Registre um certificado de cliente quando o cliente se conecta ao AWS IoT just-in-time registro (JITR) - AWS IoT Core
Configurar um certificado CA para oferecer suporte ao registro automático (console)Configurar um certificado CA para oferecer suporte ao registro automático (CLI)Configurar a primeira conexão feita por um cliente para registro automático

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registre um certificado de cliente quando o cliente se conecta ao AWS IoT just-in-time registro (JITR)

Você pode configurar um certificado CA para permitir que os certificados do cliente que ele assinou sejam registrados AWS IoT automaticamente na primeira vez em que o cliente se conectar AWS IoT.

Para registrar certificados de cliente quando um cliente se conecta AWS IoT pela primeira vez, você deve habilitar o certificado CA para registro automático e configurar a primeira conexão do cliente para fornecer os certificados necessários.

Configurar um certificado CA para oferecer suporte ao registro automático (console)

Para configurar um certificado CA para oferecer suporte ao registro automático de certificados de clientes usando o AWS IoT console

  1. Faça login no AWS Management Console e abra o AWS IoT console.

  2. No painel de navegação à esquerda, selecione Proteger e CAs.

  3. Na lista de autoridades de certificação, localize aquela para a qual deseja ativar o registro automático e abra o menu de opções usando o ícone de reticências.

  4. No menu de opções, selecione Habilitar o registro automático.

nota

O status do registro automático não é mostrado na lista de autoridades de certificação. Para ver o status do registro automático de uma autoridade de certificação, é necessário abrir a página Detalhes da autoridade de certificação.

Configurar um certificado CA para oferecer suporte ao registro automático (CLI)

Se você já registrou seu certificado CA com AWS IoT, use o update-ca-certificatecomando para definir autoRegistrationStatus o certificado CA comoENABLE.

aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE

Se deseja habilitar autoRegistrationStatus quando registrar o certificado CA, use o comando register-ca-certificate.

aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem

Use o comando describe-ca-certificate para ver o status do certificado CA.

Configurar a primeira conexão feita por um cliente para registro automático

Quando um cliente tenta se conectar AWS IoT pela primeira vez, o certificado do cliente assinado pelo seu certificado CA deve estar presente no cliente durante o handshake do Transport Layer Security (TLS).

Quando o cliente se conectar AWS IoT, use o certificado de cliente que você criou em Criar certificados de AWS IoT cliente ou Criar seus próprios certificados de cliente. AWS IoT reconhece o certificado CA como um certificado CA registrado, registra o certificado do cliente e define seu status como. PENDING_ACTIVATION Isso indica que o certificado de cliente foi registrado automaticamente e está aguardando ativação. O estado do certificado de cliente deve ser ACTIVE para que ele possa ser usado para se conectar ao AWS IoT. Consulte Ativar ou desativar um certificado de cliente para ver mais informações sobre como ativar um certificado de cliente.

nota

Você pode provisionar dispositivos usando o recurso de registro AWS IoT Core just-in-time (JITR) sem precisar enviar toda a cadeia de confiança na primeira conexão dos dispositivos. AWS IoT Core A apresentação do certificado da CA é opcional, mas é necessário que o dispositivo envie a extensão Server Name Indication (SNI) ao se conectar.

Quando registra AWS IoT automaticamente um certificado ou quando um cliente apresenta um certificado no PENDING_ACTIVATION status, AWS IoT publica uma mensagem no seguinte tópico do MQTT:

$aws/events/certificates/registered/caCertificateId

Em que caCertificateId é o ID do certificado CA que emitiu o certificado de cliente.

A mensagem publicada para este tópico tem a seguinte estrutura:

{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}

Você pode criar uma regra que ouça esse tópico e execute algumas ações. Recomendamos que você crie uma regra do Lambda que verifique se o certificado de cliente não está em uma lista de revogação de certificados (CRL), ative o certificado e crie e anexe uma política para o certificado. A política determina quais recursos o cliente pode acessar. Para obter mais informações sobre como criar uma regra Lambda que escuta o $aws/events/certificates/registered/caCertificateID tópico e executa essas ações, consulte just-in-time registro de certificados de cliente em. AWS IoT

Se ocorrer algum erro ou exceção durante o registro automático dos certificados do cliente, AWS IoT envia eventos ou mensagens para seus CloudWatch registros no Logs. Para obter mais informações sobre como configurar os registros da sua conta, consulte a CloudWatch documentação da Amazon.