AWS IoT クライアント証明書を作成する - AWS IoT Core

AWS IoT クライアント証明書を作成する

AWS IoT は、Amazon ルート認証局 (CA) によって署名されたクライアント証明書を提供します。

このトピックでは、Amazon ルート認証局によって署名されたクライアント証明書を作成し、証明書ファイルをダウンロードする方法について説明します。クライアント証明書ファイルを作成したら、クライアントにインストールする必要があります。

注記

AWS IoT によって提供される各 X.509 クライアント証明書は、証明書の作成時に設定された発行者とサブジェクトの属性を保持します。証明書の属性は、証明書が作成された後にのみイミュータブルです。

AWS IoT コンソールまたは AWS CLI を使用して、Amazon Root 認証局によって署名された AWS IoT 証明書を作成できます。

AWS IoT 証明書を作成する (コンソール)

AWS IoT コンソールを使用して AWS IoT 証明書を作成するには

  1. AWS マネジメントコンソールにサインインし、AWS IoT コンソールを開きます。

  2. ナビゲーションペインで、[安全性] を選択し、[証明書] を選択してから [作成] を選択します。

  3. [1-Click 証明書作成 (推奨)] - [証明書の作成] を選択します。

  4. [証明書が作成されました!] ページで、モノ、パブリックキー、およびプライベートキーのクライアント証明書ファイルを安全な場所にダウンロードします。

    Amazon ルート CA 証明書ファイルも必要であれば、このページにダウンロードできるページへのリンクがあります。

  5. これで、クライアント証明書が作成され、AWS IoT に登録されました。証明書をクライアントで使用する前に、証明書をアクティブ化する必要があります。

    [Activate] (有効化) を選択して、クライアント証明書を今すぐ有効化します。今すぐ証明書を有効化しない場合、クライアント証明書のアクティブ化 (コンソール) に証明書を後で有効化する方法の説明があります。

  6. 証明書にポリシーをアタッチする場合は、[Attach a policy] (ポリシーをアタッチ) を選択します。

    ポリシーを今すぐアタッチしない場合は、[Done] (完了) を選択して完了します。ポリシーは後でアタッチできます。

手順が完了したら、証明書ファイルをクライアントにインストールします。

AWS IoT 証明書を作成する (CLI)

AWS CLI には、Amazon ルート認証局によって署名されたクライアント証明書を作成する create-keys-and-certificate コマンドが用意されています。ただし、このコマンドでは Amazon ルート CA 証明書ファイルはダウンロードされません。Amazon ルート CA 証明書ファイルは、 からダウンロードできますサーバー認証用の CA 証明書

このコマンドは、プライベートキー、パブリックキー、および X.509 証明書ファイルを作成し、AWS IoT で証明書を登録して有効化します。

aws iot create-keys-and-certificate \ --set-as-active \ --certificate-pem-outfile certificate_filename \ --public-key-outfile public_key_filename \ --private-key-outfile private_key_filename

証明書の作成と登録時に証明書を有効化しない場合、このコマンドはプライベートキー、パブリックキー、および X.509 証明書ファイルを作成し、証明書を登録しますが、有効化しません。クライアント証明書のアクティブ化 (CLI) では、証明書を後で有効化する方法について説明します。

aws iot create-keys-and-certificate \ --no-set-as-active \ --certificate-pem-outfile certificate_filename \ --public-key-outfile public_key_filename \ --private-key-outfile private_key_filename

証明書ファイルをクライアントにインストールします。