint-type iot:Data-ATS

Setelah Anda mendapatkan iot:Data-ATS titik akhir Anda, buat CNAME catatan dari domain kustom Anda ke titik AWS IoT akhir ini. Jika Anda membuat beberapa domain kustom yang sama Akun AWS, alias mereka ke titik akhir yang sama iot:Data-ATS ini.

Pemecahan Masalah

Jika Anda mengalami kesulitan menghubungkan perangkat ke domain kustom, pastikan bahwa AWS IoT Core telah menerima dan menerapkan sertifikat server Anda. Anda dapat memverifikasi bahwa AWS IoT Core telah menerima sertifikat Anda dengan menggunakan AWS IoT Core konsol atau AWS CLI.

Untuk menggunakan AWS IoT Core konsol, navigasikan ke halaman Pengaturan dan pilih nama konfigurasi domain. Di bagian Detail sertifikat server, periksa detail status dan status. Jika sertifikat tidak valid, ganti ACM dengan sertifikat yang memenuhi persyaratan sertifikat yang tercantum di bagian sebelumnya. Jika sertifikat memiliki yang samaARN, AWS IoT Core akan mengambilnya dan menerapkannya secara otomatis.

Untuk memeriksa status sertifikat dengan menggunakan AWS CLI, panggil DescribeDomainConfigurationAPIdan tentukan nama konfigurasi domain Anda.

catatan

Jika sertifikat Anda tidak valid, AWS IoT Core akan terus melayani sertifikat terakhir yang valid.

Anda dapat memeriksa sertifikat mana yang sedang disajikan di titik akhir Anda dengan menggunakan perintah openssl berikut.

openssl s_client -connect custom-domain-name:8883 -showcerts -servername custom-domain-name