MQTT 브로커를 사용하여 클라이언트 장치를AWS IoT Greengrass 코어 장치에 연결 - AWS IoT Greengrass
고유한 CA 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

MQTT 브로커를 사용하여 클라이언트 장치를AWS IoT Greengrass 코어 장치에 연결

AWS IoT Greengrass코어 디바이스에서 MQTT 브로커를 사용하는 경우 디바이스는 디바이스 고유의 코어 디바이스 인증 기관 (CA) 을 사용하여 클라이언트와의 상호 TLS 연결을 위한 인증서를 브로커에 발급합니다.

AWS IoT Greengrass에서 생성한 핵심 디바이스 CA를 직접 제공할 수 있습니다. 클라이언트 장치 인증구성 요소가AWS IoT Greengrass 연결될 때 코어 디바이스 CA가 등록됩니다. 자동 생성된 코어 디바이스 CA는 영구적이므로 클라이언트 디바이스 인증 구성 요소가 구성된 한 디바이스는 동일한 CA를 계속 사용합니다.

MQTT 브로커가 시작되면 인증서를 요청합니다. 클라이언트 디바이스 인증 구성 요소는 코어 디바이스 CA를 사용하여 X.509 인증서를 발급합니다. 인증서는 브로커가 시작되거나 인증서가 만료되거나 IP 주소와 같은 연결 정보가 변경될 때 교체됩니다. 자세한 정보는 로컬 MQTT 브로커의 인증서 교체을 참조하세요.

클라이언트를 MQTT 브로커에 연결하려면 다음이 필요합니다.

  • 클라이언트 디바이스에는AWS IoT Greengrass 코어 디바이스 CA가 있어야 합니다. 클라우드 검색을 통해 또는 수동으로 CA를 제공하여 이 CA를 가져올 수 있습니다. 자세한 정보는 자체 인증 기관 사용을 참조하세요.

  • 코어 디바이스의 FQDN (정규화된 도메인 이름) 또는 IP 주소가 코어 디바이스 CA에서 발급한 브로커 인증서에 있어야 합니다. IP 감지기구성 요소를 사용하거나 IP 주소를 수동으로 구성하여 이를 확인합니다. 자세한 정보는 코어 디바이스 엔드포인트 관리을 참조하세요.

  • 클라이언트 장치 인증 구성 요소는 클라이언트 장치에 Greengrass 코어 장치에 연결할 수 있는 권한을 부여해야 합니다. 자세한 정보는 클라이언트 장치 인증을 참조하세요.

자체 인증 기관 사용

클라이언트 디바이스가 클라우드에 액세스하여 코어 디바이스를 검색할 수 없는 경우 코어 디바이스 인증 기관 (CA) 을 제공할 수 있습니다. Greengrass 코어 디바이스는 코어 디바이스 CA를 사용하여 MQTT 브로커에 대한 인증서를 발급합니다. 코어 디바이스를 구성하고 클라이언트 디바이스에 CA를 프로비저닝하면 클라이언트 디바이스가 엔드포인트에 연결하고 코어 디바이스 CA (자체 제공 CA 또는 자동 생성 CA) 를 사용하여 TLS 핸드셰이크를 확인할 수 있습니다.

핵심 장치 CA를 사용하도록클라이언트 장치 인증 구성 요소를 구성하려면 구성 요소를 배포할 때certificateAuthority 구성 매개 변수를 설정합니다. 구성 중에 다음 세부 정보를 제공합니다.

  • 코어 디바이스 CA 인증서의 위치.

  • 코어 디바이스 CA 인증서의 개인 키입니다.

  • (선택 사항) 코어 디바이스 CA가 중간 CA인 경우 루트 인증서에 대한 인증서 체인입니다.

코어 디바이스 CA를 제공하는 경우, CA를 클라우드에AWS IoT Greengrass 등록합니다.

인증서를 하드웨어 보안 모듈이나 파일 시스템에 저장할 수 있습니다. 다음 예에서는 HSM/TPM을 사용하여 저장된 중간 CA의certificateAuthority 컨피그레이션을 보여줍니다. 인증서 체인은 디스크에만 저장할 수 있다는 점에 유의하십시오.

  "certificateAuthority": {
      "certificateUri": "pkcs11:object=CustomerIntermediateCA;type=cert",
      "privateKeyUri": "pkcs11:object=CustomerIntermediateCA;type=private"
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

이 예에서certificateAuthority 구성 매개 변수는 파일 시스템의 중간 CA를 사용하도록 클라이언트 장치 인증 구성 요소를 구성합니다.

  "certificateAuthority": {
      "certificateUri": "file:///home/ec2-user/creds/intermediateCA.pem",
      "privateKeyUri": "file:///home/ec2-user/creds/intermediateCA.privateKey.pem",
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

장치를AWS IoT Greengrass 코어 장치에 연결하려면 다음을 수행하십시오.

  1. 조직의 루트 CA를 사용하여 GARENGARENGARESS 코어 디바이스의 CA (인증 기관) 를 생성하십시오. 중간 CA를 보안의 모범 사례로 사용하는 것이 좋습니다.

  2. 루트 CA에 대한 중간 CA 인증서, 개인 키 및 인증서 체인을 Greengrass 코어 디바이스에 제공합니다. 자세한 정보는 클라이언트 장치 인증을 참조하세요. 중간 CA는 Greengrass 코어 디바이스의 코어 디바이스 CA가 되고 디바이스는 CA를AWS IoT Greengrass 등록합니다.

  3. 클라이언트 디바이스를 사물로AWS IoT 등록합니다. 자세한 내용은 AWS IoT Core개발자 안내서의 사물 객체 만들기를 참조하십시오. 프라이빗 키, 퍼블릭 키, 디바이스 인증서 및 루트 CA 인증서를 클라이언트 디바이스에 추가합니다. 정보를 추가하는 방법은 장치 및 소프트웨어에 따라 다릅니다.

디바이스를 구성한 후에는 인증서와 공개 키 체인을 사용하여 Greengrass 코어 디바이스에 연결할 수 있습니다. 소프트웨어는 핵심 장치 엔드포인트를 찾는 역할을 합니다. 코어 디바이스의 엔드포인트를 수동으로 설정할 수 있습니다. 자세한 정보는 엔드포인트를 수동으로 관리합니다. 단원을 참조하세요.