Certificados do cliente X.509 - AWS IoT Core
Usar certificados do cliente X.509Usando certificados de cliente X.509 em vários Conta da AWS s com registro de várias contasAlgoritmos de assinatura de certificados suportados pelo AWS IoTAlgoritmos principais suportados por AWS IoT

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Certificados do cliente X.509

Os certificados X.509 oferecem AWS IoT a capacidade de autenticar conexões de clientes e dispositivos. Os certificados do cliente devem ser registrados AWS IoT antes que o cliente possa se comunicar com AWS IoT. Um certificado de cliente pode ser registrado em vários Conta da AWS s no mesmo Região da AWS para facilitar a movimentação de dispositivos entre seus Conta da AWS s na mesma região. Consulte Usando certificados de cliente X.509 em vários Conta da AWS s com registro de várias contas Para mais informações.

Recomendamos que cada dispositivo ou cliente receba um certificado exclusivo para habilitar ações de gerenciamento de clientes refinadas, incluindo a revogação de certificados. Os dispositivos e os clientes também devem oferecer suporte à rotação e à substituição de certificados para ajudar a garantir uma operação contínua conforme os certificados expiram.

Para obter informações sobre como usar certificados X.509 para oferecer suporte a alguns dispositivos, consulte Provisionamento de dispositivos para revisar as diferentes opções de gerenciamento e provisionamento de certificados compatíveis com o AWS IoT .

AWS IoT suporta esses tipos de certificados de cliente X.509:

  • Certificados X.509 gerados por AWS IoT

  • Certificados X.509 assinados por uma CA registrada com. AWS IoT

  • Certificados X.509 assinados por uma CA que não está registrada no AWS IoT.

Esta seção descreve como gerenciar certificados X.509 no AWS IoT. Você pode usar o AWS IoT console ou AWS CLI realizar estas operações de certificado:

Para obter mais informações sobre os AWS CLI comandos que executam essas operações, consulte a Referência da AWS IoT CLI.

Usar certificados do cliente X.509

Os certificados X.509 autenticam conexões de clientes e dispositivos a. AWS IoT Os certificados X.509 oferecem vários benefícios em relação a outros mecanismos de identificação e autenticação. Os certificados X.509 permitem que as chaves assimétricas sejam usadas com os dispositivos. Por exemplo, é possível gravar chaves privadas em um armazenamento seguro de um dispositivo para que o material criptográfico confidencial nunca saia do dispositivo. Os certificados X.509 fornecem opções mais fortes de autenticação de cliente em outros esquemas, como nome de usuário e senha ou tokens do portador, porque a chave privada nunca deixa o dispositivo.

AWS IoT autentica certificados de cliente usando o modo de autenticação de cliente do protocolo TLS. O suporte do TLS está disponível em muitas linguagens de programação e sistemas operacionais e é comumente usado para a criptografia de dados. Na autenticação de cliente TLS, AWS IoT solicita um certificado de cliente X.509 e valida o status do certificado em Conta da AWS relação a um registro de certificados. Em seguida, desafia o cliente a obter uma prova de propriedade da chave privada que corresponde à chave pública contida no certificado. AWS IoT exige que os clientes enviem a extensão Server Name Indication (SNI) para o protocolo Transport Layer Security (TLS). Para obter mais informações sobre como configurar a extensão SNI, consulte Segurança de transporte em AWS IoT Core.

Para facilitar uma conexão segura e consistente do cliente com o AWS IoT núcleo, um certificado de cliente X.509 deve possuir o seguinte:

Você pode criar certificados de cliente que usam a CA raiz da Amazon e usar seus próprios certificados de cliente assinados por outra autoridade de certificação (CA). Para obter mais informações sobre o uso do AWS IoT console para criar certificados que usam a Amazon Root CA, consulteCrie certificados de AWS IoT cliente. Para obter mais informações sobre como usar seus próprios certificados X.509, consulte Criar seus próprios certificados de cliente.

A data e a hora de quando os certificados assinados por um certificado CA expiram são definidas quando o certificado é criado. Os certificados X.509 gerados pela AWS IoT expiram à meia-noite UTC de 31 de dezembro de 2049 (2049-12-31T 23:59:59 Z).

AWS IoT Device Defender pode realizar auditorias em você Conta da AWS e em dispositivos que oferecem suporte às melhores práticas comuns de segurança de IoT. Isso inclui gerenciar as datas de expiração dos certificados X.509 assinados pela sua CA ou pela CA raiz da Amazon. Para obter mais informações sobre como gerenciar a data de expiração de um certificado, consulte Certificado de dispositivo expirando e Certificado CA expirando.

No AWS IoT blog oficial, um mergulho mais profundo no gerenciamento da rotação de certificados de dispositivos e nas melhores práticas de segurança é explorado em Como gerenciar a rotação de certificados de dispositivos de IoT usando. AWS IoT

Usando certificados de cliente X.509 em vários Conta da AWS s com registro de várias contas

O registro de várias contas possibilita a movimentação de dispositivos entre suas Conta da AWS na mesma região ou em regiões diferentes. Você pode registrar, testar e configurar um dispositivo em uma conta de pré-produção e, em seguida, registrar e usar o mesmo dispositivo e certificado de dispositivo em uma conta de produção. Você também pode registrar o certificado do cliente no dispositivo ou os certificados do dispositivo sem uma CA registrada com AWS IoT. Para obter mais informações, consulte Registrar um certificado de cliente assinado por uma CA não registrada (CLI).

nota

Os certificados usados para registro de várias contas são compatíveis com os tipos de endpoint iot:Data-ATS, iot:Data (legado), iot:Jobs e iot:CredentialProvider. Para obter mais informações sobre endpoints de AWS IoT dispositivos, consulteAWS IoT dados do dispositivo e endpoints de serviço.

Os dispositivos que usam o registro de várias contas devem enviar a extensão Server Name Indication (SNI) para o protocolo Transport Layer Security (TLS) e fornecer o endereço completo do endpoint no host_name campo, quando se conectarem. AWS IoT AWS IoT usa o endereço do endpoint host_name para rotear a conexão para a AWS IoT conta correta. Os dispositivos existentes que não enviarem um endereço de endpoint válido em host_name continuarão a funcionar, mas não poderão usar os recursos que exigem essas informações. Para obter mais informações sobre a extensão SNI e para saber como identificar o endereço de endpoint para o campo host_name, consulte Segurança de transporte em AWS IoT Core.

Como usar o registro de várias contas

  1. Você pode registrar os certificados de dispositivo com uma CA. Você pode registrar a CA de assinatura em várias contas no modo SNI_ONLY e usar essa CA para registrar o mesmo certificado de cliente em várias contas. Para ter mais informações, consulte Registrar um certificado da CA no modo SNI_ONLY (CLI) - Recomendado.

  2. Você pode registrar os certificados de dispositivo sem uma CA. Consulte Registrar um certificado de cliente assinado por uma CA não registrada (CLI). O registro de uma CA é opcional. Você não precisa registrar a CA com a qual assinou os certificados do dispositivo AWS IoT.

Algoritmos de assinatura de certificados suportados pelo AWS IoT

AWS IoT suporta os seguintes algoritmos de assinatura de certificados:

  • SHA256WITHRSA

  • SHA384WITHRSA

  • SHA512WITHRSA

  • SHA256WITHRSAANDMGF1 (RSASSA-PSS)

  • SHA384WITHRSAANDMGF1 (RSASSA-PSS)

  • SHA512WITHRSAANDMGF1 (RSASSA-PSS)

  • DSA_WITH_SHA256

  • ECDSA-WITH-SHA256

  • ECDSA-WITH-SHA384

  • ECDSA-WITH-SHA512

Para obter mais informações sobre autenticação e segurança de certificados, consulte Qualidade da chave do certificado do dispositivo.

nota

A solicitação de assinatura de certificado (CSR) deve incluir uma chave pública. A chave pode ser uma chave RSA com um comprimento de pelo menos 2.048 bits ou uma chave ECC das curvas do NIST P-256, NIST P-384 ou NIST P-521. Para obter mais informações, consulte CreateCertificateFromCsro Guia de referência AWS IoT da API.

Algoritmos principais suportados por AWS IoT

A tabela abaixo mostra como os principais algoritmos são suportados:

Algoritmo de chave algoritmo de assinatura de certificado Versão do TLS Compatível? Yes ou No
RSA com um tamanho de chave de pelo menos 2048 bits Todos TLS 1,2 TLS 1,3 Sim
ETC. NIST P-256/P-384/P-521 Todos TLS 1,2 TLS 1,3 Sim
RSA-PSS com um tamanho de chave de pelo menos 2048 bits Todos TLS 1.2 Não
RSA-PSS com um tamanho de chave de pelo menos 2048 bits Todos TLS 1.3 Sim

Para criar um certificado usando CreateCertificateFromCSR, você pode usar um algoritmo de chave compatível para gerar uma chave pública para sua CSR. Para registrar seu próprio certificado usando RegisterCertificatenossa RegisterCertificateWithoutCA, você pode usar um algoritmo de chave compatível para gerar uma chave pública para o certificado.

Para obter mais informações, consulte Políticas de segurança.