Kelola sertifikat CA Anda - AWS IoT Core
Buat sertifikat CADaftarkan sertifikat CA AndaNonaktifkan sertifikat CA

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kelola sertifikat CA Anda

Bagian ini menjelaskan tugas-tugas umum untuk mengelola sertifikat otoritas sertifikat (CA) Anda sendiri.

Anda dapat mendaftarkan otoritas sertifikat (CA) AWS IoT jika Anda menggunakan sertifikat klien yang ditandatangani oleh CA yang AWS IoT tidak mengenali.

Jika Anda ingin klien mendaftarkan sertifikat klien mereka secara otomatis AWS IoT ketika mereka pertama kali terhubung, CA yang menandatangani sertifikat klien harus terdaftar AWS IoT. Jika tidak, Anda tidak perlu mendaftarkan sertifikat CA yang menandatangani sertifikat klien.

catatan

Sertifikat CA dapat didaftarkan dalam DEFAULT mode hanya dengan satu akun di Wilayah. Sertifikat CA dapat didaftarkan dalam SNI_ONLY mode oleh beberapa akun di Wilayah.

Buat sertifikat CA

Jika Anda tidak memiliki sertifikat CA, Anda dapat menggunakan alat OpenSSL v1.1.1i untuk membuatnya.

catatan

Anda tidak dapat melakukan prosedur ini di AWS IoT konsol.

Untuk membuat sertifikat CA menggunakan alat OpenSSL v1.1.1i

  1. Hasilkan key pair.

    openssl genrsa -out root_CA_key_filename.key 2048

  2. Gunakan kunci pribadi dari key pair untuk menghasilkan sertifikat CA.

    openssl req -x509 -new -nodes \
    -key root_CA_key_filename.key \
    -sha256 -days 1024 \
    -out root_CA_cert_filename.pem

Daftarkan sertifikat CA Anda

Prosedur ini menjelaskan cara mendaftarkan sertifikat dari otoritas sertifikat (CA) yang bukan CA Amazon. AWS IoT Core menggunakan sertifikat CA untuk memverifikasi kepemilikan sertifikat. Untuk menggunakan sertifikat perangkat yang ditandatangani oleh CA yang bukan CA Amazon, Anda harus mendaftarkan sertifikat CA AWS IoT Core sehingga dapat memverifikasi kepemilikan sertifikat perangkat.

Daftarkan sertifikat CA (konsol)

catatan

Untuk mendaftarkan sertifikat CA di konsol, mulai di konsol di Daftar sertifikat CA. Anda dapat mendaftarkan CA Anda dalam mode Multi-akun dan tanpa perlu memberikan sertifikat verifikasi atau akses ke kunci pribadi. CA dapat didaftarkan dalam mode Multi-akun dengan beberapa akun Akun AWS yang sama Wilayah AWS. Anda dapat mendaftarkan CA Anda dalam mode Single-account dengan memberikan sertifikat verifikasi dan bukti kepemilikan kunci pribadi CA. CA dapat didaftarkan dalam mode Multi-akun satu Akun AWS per satu Wilayah AWS.

Daftarkan sertifikat CA (CLI)

Anda dapat mendaftarkan sertifikat CA dalam DEFAULT mode atau SNI_ONLY mode. CA dapat didaftarkan dalam DEFAULT mode per Akun AWS satu Wilayah AWS. CA dapat didaftarkan dalam SNI_ONLY mode dengan beberapa Akun AWS dalam mode yang sama Wilayah AWS. Untuk informasi selengkapnya tentang mode sertifikat CA, lihat CertificateMode.

catatan

Kami menyarankan Anda mendaftarkan CA dalam SNI_ONLY mode. Anda tidak perlu memberikan sertifikat verifikasi atau akses ke kunci pribadi, dan Anda dapat mendaftarkan CA dengan beberapa Akun AWS di yang sama Wilayah AWS.

Daftarkan sertifikat CA dalam mode SNI_ONLY (CLI) - Direkomendasikan

Prasyarat

Pastikan Anda memiliki yang berikut ini tersedia di komputer Anda sebelum melanjutkan:

  • File sertifikat root CA (direferensikan dalam contoh berikut sebagairoot_CA_cert_filename.pem)

  • OpenSSL v1.1.1i atau yang lebih baru

Untuk mendaftarkan sertifikat CA dalam SNI_ONLY mode menggunakan AWS CLI

  1. Daftarkan sertifikat CA dengan AWS IoT. Menggunakan register-ca-certificate perintah, masukkan nama file sertifikat CA. Untuk informasi selengkapnya, lihat register-ca-certificatedi Referensi AWS CLI Perintah.

    aws iot register-ca-certificate \
    --ca-certificate file://root_CA_cert_filename.pem \
    --certificate-mode SNI_ONLY

    Jika berhasil, perintah ini mengembalikan CertificateId.

  2. Pada titik ini, sertifikat CA telah terdaftar AWS IoT tetapi tidak aktif. Sertifikat CA harus aktif sebelum Anda dapat mendaftarkan sertifikat klien yang telah ditandatangani.

    Langkah ini mengaktifkan sertifikat CA.

    Untuk mengaktifkan sertifikat CA, gunakan update-certificate perintah sebagai berikut. Untuk informasi selengkapnya, lihat sertifikat pembaruan di Referensi Perintah.AWS CLI 

    aws iot update-ca-certificate \
    --certificate-id certificateId \
    --new-status ACTIVE

Untuk melihat status sertifikat CA, gunakan describe-ca-certificate perintah. Untuk informasi selengkapnya, lihat describe-ca-certificatedi Referensi AWS CLI Perintah.

Daftarkan sertifikat CA dalam DEFAULT mode (CLI)

Prasyarat

Pastikan Anda memiliki yang berikut ini tersedia di komputer Anda sebelum melanjutkan:

  • File sertifikat root CA (direferensikan dalam contoh berikut sebagairoot_CA_cert_filename.pem)

  • File kunci pribadi sertifikat CA root (direferensikan dalam contoh berikut sebagairoot_CA_key_filename.key)

  • OpenSSL v1.1.1i atau yang lebih baru

Untuk mendaftarkan sertifikat CA dalam DEFAULT mode menggunakan AWS CLI

  1. Untuk mendapatkan kode registrasi dari AWS IoT, gunakanget-registration-code. Simpan kembali registrationCode untuk digunakan sebagai sertifikat verifikasi kunci pribadi. Common Name Untuk informasi selengkapnya, lihat get-registration-codedi Referensi AWS CLI Perintah.

    aws iot get-registration-code

  2. Buat key pair untuk sertifikat verifikasi kunci pribadi:

    openssl genrsa -out verification_cert_key_filename.key 2048

  3. Buat permintaan penandatanganan sertifikat (CSR) untuk sertifikat verifikasi kunci pribadi. Atur Common Name bidang sertifikat ke yang registrationCode dikembalikan olehget-registration-code.

    openssl req -new \
    -key verification_cert_key_filename.key \
    -out verification_cert_csr_filename.csr

    Anda diminta untuk beberapa informasi, termasuk Common Name untuk sertifikat.

    You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
    State or Province Name (full name) []:
    Locality Name (for example, city) []:
    Organization Name (for example, company) []:
    Organizational Unit Name (for example, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:your_registration_code
    Email Address []:

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:

  4. Gunakan CSR untuk membuat sertifikat verifikasi kunci pribadi:

    openssl x509 -req \
    -in verification_cert_csr_filename.csr \
    -CA root_CA_cert_filename.pem \
    -CAkey root_CA_key_filename.key \
    -CAcreateserial \
    -out verification_cert_filename.pem \
    -days 500 -sha256

  5. Daftarkan sertifikat CA dengan AWS IoT. Masukkan nama file sertifikat CA dan nama file sertifikat verifikasi kunci pribadi ke register-ca-certificate perintah, sebagai berikut. Untuk informasi selengkapnya, lihat register-ca-certificatedi Referensi AWS CLI Perintah.

    aws iot register-ca-certificate \
    --ca-certificate file://root_CA_cert_filename.pem \
    --verification-cert file://verification_cert_filename.pem

    Perintah ini mengembalikan CertificateId, jika berhasil.

  6. Pada titik ini, sertifikat CA telah terdaftar AWS IoT tetapi tidak aktif. Sertifikat CA harus aktif sebelum Anda dapat mendaftarkan sertifikat klien yang telah ditandatangani.

    Langkah ini mengaktifkan sertifikat CA.

    Untuk mengaktifkan sertifikat CA, gunakan update-certificate perintah sebagai berikut. Untuk informasi selengkapnya, lihat sertifikat pembaruan di Referensi Perintah.AWS CLI 

    aws iot update-ca-certificate \
    --certificate-id certificateId \
    --new-status ACTIVE

Untuk melihat status sertifikat CA, gunakan describe-ca-certificate perintah. Untuk informasi selengkapnya, lihat describe-ca-certificatedi Referensi AWS CLI Perintah.

Membuat sertifikat verifikasi CA untuk mendaftarkan sertifikat CA di konsol

catatan

Prosedur ini hanya untuk digunakan jika Anda mendaftarkan sertifikat CA dari AWS IoT konsol.

Jika Anda tidak datang ke prosedur ini dari AWS IoT konsol, mulai proses pendaftaran sertifikat CA di konsol di Daftar sertifikat CA.

Pastikan Anda memiliki yang berikut ini tersedia di komputer yang sama sebelum melanjutkan:

  • File sertifikat root CA (direferensikan dalam contoh berikut sebagairoot_CA_cert_filename.pem)

  • File kunci pribadi sertifikat CA root (direferensikan dalam contoh berikut sebagairoot_CA_key_filename.key)

  • OpenSSL v1.1.1i atau yang lebih baru

Untuk menggunakan antarmuka baris perintah untuk membuat sertifikat verifikasi CA untuk mendaftarkan sertifikat CA Anda di konsol

  1. Ganti verification_cert_key_filename.key dengan nama file kunci sertifikat verifikasi yang ingin Anda buat (misalnya,verification_cert.key). Kemudian jalankan perintah ini untuk menghasilkan key pair untuk sertifikat verifikasi kunci pribadi:

    openssl genrsa -out verification_cert_key_filename.key 2048

  2. Ganti verification_cert_key_filename.key dengan nama file kunci yang Anda buat di langkah 1.

    Ganti verification_cert_csr_filename.csr dengan nama file permintaan penandatanganan sertifikat (CSR) yang ingin Anda buat. Misalnya, verification_cert.csr.

    Jalankan perintah ini untuk membuat file CSR.

    openssl req -new \
    -key verification_cert_key_filename.key \
    -out verification_cert_csr_filename.csr

    Perintah meminta Anda untuk informasi tambahan yang dijelaskan nanti.

  3. Di AWS IoT konsol, dalam wadah sertifikat Verifikasi, salin kode registrasi.

  4. Informasi yang diminta oleh openssl perintah Anda ditampilkan dalam contoh berikut. Kecuali untuk Common Name bidang, Anda dapat memasukkan nilai Anda sendiri atau mengosongkannya.

    Di Common Name bidang, tempel kode registrasi yang Anda salin di langkah sebelumnya.

    You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
    State or Province Name (full name) []:
    Locality Name (for example, city) []:
    Organization Name (for example, company) []:
    Organizational Unit Name (for example, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:your_registration_code
    Email Address []:

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:

    Setelah Anda selesai, perintah membuat file CSR.

  5. Ganti verification_cert_csr_filename.csr dengan yang verification_cert_csr_filename.csr Anda gunakan pada langkah sebelumnya.

    Ganti root_CA_cert_filename.pem dengan nama file sertifikat CA yang ingin Anda daftarkan.

    Ganti root_CA_key_filename.key dengan nama file file kunci pribadi sertifikat CA.

    Ganti verification_cert_filename.pem dengan nama file sertifikat verifikasi yang ingin Anda buat. Misalnya, verification_cert.pem.

    openssl x509 -req \
    -in verification_cert_csr_filename.csr \
    -CA root_CA_cert_filename.pem \
    -CAkey root_CA_key_filename.key \
    -CAcreateserial \
    -out verification_cert_filename.pem \
    -days 500 -sha256

  6. Setelah perintah OpenSSL selesai, Anda harus memiliki file-file ini siap digunakan ketika Anda kembali ke konsol.

    • File sertifikat CA Anda (root_CA_cert_filename.pemdigunakan dalam perintah sebelumnya)

    • Sertifikat verifikasi yang Anda buat pada langkah sebelumnya (verification_cert_filename.pem digunakan dalam perintah sebelumnya)

Nonaktifkan sertifikat CA

Ketika sertifikat otoritas sertifikat (CA) diaktifkan untuk pendaftaran sertifikat klien otomatis, AWS IoT periksa sertifikat CA untuk memastikan CA tersebutACTIVE. Jika sertifikat CA adalahINACTIVE, AWS IoT tidak mengizinkan sertifikat klien untuk didaftarkan.

Dengan menyetel sertifikat CAINACTIVE, Anda mencegah sertifikat klien baru yang dikeluarkan oleh CA agar tidak terdaftar secara otomatis.

catatan

Setiap sertifikat klien terdaftar yang ditandatangani oleh sertifikat CA yang dikompromikan terus berfungsi sampai Anda secara eksplisit mencabut masing-masing sertifikat tersebut.

Nonaktifkan sertifikat CA (konsol)

Untuk menonaktifkan sertifikat CA menggunakan konsol AWS IoT

  1. Masuk ke AWS Management Console dan buka AWS IoT konsol.

  2. Di panel navigasi kiri, pilih Aman, pilih CA.

  3. Dalam daftar otoritas sertifikat, temukan yang ingin Anda nonaktifkan, dan pilih ikon elipsis untuk membuka menu opsi.

  4. Pada menu opsi, pilih Nonaktifkan.

Otoritas sertifikat harus ditampilkan sebagai Tidak Aktif dalam daftar.

catatan

AWS IoT Konsol tidak menyediakan cara untuk mencantumkan sertifikat yang ditandatangani oleh CA yang Anda nonaktifkan. Untuk AWS CLI opsi untuk mencantumkan sertifikat tersebut, lihatNonaktifkan sertifikat CA (CLI).

Nonaktifkan sertifikat CA (CLI)

AWS CLI Ini menyediakan update-ca-certificateperintah untuk menonaktifkan sertifikat CA.

aws iot update-ca-certificate \
    --certificate-id certificateId \
    --new-status INACTIVE

Gunakan list-certificates-by-caperintah untuk mendapatkan daftar semua sertifikat klien terdaftar yang ditandatangani oleh CA yang ditentukan. Untuk setiap sertifikat klien yang ditandatangani oleh sertifikat CA yang ditentukan, gunakan update-certificateperintah untuk mencabut sertifikat klien agar tidak digunakan.

Gunakan describe-ca-certificateperintah untuk melihat status sertifikat CA.