CA 証明書の登録 - AWS IoT コア


CA 証明書の登録

AWS IoT で AWS IoT を認識しない CA によって署名されたクライアント証明書を使用している場合は、認証局 (CA) の登録が必要になることがあります。

クライアントが最初の接続時に AWS IoT にクライアント証明書を自動的に登録する場合は、クライアント証明書に署名した CA を AWS IoT. に登録する必要があります。それ以外の場合は、クライアント証明書に署名した CA 証明書を登録する必要はありません。


CA 証明書は、リージョン内の 1 つのアカウントでのみ登録できます。

CA 証明書の登録 (コンソール)


開始する前に、ルート CA の証明書ファイルとプライベートキーファイルがあることを確認してください。

この手順では、コマンドラインインターフェイスを使用して OpenSSL v1.1.1i コマンドを実行する必要もあります。

AWS IoT コンソールを使用して CA 証明書を登録するには

  1. AWS マネジメントコンソールにサインインし、AWS IoT コンソール.を開きます。

  2. 左のナビゲーションペインで、[安全性]、[CAs] の順に選択します。Register.

  3. [CA の選択] で、[ Register CA.

  4. [CA 証明書を登録する] で表示される手順に従います。

    ステップ 1~4 は、コマンドラインインターフェイスで実行されます。

    ステップ 5 と 6 では、ステップ 3 と 4 で作成したファイルが必要です。

  5. この証明書を登録するときにアクティブ化する場合は、[CA 証明書を有効にする.] をオンにします。

    CA 証明書が署名されたクライアント証明書を登録する前に、CA 証明書をアクティブにする必要があります。

  6. この証明書を有効にして、この証明書によって署名されたクライアント証明書を自動的に登録する場合は、[デバイス証明書の自動登録を有効化する.] を選択します。

  7. 選択 Register CA certificate をクリックして登録を完了します。

CA 証明書は、認証局のリストに現在のステータスとともに表示されます。

CA 証明書の登録 (CLI)


開始する前に、ルート CA の証明書ファイルとプライベートキーファイルがあることを確認してください。

を使用して CA 証明書を登録するにはAWS CLI

  1. get-registration-code を使用して、AWS IoT. から登録コードを取得します。プライベートキー検証証明書の registrationCode として使用するために返された Common Name を保存します。

    aws iot get-registration-code
  2. プライベートキー検証証明書のキーペアを生成します。

    openssl genrsa -out verification_cert_key_filename 2048
  3. プライベートキー検証証明書の証明書署名リクエスト (CSR) を作成します。証明書の Common Name フィールドを、registrationCode によって返された get-registration-code に設定します。

    openssl req -new \ -key verification_cert_key_filename \ -out verification_cert_csr_filename

    証明書に関するいくつかの情報 (例: Common Name) の入力を求められます。

    You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) []: Locality Name (for example, city) []: Organization Name (for example, company) []: Organizational Unit Name (for example, section) []: Common Name (e.g. server FQDN or YOUR name) []:your_registration_code Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
  4. CSR を使用して、プライベートキー検証証明書を作成します。

    openssl x509 -req \ -in verification_cert_csr_filename \ -CA root_CA_pem_filename \ -CAkey root_CA_key_filename \ -CAcreateserial \ -out verification_cert_pem_filename \ -days 500 -sha256
  5. に CA 証明書を登録します。AWS IoT. CA 証明書のファイル名とプライベートキー検証証明書のファイル名を、register-ca-certificate コマンドに渡します。

    aws iot register-ca-certificate \ --ca-certificate file://root_CA_pem_filename \ --verification-cert file://verification_cert_pem_filename

    このコマンドは を返します。certificateId(成功した場合)。

  6. この時点で、CA 証明書は AWS IoT に登録されていますが、アクティブではありません。CA 証明書が署名されたクライアント証明書を登録する前に、CA 証明書をアクティブにする必要があります。

    このステップにより CA 証明書がアクティブ化されます。

    CLI コマンド update-certificate を使用して、CA 証明書をアクティブ化します。

    aws iot update-ca-certificate \ --certificate-id certificateId \ --new-status ACTIVE

CA 証明書のステータスを表示するには、describe-ca-certificate コマンドを使用します。