选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

在客户端连接到注册时 AWS IoT just-in-time 注册客户端证书 (JITR)

PDF
聚焦模式
在客户端连接到注册时 AWS IoT just-in-time 注册客户端证书 (JITR) - AWS IoT Core
配置 CA 证书以支持自动注册(控制台)配置 CA 证书以支持自动注册 (CLI)配置客户端的首次连接以进行自动注册

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

您可以将 CA 证书配置为启用已签名的客户端证书,以便在客户端首次连接时 AWS IoT 自动注册该证书 AWS IoT。

要在客户端首次连接时注册客户端证书,必须启用 CA 证书以进行自动注册,并将客户端的第一个连接配置为提供所需的证书。 AWS IoT

配置 CA 证书以支持自动注册(控制台)

使用 AWS IoT 控制台配置 CA 证书以支持自动注册客户证书

  1. 登录 AWS 管理控制台并打开AWS IoT 控制台

  2. 在左侧导航窗格中,选择 “安全”,选择CAs

  3. 在证书颁发机构列表中,找到要启用自动注册的颁发机构,然后使用省略号图标打开选项菜单。

  4. 在选项菜单上,选择启用自动注册

注意

证书颁发机构列表中不显示自动注册状态。要查看证书颁发机构的自动注册状态,您必须打开证书颁发机构的详细信息页面。

配置 CA 证书以支持自动注册 (CLI)

如果您已经向注册了 CA 证书 AWS IoT,请使用update-ca-certificate命令将 CA 证书设置为autoRegistrationStatusENABLE

aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE

如果您要在注册 CA 证书时启用 autoRegistrationStatus,请使用 register-ca-certificate 命令。

aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem

使用 describe-ca-certificate 命令查看 CA 证书的状态。

配置客户端的首次连接以进行自动注册

当客户端首次尝试 AWS IoT 连接时,在传输层安全 (TLS) 握手期间,由您的 CA 证书签名的客户端证书必须存在于客户端上。

当客户端连接到时 AWS IoT,使用您在创建客户端证书或创建自己的 AWS IoT 客户端证书中创建的客户端证书。 AWS IoT 将 CA 证书识别为已注册的 CA 证书,注册客户端证书,并将其状态设置为PENDING_ACTIVATION。这意味着,已自动注册客户端证书,该证书正在等待激活。客户端证书的状态必须为 ACTIVE,然后才能将其用于连接到 AWS IoT。有关激活客户端证书的信息,请参阅激活或停用客户端证书

注意

您可以使用 AWS IoT Core just-in-time注册 (JITR) 功能配置设备,而不必在设备首次连接时发送整个信任链。 AWS IoT Core可以出示 CA 证书,但连接时设备需要发送服务器名称指示 (SNI) 扩展。

当 AWS IoT 自动注册证书或客户端提供PENDING_ACTIVATION状态为证书时,会向以下 MQTT 主题 AWS IoT 发布一条消息:

$aws/events/certificates/registered/caCertificateId

其中 caCertificateId 是颁发客户端证书的 CA 证书的 ID。

发布到该主题的消息具有以下结构:

{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}

您可以创建一项规则,以侦听此主题并执行一些操作。我们建议您创建一项 Lambda 规则,以验证客户端证书不在证书吊销列表 (CRL) 中,激活该证书,创建策略并将其附加到证书中。该策略将确定客户端能够访问的资源。如果您正在创建的策略需要连接设备的客户端 ID,则可以使用规则的 clientid () 函数来检索客户端 ID。示例规则定义可能如下所示:

SELECT *,
   clientid() as clientid
from $aws/events/certificates/registered/caCertificateId

在此示例中,该规则订阅了 JITR 主题$aws/events/certificates/registered/caCertificateID并使用 clientid () 函数来检索客户端 ID。然后,该规则将客户端 ID 附加到 JITR 有效负载中。有关规则的 clientid () 函数的更多信息,请参阅 client id ()。

有关如何创建监听$aws/events/certificates/registered/caCertificateID主题并执行这些操作的 Lambda 规则的更多信息,请参阅just-in-time 注册客户证书。 AWS IoT

如果在自动注册客户端证书的过程中出现任何错误或异常,则会在日志中 AWS IoT 将事件或消息发送到您的日 CloudWatch 志。有关为您的账户设置日志的更多信息,请参阅 Amazon CloudWatch 文档

本页内容

Related resources

AWS IoT Core API 参考
AWS CLI 的命令 AWS IoT Core
SDKs & 工具 

Related resources

AWS IoT Core API 参考
AWS CLI 的命令 AWS IoT Core
SDKs & 工具 
隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。