独自のクライアント証明書を作成する
AWS IoT は、任意のルートまたは中間認証局 (CA) によって署名されたクライアント証明書をサポートします。AWS IoT は、証明書の所有権を確認するために CA 証明書を使用します。Amazon の CA ではない CA によって署名されたデバイス証明書を使用するには、デバイス証明書の所有権を確認できるように、その CA の証明書を AWS IoT に登録する必要があります。
AWS IoT は、独自の証明書の持ち込み (BYOC) を実現するための複数の方法をサポートしています。
-
まず、クライアント証明書の署名に使用する CA を登録し、次に個々のクライアント証明書を登録します。デバイスやクライアントが最初に AWS IoT に接続したときにそのクライアント証明書を登録する (ジャストインタイムのプロビジョニングとも呼ばれます) 場合、AWS IoT に署名用 CA を登録して自動登録を有効にする必要があります。
-
署名 CA を登録できない場合は、CA なしでクライアント証明書を登録することを選択できます。CA なしで登録されたデバイスの場合、AWS IoT への接続時に Server Name Indication (SNI)
を提示する必要があります。
CA を使用してクライアント証明書を登録するには、階層内の他の CA ではなく、AWS IoT に対して署名 CA を登録する必要があります。
CA 証明書は、リージョン内の 1 つのアカウントでのみ DEFAULT モードで登録できます。CA 証明書は、リージョン内の複数のアカウントで SNI_ONLY モードで登録できます。
X.509 証明書を使用して複数のデバイスをサポートする方法の詳細については、「デバイスプロビジョニング」を参照して、AWS IoT がサポートするさまざまな証明書管理およびプロビジョニングオプションを確認してください。
