AWS IoT just-in-time クライアントが登録 (JITR) に接続するときにクライアント証明書を登録する。 - AWS IoT Core
自動登録をサポートするための CA 証明書の設定 (コンソール)自動登録をサポートするための CA 証明書の設定 (CLI)自動登録のためのクライアントによる最初の接続の設定します

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IoT just-in-time クライアントが登録 (JITR) に接続するときにクライアント証明書を登録する。

クライアントが初めて接続したときに、 AWS IoT 署名したクライアント証明書が自動的に登録されるように CA 証明書を設定できます。 AWS IoT

クライアントが初めて接続するときにクライアント証明書を登録するには、CA 証明書の自動登録を有効にし、最初の接続で必要な証明書が提供されるようにクライアントを設定する必要があります。 AWS IoT

自動登録をサポートするための CA 証明書の設定 (コンソール)

AWS IoT コンソールを使用してクライアント証明書の自動登録をサポートするように CA 証明書を構成するには

  1. AWS 管理コンソールにサインインし、AWS IoT コンソールを開きます

  2. 左のナビゲーションペインで、[安全性]、[CA] の順に選択します。

  3. 認証局のリストで、自動登録を有効にする認証局を探し、省略記号アイコンを使用してオプションメニューを開きます。

  4. オプションメニューで、[自動登録を有効にする] を選択します。

注記

自動登録ステータスは、認証局の一覧に表示されません。認証局の自動登録ステータスを表示するには、認証局の [詳細] ページを開く必要があります。

自動登録をサポートするための CA 証明書の設定 (CLI)

CA 証明書をにすでに登録している場合は AWS IoT、update-ca-certificateコマンドを使用して CA 証明書をに設定しますautoRegistrationStatusENABLE

aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE

CA 証明書を登録するときに autoRegistrationStatus を有効にする場合は、register-ca-certificate コマンドを使用します。

aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem

CA 証明書のステータスを表示するには、describe-ca-certificate コマンドを使用します。

自動登録のためのクライアントによる最初の接続の設定します

AWS IoT クライアントが初めて接続を試みるときは、トランスポート層セキュリティ (TLS) ハンドシェイクの間、CA 証明書で署名されたクライアント証明書がクライアントに存在している必要があります。

クライアントがに接続するときは AWS IoT、「クライアント証明書の作成」または「AWS IoT 独自のクライアント証明書の作成」で作成したクライアント証明書を使用します。 AWS IoT CA 証明書を登録済み CA 証明書として認識し、クライアント証明書を登録してステータスをに設定します。PENDING_ACTIVATIONこれは、クライアント証明書が自動的に登録され、アクティベーションの待機中という事です。クライアント証明書が ACTIVE 状態になると、 AWS IoTへの接続に使用できるようになります。クライアント証明書の有効化については、「クライアント証明書を有効または無効する」を参照してください。

注記

デバイスの初回接続時にトラストチェーン全体を送信しなくても、 AWS IoT Core just-in-time登録 (JITR) 機能を使用してデバイスをプロビジョニングできます。 AWS IoT Core CA 証明書の提示はオプションですが、[Server Name Indication (SNI)](サーバーネームインディケーション (SNI)) エクステンションを接続する時にそれらを送信するために、そのデバイスが必要です。

AWS IoT 証明書を自動的に登録するか、PENDING_ACTIVATIONクライアントがステータスの証明書を提示すると、次の MQTT AWS IoT トピックにメッセージを公開します。

$aws/events/certificates/registered/caCertificateId

ここで、caCertificateId は、クライアント証明書を発行した CA 認定の ID です。

このトピックに発行されたメッセージには、以下の構造があります。

{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}

このトピックをリッスンし、いくつかのアクションを実行するルールを作成できます。クライアント証明書が証明書失効リスト (CRL) に含まれていないことを確認し、証明書を有効にし、ポリシーを作成して、証明書にアタッチする、Lambda ルールを作成することをお勧めします。ポリシーによって、クライアントがアクセスできるリソースが決まります。$aws/events/certificates/registered/caCertificateIDトピックをリスンしてこれらのアクションを実行する Lambda ルールを作成する方法の詳細については、「just-in-time でのクライアント証明書の登録」を参照してください。 AWS IoT

クライアント証明書の自動登録中にエラーまたは例外が発生した場合、 AWS IoT CloudWatch ログのログにイベントまたはメッセージを送信します。アカウントのログ設定の詳細については、Amazon CloudWatch のドキュメントを参照してください