View a markdown version of this page

X.509 certificados de cliente - AWS IoT Core
Uso de certificados de X.509 clienteUso de certificados de X.509 cliente en varios Cuenta de AWS s con el registro de varias cuentasLos algoritmos de firma de certificados son compatibles con AWS IoTAlgoritmos clave compatibles con AWS IoT

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

X.509 certificados de cliente

X.509 los certificados permiten AWS IoT autenticar las conexiones de clientes y dispositivos. Los certificados de los clientes deben estar registrados AWS IoT antes de que un cliente pueda comunicarse con AWS IoT ellos. Un certificado de cliente se puede registrar en varios Cuenta de AWS s de la misma región Región de AWS para facilitar el traslado de dispositivos entre Cuenta de AWS los de la misma región. Para obtener más información, consulte Uso de certificados de X.509 cliente en varios Cuenta de AWS s con el registro de varias cuentas.

Se recomienda que cada dispositivo o cliente reciba un certificado único para permitir acciones de administración de clientes precisas, incluida la revocación de certificados. Los dispositivos y los clientes deben ser compatibles con la rotación y la sustitución de certificados para garantizar un buen funcionamiento cuando los certificados caduquen.

Para obtener información sobre el uso de X.509 certificados para admitir varios dispositivos, consulte Aprovisionamiento de dispositivos para revisar las diferentes opciones de administración y aprovisionamiento de certificados AWS IoT compatibles.

AWS IoT admite los siguientes tipos de certificados de X.509 cliente:

  • X.509 certificados generados por AWS IoT

  • X.509 certificados firmados por una entidad emisora de certificados registrada en AWS IoT.

  • X.509 certificados firmados por una CA en la que no está registrada AWS IoT.

En esta sección se describe cómo administrar X.509 los certificados en AWS IoT. Puede usar la AWS IoT consola o AWS CLI realizar estas operaciones de certificación:

Para obtener más información sobre los AWS CLI comandos que realizan estas operaciones, consulte la referencia de AWS IoT CLI.

Uso de certificados de X.509 cliente

X.509 los certificados autentican las conexiones del cliente y del dispositivo. AWS IoT X.509los certificados ofrecen varias ventajas en comparación con otros mecanismos de identificación y autenticación. X.509 los certificados permiten utilizar claves asimétricas con los dispositivos. Por ejemplo, puede grabar las claves privadas en un almacenamiento seguro de un dispositivo para que el material criptográfico confidencial nunca salga del dispositivo. X.509Los certificados proporcionan una autenticación de cliente más sólida que otros esquemas, como el nombre de usuario y la contraseña o los identificadores portadores, ya que la clave privada nunca sale del dispositivo.

AWS IoT autentica los certificados de cliente mediante el modo de autenticación de cliente del protocolo TLS. La compatibilidad con TLS está disponible en numerosos lenguajes de programación y sistemas operativos, y se utiliza generalmente para cifrar datos. En la autenticación de clientes TLS, AWS IoT solicita un certificado de X.509 cliente y valida su estado y lo Cuenta de AWS compara con un registro de certificados. A continuación, pide al cliente que demuestre que es propietario de la clave privada que corresponde a la clave pública contenida en el certificado. AWS IoT exige que los clientes envíen la extensión de indicación del nombre del servidor (SNI) al protocolo Transport Layer Security (TLS). Para obtener más información sobre la configuración de la extensión SNI, consulte Seguridad del transporte en AWS IoT Core.

Para facilitar una conexión segura y coherente del cliente con el AWS IoT núcleo, el certificado de X.509 cliente debe tener lo siguiente:

Puede crear certificados de cliente que utilicen la entidad de certificación Amazon Root y puede utilizar sus propios certificados de cliente firmados por otra entidad de certificación (CA). Para obtener más información sobre el uso de la AWS IoT consola para crear certificados que usen la CA raíz de Amazon, consulteCrear AWS IoT certificados de cliente. Para obtener más información sobre el uso de sus propios X.509 certificados, consulteCreación de sus propios certificados de cliente.

La fecha y la hora en que caducan los certificados firmados por un certificado de CA se establecen al crear el certificado. X.509 los certificados generados antes AWS IoT caducan a medianoche (UTC) del 31 de diciembre de 2049 (T23:59:59Z2049-12-31).

AWS IoT Device Defender puede realizar auditorías en sus dispositivos Cuenta de AWS y en sus dispositivos, de acuerdo con las mejores prácticas comunes de seguridad de IoT. Esto incluye la gestión de las fechas de caducidad de X.509 los certificados firmados por su CA o la CA raíz de Amazon. Para obtener más información sobre la administración de la fecha de vencimiento de un certificado, consulte El certificado de dispositivo está caducando y El certificado de entidad de certificación está caducando.

En el AWS IoT blog oficial, se profundiza en la gestión de la rotación de certificados de dispositivos y las mejores prácticas de seguridad en Cómo gestionar la rotación de certificados de dispositivos de IoT mediante el uso AWS IoT.

Uso de certificados de X.509 cliente en varios Cuenta de AWS s con el registro de varias cuentas

Multi-account el registro permite mover dispositivos entre tus Cuenta de AWS dispositivos en la misma región o en regiones diferentes. Puede registrar, probar y configurar un dispositivo en una cuenta de preproducción y, a continuación, registrar y utilizar el mismo dispositivo y certificado de dispositivo en una cuenta de producción. También puede registrar el certificado de cliente en el dispositivo o los certificados del dispositivo sin una CA en la que esté registrada AWS IoT. Para obtener más información, consulte Registrar un certificado de cliente firmado por una entidad de certificación no registrada (CLI).

nota

Los certificados utilizados para el registro de varias cuentas son compatibles con los tipos de puntos de conexión iot:Data-ATS, iot:Data (heredados), iot:Jobs y iot:CredentialProvider. Para obtener más información sobre los puntos finales de los AWS IoT dispositivos, consulteAWS IoT datos del dispositivo y puntos finales de servicio.

Los dispositivos que utilizan el registro de varias cuentas deben enviar la extensión de indicación del nombre del servidor (SNI) al protocolo Transport Layer Security (TLS) y proporcionar la dirección completa del punto final en el host_name campo cuando se conecten a. AWS IoT AWS IoT utiliza la dirección del punto final host_name para enrutar la conexión a la cuenta correcta. AWS IoT Los dispositivos existentes que no envíen una dirección de punto de conexión válida en host_name seguirán funcionando, pero no podrán utilizar las características que requiere esta información. Para obtener más información acerca de la extensión SNI y para aprender a identificar la dirección del punto de conexión del campo host_name, consulte Seguridad del transporte en AWS IoT Core.

Para utilizar el registro de varias cuentas

  1. Puede registrar los certificados de dispositivo con una entidad de certificación. Puede registrar la CA emisora de certificados en varias cuentas en modo SNI_ONLY y utilizar esa entidad de certificación para registrar el mismo certificado de cliente en varias cuentas. Para obtener más información, consulte Registro de un certificado de entidad de certificación en modo SNI_ONLY (CLI) - Recomendado.

  2. Puede registrar los certificados de dispositivo sin una entidad de certificación. Consulte Registro de un certificado de cliente firmado por una entidad de certificación no registrada (CLI). El registro de una entidad de certificación es opcional. No es necesario que registre la CA con la que firmó los certificados del dispositivo AWS IoT.

Los algoritmos de firma de certificados son compatibles con AWS IoT

AWS IoT admite los siguientes algoritmos de firma de certificados:

  • SHA256WITHRSA

  • SHA384WITHRSA

  • SHA512WITHRSA

  • SHA256 CON RSA Y MGF1 () RSASSA-PSS

  • SHA384 CON RSA Y MGF1 () RSASSA-PSS

  • SHA512 CON RSA Y MGF1 () RSASSA-PSS

  • DSA_WITH_SHA256

  • ECDSA-WITH-SHA256

  • ECDSA-WITH-SHA384

  • ECDSA-WITH-SHA512

Para obtener más información acerca de la autenticación y la seguridad de los certificados, consulte Calidad de la clave del certificado del dispositivoy.

nota

La solicitud de firma de certificado (CSR) debe incluir una clave pública. La clave puede ser una clave RSA con una longitud de al menos 2048 bits o una clave ECC de las curvas NIST, NIST o NIST. P-256 P-384 P-521 Para obtener más información, consulte CreateCertificateFromCsr en la Guía de referencia de la API de AWS IoT .

Algoritmos clave compatibles con AWS IoT

En la siguiente tabla se muestra cómo se admiten los algoritmos de clave:

Algoritmo clave Algoritmo de firma de certificados Versión de TLS ¿Se admite? Yes o No
RSA con un tamaño de clave de al menos 2048 bits Todos TLS 1.2 y TLS 1.3
ECC NIST P-256/P-384/P-521 Todos TLS 1.2 y TLS 1.3
RSA-PSS con un tamaño de clave de al menos 2048 bits Todos TLS 1.2 No
RSA-PSS con un tamaño de clave de al menos 2048 bits Todos TLS 1.3

Para crear un certificado mediante CreateCertificateFromCSR, puede utilizar un algoritmo de clave compatible para generar una clave pública para su CSR. Para registrar su propio certificado mediante RegisterCertificateo RegisterCertificateWithoutCA, puede utilizar un algoritmo de clave compatible para generar una clave pública para el certificado.

Para obtener más información, consulte Security policies.