Connessione dei dispositivi client a un dispositivoAWS IoT Greengrass Core con un broker MQTT

Quando si utilizza un broker MQTT sul dispositivoAWS IoT Greengrass Core, il dispositivo utilizza un'autorità di certificazione (CA) del dispositivo principale esclusiva del dispositivo per rilasciare un certificato al broker per effettuare connessioni TLS reciproche con i client.

AWS IoT Greengrassgenererà automaticamente una CA del proprio. La CA del dispositivo principale viene registrataAWS IoT Greengrass quando ilAutenticazione del dispositivo client componente è collegato. La CA del dispositivo principale generata automaticamente è persistente, il dispositivo continuerà a utilizzare la stessa CA fintanto che il componente di autenticazione del dispositivo client è configurato.

Quando il broker MQTT si avvia, richiede un certificato. Il componente di autenticazione del dispositivo client rilascia un certificato X.509 utilizzando la CA del dispositivo principale. Il certificato viene ruotato all'avvio del broker, alla scadenza del certificato o quando le informazioni di connettività come l'indirizzo IP cambiano. Per ulteriori informazioni, consulta Rotazione dei certificati sul broker MQTT locale.

Per connettere un client al broker MQTT, è necessario:

Il dispositivo client deve disporre della CA del dispositivoAWS IoT Greengrass Core. Puoi ottenere questa CA tramite cloud discovery o fornendola manualmente. Per ulteriori informazioni, consulta Utilizzo della propria autorità di certificazione.
Il nome di dominio completo (FQDN) o l'indirizzo IP del dispositivo principale deve essere presente nel certificato del broker emesso dal CA del dispositivo. Puoi assicurarlo utilizzando ilRilevatore IP componente o configurando manualmente l'indirizzo IP. Per ulteriori informazioni, consulta Gestisci gli endpoint principali dei dispositivi.
Il componente di autenticazione del dispositivo client deve consentire al dispositivo client di connettersi al dispositivo principale di Greengrass. Per ulteriori informazioni, consulta Autenticazione del dispositivo client.

Utilizzo della propria autorità di certificazione

Se i tuoi dispositivi client non riescono ad accedere al cloud per scoprire il tuo dispositivo principale, puoi fornire un'autorità di certificazione (CA) del dispositivo principale. Il tuo dispositivo principale Greengrass utilizza il dispositivo principale CA per emettere certificati per il tuo broker MQTT. Dopo aver configurato il dispositivo principale e aver fornito al dispositivo client la relativa CA, i dispositivi client possono connettersi all'endpoint e verificare l'handshake TLS utilizzando la CA del dispositivo principale (CA fornita in proprio o generata automaticamente).

Per configurare ilAutenticazione del dispositivo client componente in modo che utilizzi la CA del dispositivo principale, impostate il parametro dicertificateAuthority configurazione al momento della distribuzione del componente. È necessario fornire i seguenti:

La posizione di un certificato CA del dispositivo principale.
La chiave privata del certificato CA del dispositivo principale.
(Facoltativo) La catena di certificati al certificato principale se la CA del dispositivo principale è una CA intermedia.

Se fornisci una CA del dispositivo principale,AWS IoT Greengrass registra la CA nel cloud.

È possibile archiviare i certificati in un modulo di sicurezza hardware o nel file system. L'esempio seguente mostra unacertificateAuthority configurazione per una CA intermedia archiviata utilizzando HSM/TPM. Nota che la catena di certificati può essere archiviata solo su disco.


  "certificateAuthority": {
      "certificateUri": "pkcs11:object=CustomerIntermediateCA;type=cert",
      "privateKeyUri": "pkcs11:object=CustomerIntermediateCA;type=private"
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

In questo esempio, il parametro dicertificateAuthority configurazione configura il componente di autenticazione del dispositivo client per utilizzare una CA intermedia del file system:


  "certificateAuthority": {
      "certificateUri": "file:///home/ec2-user/creds/intermediateCA.pem",
      "privateKeyUri": "file:///home/ec2-user/creds/intermediateCA.privateKey.pem",
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

Per connettere i dispositivi al tuo dispositivoAWS IoT Greengrass Core, procedi come segue:

Crea un'autorità di certificazione (CA) intermedia per il dispositivo principale di Greengrass utilizzando la CA root della propria. Si consiglia di utilizzare una CA intermedia come best practice di sicurezza.
Fornisci il certificato CA intermedio, la chiave privata e la catena di certificati alla CA principale al dispositivo principale di Greengrass. Per ulteriori informazioni, consulta Autenticazione del dispositivo client. La CA intermedia diventa la CA del dispositivo principale per il dispositivo core Greengrass e il dispositivo registra la CA conAWS IoT Greengrass.
Registra il dispositivo client come qualsiasiAWS IoT cosa. Per ulteriori informazioni, consulta Create a thing object nella Guida per gliAWS IoT Core sviluppatori. Aggiungi la chiave privata, la chiave pubblica, il certificato del dispositivo e il certificato CA root al dispositivo client. La modalità di aggiunta delle informazioni dipende dal dispositivo e dal software in uso.

Una volta configurato il dispositivo, puoi utilizzare il certificato e la catena di chiavi pubbliche per connetterti al dispositivo principale di Greengrass. Il software è responsabile dell'individuazione degli endpoint principali del dispositivo. È possibile impostare manualmente l'endpoint per il dispositivo principale. Per ulteriori informazioni, consulta Gestisci manualmente gli endpoint.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Scegli un broker MQTT

Test delle comunicazioni