Criação e configuração de domínios gerenciados pelo cliente

As configurações de domínio permitem que você especifique um nome de domínio personalizado totalmente qualificado (FQDN) ao qual se conectar AWS IoT Core. Há muitos benefícios em usar domínios gerenciados pelo cliente (também conhecidos como domínios personalizados): você pode expor seu próprio domínio ou o domínio da sua empresa aos clientes para fins de marca; você pode facilmente alterar seu próprio domínio para apontar para um novo corretor; você pode oferecer suporte à multilocação para atender clientes com domínios diferentes dentro do mesmo Conta da AWS; e você pode gerenciar os detalhes dos seus próprios certificados de servidor, como a autoridade de certificação raiz (CA) usada para assinar o certificado, o algoritmo de assinatura, a profundidade da cadeia de certificados e o ciclo de vida do certificado.

O fluxo de trabalho para definir uma configuração de domínio com um domínio personalizado consiste nos três estágios a seguir.

1. Registrando certificados de servidor em AWS Certificate Manager

2. Criar uma configuração de domínio

3. Criação de DNS registros

Registrando certificados de servidor no gerenciador AWS de certificados

Antes de criar uma configuração de domínio com um domínio personalizado, você deve registrar a cadeia de certificados do servidor em AWS Certificate Manager (ACM). É possível usar os seguintes três tipos de certificados de servidor.

• Certificados públicos gerados pelo ACM

• Certificados externos assinados por uma CA pública

• Certificados externos assinados por uma CA privada

nota

AWS IoT Core considera que um certificado é assinado por uma CA pública se estiver incluído no pacote ca confiável da Mozilla.

Requisitos de certificado

Consulte Pré-requisitos para importar certificados para obter os requisitos de importação de certificados em. ACM Além desses requisitos, o AWS IoT Core adiciona os seguintes requisitos.

• O certificado preliminar deve incluir a extensão x509 v3 do Extended Key Usage com um valor de serverAuth(Autenticação do Servidor TLS Web). Se você solicitar o certificado deACM, essa extensão será adicionada automaticamente.

• A profundidade máxima da cadeia de certificados é de 5 certificados.

• O tamanho máximo da cadeia de certificados é de 16 KB.

• Os algoritmos criptográficos e os tamanhos de chave suportados incluem RSA 2048 bits (RSA_2048) e ECDSA 256 bits (EC_Prime256v1).

Usar um certificado para vários domínios

Se você planeja usar um certificado para cobrir vários subdomínios, use um domínio curinga no campo nome comum (CN) ou Nomes alternativos do assunto (SAN). Por exemplo, use *.iot.example.com para abranger dev.iot.example.com, qa.iot.example.com e prod.iot.example.com. Cada um FQDN exige sua própria configuração de domínio, mas mais de uma configuração de domínio pode usar o mesmo valor curinga. Tanto o CN quanto o SAN devem abranger o FQDN que você deseja usar como domínio personalizado. Se SANs estiverem presentes, o CN é ignorado e SAN deve abranger o FQDN que você deseja usar como domínio personalizado. Essa abrangência pode ser uma correspondência exata ou uma correspondência curinga. Depois que um certificado curinga é validado e registrado em uma conta, outras contas na região são impedidas de criar domínios personalizados que se sobreponham ao certificado.

As seções a seguir descrevem como obter cada tipo de certificado. Cada recurso de certificado exige um Amazon Resource Name (ARN) registrado com ACM o qual você usa ao criar sua configuração de domínio.

ACM-certificados públicos gerados

Você pode gerar um certificado público para seu domínio personalizado usando RequestCertificateAPIo. Quando você gera um certificado dessa forma, ACM valida sua propriedade do domínio personalizado. Para obter mais informações, consulte Solicitar um certificado público no Guia do usuário do AWS Certificate Manager .

Certificados externos assinados por uma CA pública

Se você já tem um certificado de servidor assinado por uma CA pública (uma CA incluída no pacote ca confiável da Mozilla), você pode importar a cadeia de certificados diretamente usando o. ACM ImportCertificateAPI Para saber mais sobre essa tarefa, sobre os pré-requisitos e sobre as exigências de formato do certificado, consulte Importar certificados.

Certificados externos assinados por uma CA privada

Se você já tiver um certificado de servidor assinado por uma CA privada ou autoassinado, poderá usar o certificado para criar sua configuração de domínio, mas também deverá criar um certificado público extra ACM para validar a propriedade do seu domínio. Para fazer isso, registre sua cadeia de certificados de servidor ACM usando ImportCertificateAPIo. Para saber mais sobre essa tarefa, sobre os pré-requisitos e sobre as exigências de formato do certificado, consulte Importar certificados.

Criar um certificado de validação

Depois de importar seu certificado paraACM, gere um certificado público para seu domínio personalizado usando RequestCertificateAPIo. Quando você gera um certificado dessa forma, ACM valida sua propriedade do domínio personalizado. Para obter mais informações, consulte Solicitar um certificado público. Ao criar a configuração de domínio, utilize esse certificado público como certificado de validação.

Criar uma configuração de domínio

Você cria um endpoint configurável em um domínio personalizado usando o. CreateDomainConfigurationAPI Uma configuração de domínio para um domínio personalizado consiste no seguinte:

• domainConfigurationName

  Um nome definido pelo usuário que identifica a configuração de domínio. Os nomes da configuração de domínio que começam com IoT: são reservados para endpoints padrão e não podem ser usados. Além disso, esse valor deve ser exclusivo para você Região da AWS.

• domainName

  O FQDN que seus dispositivos usam para se conectar AWS IoT Core. AWS IoT Core aproveita a TLS extensão de indicação do nome do servidor (SNI) para aplicar configurações de domínio. Os dispositivos devem usar essa extensão ao conectar e transmitir um nome de servidor idêntico ao nome de domínio especificado na configuração de domínio.

• serverCertificateArns

  A ARN da cadeia de certificados do servidor na qual você se registrouACM. AWS IoT Core atualmente oferece suporte a apenas um certificado de servidor.

• validationCertificateArn

  O ARN do certificado público que você gerou ACM para validar a propriedade do seu domínio personalizado. Esse argumento não é necessário se você usar um certificado de servidor assinado ou ACM gerado publicamente.

• defaultAuthorizerName (optional)

  O nome do autorizador personalizado que deve ser usado no endpoint.

• allowAuthorizerOverride

  Um valor booleano que especifica se os dispositivos podem substituir o autorizador padrão especificando um autorizador diferente no cabeçalho da solicitação. HTTP Esse valor será exigido se um valor para defaultAuthorizerName for especificado.

• serviceType

  AWS IoT Core atualmente suporta somente o tipo DATA de serviço. Quando você especificaDATA, AWS IoT retorna um endpoint com um tipo de endpoint de. iot:Data-ATS

• TlsConfig (Opcional)

  Um objeto que especifica a TLS configuração de um domínio. Para obter mais informações, consulte Definindo configurações TLS nas configurações de domínio.

• serverCertificateConfig (Opcional)

  Um objeto que especifica a configuração do certificado do servidor para um domínio. Para obter mais informações, consulte Configuração do certificado do servidor para OCSP grampeamento.

O AWS CLI comando a seguir cria uma configuração de domínio para iot.example.com.

aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" --service-type "DATA" 
--domain-name "iot.example.com" --server-certificate-arns serverCertARN --validation-certificate-arn validationCertArn

nota

Depois de criar sua configuração de domínio, pode levar até 60 minutos até que seus certificados AWS IoT Core de servidor personalizados sejam entregues.

Para obter mais informações, consulte Gerenciar configurações de domínio.

Criação de DNS registros

Depois de registrar sua cadeia de certificados de servidor e criar sua configuração de domínio, crie um DNS registro para que seu domínio personalizado aponte para um AWS IoT domínio. Esse registro deve apontar para um AWS IoT ponto final do tipoiot:Data-ATS. Você pode obter seu endpoint usando o. DescribeEndpointAPI

O AWS CLI comando a seguir mostra como obter seu endpoint.

aws iot describe-endpoint --endpoint-type iot:Data-ATS

Depois de obter seu iot:Data-ATS endpoint, crie um CNAME registro do seu domínio personalizado para esse AWS IoT endpoint. Se você criar vários domínios personalizados no mesmo Conta da AWS, atribua um alias a esse mesmo iot:Data-ATS endpoint.

Solução de problemas

Se você tiver problemas para conectar dispositivos a um domínio personalizado, verifique se ele AWS IoT Core aceitou e aplicou seu certificado de servidor. Você pode verificar AWS IoT Core se aceitou seu certificado usando o AWS IoT Core console ou AWS CLI o.

Para usar o AWS IoT Core console, navegue até a página Configurações e selecione o nome da configuração do domínio. Na seção Detalhes do certificado do servidor, verifique o status e os detalhes do status. Se o certificado for inválido, substitua-o por um certificado que atenda aos requisitos de certificado listados na seção anterior. ACM Se o certificado tiver o mesmoARN, AWS IoT Core será retirado e aplicado automaticamente.

Para verificar o status do certificado usando o AWS CLI, chame DescribeDomainConfigurationAPIe especifique seu nome de configuração de domínio.

nota

Se seu certificado for inválido, AWS IoT Core continuará a fornecer o último certificado válido.

Você pode verificar qual certificado está sendo fornecido em seu endpoint usando o seguinte comando openssl.

openssl s_client -connect custom-domain-name:8883 -showcerts -servername custom-domain-name