Conectando dispositivos cliente a um dispositivoAWS IoT Greengrass Core com um corretor MQTT - AWS IoT Greengrass
Como usar usar usar usar usar usar usar usar

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conectando dispositivos cliente a um dispositivoAWS IoT Greengrass Core com um corretor MQTT

Quando você usa um agente MQTT em seu dispositivoAWS IoT Greengrass Core, o dispositivo usa uma autoridade de certificação de dispositivo central (CA) exclusiva do dispositivo para emitir um certificado ao corretor para fazer conexões TLS mútuas com clientes.

AWS IoT Greengrassgerados pelo, ou fornecer o próprio domínio. O dispositivo principal com o qual a CA é registradaAWS IoT Greengrass quando oAutenticação do dispositivo cliente componente é conectado. A CA do dispositivo principal gerada automaticamente é persistente. O dispositivo continuará usando a mesma CA enquanto o componente de autenticação do dispositivo cliente estiver configurado.

Quando o corretor MQTT é iniciado, ele solicita um certificado. O componente de autenticação do dispositivo cliente emite um certificado X.509 usando a CA do dispositivo principal. O certificado é alternado quando o corretor é iniciado, quando o certificado expira ou quando as informações de conectividade, como o endereço IP, mudam. Para obter mais informações, consulte Rotação de certificados no corretor MQTT local.

Para conectar um cliente ao corretor MQTT, você precisa do seguinte domínio:

  • O dispositivo cliente deve ter a CA do dispositivoAWS IoT Greengrass Core. Você pode obter essa CA por meio da descoberta na nuvem ou fornecendo a CA manualmente. Para obter mais informações, consulte Usando sua própria autoridade de certificação.

  • O nome de domínio totalmente qualificado (FQDN) ou o endereço IP do dispositivo principal devem estar presentes no certificado do corretor emitido pela CA do dispositivo principal. Você garante isso usando oDetector IP componente ou configurando manualmente o endereço IP. Para obter mais informações, consulte Gerencie os endpoints principais do dispositivo.

  • O componente de autenticação do dispositivo cliente deve permitir que o dispositivo cliente se conecte ao dispositivo principal do Greengrass. Para obter mais informações, consulte Autenticação do dispositivo cliente.

Usando sua própria autoridade de certificação

Se seus dispositivos cliente não conseguirem acessar a nuvem para descobrir seu dispositivo principal, você poderá fornecer uma autoridade de certificação (CA) de dispositivo principal. Seu dispositivo principal Greengrass usa o dispositivo principal CA para emitir certificados para seu corretor MQTT. Depois de configurar o dispositivo principal e provisionar seu dispositivo cliente com sua CA, seus dispositivos cliente podem se conectar ao endpoint e verificar o handshake do TLS usando a CA do dispositivo principal (CA fornecida pela própria ou gerada automaticamente).

Para configurar oAutenticação do dispositivo cliente componente para usar o CA do dispositivo principal, defina o parâmetro decertificateAuthority configuração ao implantar o componente. Você deve fornecer os seguintes detalhes durante a configuração:

  • A localização de um certificado CA do dispositivo principal.

  • A chave privada do certificado CA do dispositivo principal.

  • (Opcional) A cadeia de certificados para o certificado raiz se a CA do dispositivo principal for uma CA intermediária.

Se você fornecer uma CA de dispositivo principal,AWS IoT Greengrass registra a CA na nuvem.

Você pode armazenar seus certificados em um módulo de segurança de hardware ou no sistema de arquivos. O exemplo a seguir mostra umacertificateAuthority configuração para uma CA intermediária armazenada usando HSM/TPM. Observe que a cadeia de certificados só pode ser armazenada em disco.

  "certificateAuthority": {
      "certificateUri": "pkcs11:object=CustomerIntermediateCA;type=cert",
      "privateKeyUri": "pkcs11:object=CustomerIntermediateCA;type=private"
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

Neste exemplo, o parâmetrocertificateAuthority de configuração configura o componente de autenticação do dispositivo cliente para usar uma CA intermediária do sistema de arquivos:

  "certificateAuthority": {
      "certificateUri": "file:///home/ec2-user/creds/intermediateCA.pem",
      "privateKeyUri": "file:///home/ec2-user/creds/intermediateCA.privateKey.pem",
      "certificateChainUri": "file:///home/ec2-user/creds/certificateChain.pem",
    }

Para conectar os dispositivos ao seu dispositivoAWS IoT Greengrass Core, faça o seguinte:

  1. Crie uma autoridade de certificação (CA) intermediária para o dispositivo principal do Greengrass usando a CA raiz da sua organização. É recomendável usar uma CA intermediária como prática recomendada de segurança.

  2. Forneça o certificado CA intermediário, a chave privada e a cadeia de certificados para sua CA raiz e para o dispositivo principal do Greengrass. Para obter mais informações, consulte Autenticação do dispositivo cliente. A CA intermediária se torna a CA do dispositivo principal do Greengrass, e o dispositivo registra a CA comAWS IoT Greengrass.

  3. Registre o dispositivo cliente como qualquerAWS IoT coisa. Para obter mais informações, consulte Criar um objeto no Guia doAWS IoT Core desenvolvedor. Adicione a chave privada, a chave pública, o certificado do dispositivo e o certificado CA raiz ao seu dispositivo cliente. A forma como você adiciona as informações depende do seu dispositivo e software.

Depois de configurar seu dispositivo, você pode usar o certificado e a cadeia de chaves públicas para se conectar ao dispositivo principal do Greengrass. Seu software é responsável por encontrar os principais terminais do dispositivo. Você pode definir o endpoint manualmente para o dispositivo principal. Para obter mais informações, consulte Gerencie manualmente os endpoints.