Registra un certificato client quando il client si connette a AWS IoT just-in-time registration () JITR - AWS IoT Core
Configurare un certificato CA per supportare la registrazione automatica (console)Configura un certificato CA per supportare la registrazione automatica (CLI)Configurare la prima connessione da parte di un client per la registrazione automatica

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registra un certificato client quando il client si connette a AWS IoT just-in-time registration () JITR

È possibile configurare un certificato CA per abilitare AWS IoT automaticamente la registrazione dei certificati client con cui ha firmato la registrazione la prima volta che il client si connette AWS IoT.

Per registrare i certificati client quando un client si connette AWS IoT per la prima volta, è necessario abilitare il certificato CA per la registrazione automatica e configurare la prima connessione da parte del client per fornire i certificati richiesti.

Configurare un certificato CA per supportare la registrazione automatica (console)

Per configurare un certificato CA per supportare la registrazione automatica dei certificati client tramite la AWS IoT console

  1. Accedi alla console di AWS gestione e apri la AWS IoT console.

  2. Nel riquadro di navigazione a sinistra, scegli Sicuro, scegli CAs.

  3. Nell'elenco delle autorità di certificazione individuare quella per cui si desidera abilitare la registrazione automatica e aprire il menu delle opzioni utilizzando l'icona con i puntini di sospensione.

  4. Scegliere Enable auto-registration (Abilita registrazione automatica)dal menu delle opzioni.

Nota

Lo stato della registrazione automatica non viene visualizzato nell'elenco delle autorità di certificazione. Per visualizzare lo stato di registrazione automatica di un'autorità di certificazione, è necessario aprire la pagina Details (Dettagli) dell'autorità di certificazione.

Configura un certificato CA per supportare la registrazione automatica (CLI)

Se hai già registrato il certificato CA con AWS IoT, usa il update-ca-certificatecomando per impostare autoRegistrationStatus il certificato CA suENABLE.

aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE

Se si desidera abilitare autoRegistrationStatus quando si registra il certificato CA, utilizzare il comando register-ca-certificate.

aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem

Usare il comando describe-ca-certificate per visualizzare lo stato del certificato CA.

Configurare la prima connessione da parte di un client per la registrazione automatica

Quando un client tenta di connettersi AWS IoT per la prima volta, il certificato client firmato dal certificato CA deve essere presente sul client durante l'handshake di Transport Layer Security (TLS).

Quando il client si connette AWS IoT, utilizza il certificato client creato in Crea certificati AWS IoT client o Crea certificati client personalizzati. AWS IoT riconosce il certificato CA come certificato CA registrato, registra il certificato client e ne imposta lo stato su. PENDING_ACTIVATION Questo significa che il certificato client è stato automaticamente registrato ed è in attesa dell'attivazione. Lo stato del certificato client deve essere ACTIVE prima che possa essere utilizzato per connettersi ad AWS IoT. Vedi Attivare o disattivare un certificato client per informazioni sull'attivazione di un certificato client.

Nota

È possibile effettuare il provisioning dei dispositivi utilizzando la funzionalità di AWS IoT Core just-in-time registrazione (JITR) senza dover inviare l'intera catena di fiducia alla prima connessione dei dispositivi a. AWS IoT Core La presentazione del certificato CA è facoltativa, ma il dispositivo deve inviare l'estensione Server Name Indication (SNI) al momento della connessione.

Quando registra AWS IoT automaticamente un certificato o quando un client presenta un certificato nello PENDING_ACTIVATION stato, AWS IoT pubblica un messaggio sul seguente argomento: MQTT

$aws/events/certificates/registered/caCertificateId

Dove caCertificateId è l'ID del certificato emesso da una CA che ha rilasciato il certificato client.

Il messaggio pubblicato in questo argomento ha la struttura seguente:

{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}

Puoi creare una regola che resti in ascolto in questo argomento ed esegua alcune operazioni. Ti consigliamo di creare una regola Lambda che verifichi che il certificato client non sia presente in un elenco di revoca dei certificati (CRL), attivi il certificato e crei e alleghi una policy al certificato. La policy determina le risorse cui il client può accedere. Per ulteriori informazioni su come creare una regola Lambda che ascolti l'$aws/events/certificates/registered/caCertificateIDargomento ed esegua queste azioni, vedi just-in-time Registrazione dei certificati client su. AWS IoT

Se si verifica un errore o un'eccezione durante la registrazione automatica dei certificati client, AWS IoT invia eventi o messaggi ai registri in CloudWatch Logs. Per ulteriori informazioni sulla configurazione dei log per il tuo account, consulta la CloudWatch documentazione di Amazon.