Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration de la prise en charge des proxys et gestion des magasins de confiance pour AWS IoT SiteWise Edge
Dans AWS IoT SiteWise Edge, configurez et gérez les magasins de confiance afin de configurer la prise en charge de proxy pour vos appareils Edge. Configurez d'abord la configuration du proxy, puis configurez les magasins de confiance. Vous pouvez configurer les magasins de confiance pendant l'installation de la passerelle ou manuellement une fois celle-ci établie.
+ **Proxies** — Facilitez la connectivité entre vos appareils et AWS services périphériques dans divers environnements réseau.
+ **Trust Stores** : sécurisez les connexions en gérant les certificats fiables. Les configurations appropriées vous aident à respecter les politiques de sécurité de votre réseau, à permettre la communication dans des environnements réseau restreints et à optimiser le transfert de données entre les appareils de périphérie et les services cloud.
SiteWise Edge utilise plusieurs magasins de confiance pour différents types de composants, garantissant ainsi un flux de données sécurisé et efficace entre vos appareils Edge et le cloud. Vous pouvez configurer des magasins de confiance et des proxys sur une passerelle existante ou lors du processus d'installation lors de la création d'une nouvelle passerelle.
## Exigences relatives aux configurations de Trust Store et de proxy
Avant de configurer un trust store ou d'installer SiteWise Edge avec des paramètres de proxy, assurez-vous que vous remplissez les conditions requises. Les exigences de mise en œuvre varient en fonction de l'utilisation de vos composants et de vos exigences fonctionnelles.
**Exigences relatives à l'assistance par proxy**
+ URL de votre serveur proxy. L'URL doit inclure les informations utilisateur, le numéro de port de l'hôte. Par exemple, `scheme://[userinfo@]host[:port]`.
+ `scheme`— Doit être HTTP ou HTTPS
+ (Facultatif) `userinfo` — Informations sur le nom d'utilisateur et le mot de passe
+ `host`— Le nom d'hôte ou l'adresse IP du serveur proxy
+ `port`— Le numéro de port
+ Liste d'adresses permettant de contourner le proxy.
+ (Facultatif) Le fichier de certificat CA du proxy si vous utilisez un proxy HTTPS avec un certificat auto-signé.
**Exigences du Trust Store**
+ Pour bénéficier de toutes les fonctionnalités du pack de traitement des données avec le proxy HTTPS, vous devez mettre à jour les trois magasins de confiance.
+ Si vous utilisez uniquement le collecteur IoT SiteWise OPC UA et l' SiteWise éditeur IoT, mettez à jour les certificats AWS IoT Greengrass Core et Java Trust Stores vers la dernière version.
## Bonnes pratiques pour les configurations Edge de Trust Store et de serveur proxy
Pour une maintenance continue et pour maintenir le plus haut niveau de sécurité dans votre environnement périphérique :
+ Vérifiez et mettez à jour régulièrement les paramètres du proxy afin de les aligner sur les exigences de sécurité de votre réseau.
+ Surveillez la connectivité de la passerelle et le flux de données pour garantir une communication proxy appropriée
+ Gérez et mettez à jour les magasins de confiance conformément aux politiques de gestion des certificats de votre organisation
+ Vous pouvez mettre en œuvre et suivre nos meilleures pratiques recommandées pour sécuriser les communications dans les environnements périphériques, telles que :
+ Documentez les configurations de votre proxy et de votre magasin de confiance pour une visibilité opérationnelle
+ Suivez les pratiques de sécurité de votre organisation pour la gestion des informations d'identification
Ces pratiques permettent de garantir la sécurité et la fiabilité des opérations de vos passerelles SiteWise Edge tout en restant conformes à vos politiques de sécurité générales.
# Configurer les paramètres du proxy lors de l'installation de la passerelle AWS IoT SiteWise Edge
Vous pouvez configurer AWS IoT SiteWise Edge pour qu'il fonctionne avec un serveur proxy lors de l'installation de la passerelle. Le script d'installation prend en charge les proxys HTTP et HTTPS et peut configurer automatiquement des magasins de confiance pour des connexions proxy sécurisées.
Lorsque vous exécutez le script d'installation avec les paramètres du proxy, celui-ci exécute plusieurs tâches importantes :
+ Valide le format et les paramètres de l'URL du proxy pour s'assurer qu'ils sont correctement spécifiés.
+ Télécharge et installe les dépendances requises via le proxy configuré.
+ Si un certificat d'autorité de certification proxy est fourni, il est ajouté au certificat d'autorité de certification AWS IoT Greengrass racine et importé dans Java KeyStore.
+ Configure AWS IoT Greengrass (utilisé par SiteWise Edge) pour utiliser le proxy pour toutes les connexions sortantes.
+ Termine l'installation d' SiteWise Edge avec les configurations de proxy et de trust store appropriées.
**Pour configurer les paramètres du proxy lors de l'installation du logiciel de passerelle**
1. Créez une passerelle SiteWise Edge. Pour plus d’informations, consultez [Créez une passerelle SiteWise Edge auto-hébergée](create-gateway-ggv2.md) et [Installez le logiciel de passerelle AWS IoT SiteWise Edge sur votre appareil local](install-gateway-software-on-local-device.md).
1. Exécutez le script d'installation avec les paramètres de proxy appropriés à votre environnement. Remplacez les espaces réservés par vos informations de proxy spécifiques
Remplacez chacun des éléments suivants :
+ `-p`, `--proxy-url` — URL du serveur proxy. L'URL doit être l'une `http` ou l'autre`https`.
+ `-n`, `--no-proxy` — Une liste d'adresses séparées par des virgules pour contourner le proxy.
+ (Facultatif)`-c`, `--proxy-ca-cert` — Chemin d'accès au fichier de certificat CA du proxy.
+ (Facultatif)`-j`, `--javastorepass` — Le KeyStore mot de passe Java. Le mot de passe par défaut est `changeit`.
------
#### [ Linux ]
Pour les systèmes Linux, utilisez la structure de commande suivante :
```
sudo ./install.sh -p proxy-url -n no-proxy-addresses [-c proxy-ca-cert-path] [-j javastorepass]
```
------
#### [ Windows ]
Pour les Microsoft Windows systèmes qui l'utilisent PowerShell, utilisez cette structure de commande :
```
.\install.ps1 -ProxyUrl proxy-url -NoProxyAddresses no-proxy-addresses [-ProxyCaCertPath proxy-ca-cert-path] [-JavaStorePass javastorepass]
```
------
## Résolution des problèmes lors de l'installation activée par proxy
Pour plus d'informations sur la résolution des problèmes liés au trust store liés à une passerelle SiteWise Edge, consultez[Problèmes d'installation avec proxy](troubleshooting-gateway.md#troubleshoot-proxy-during-installation).
# Configurer manuellement les magasins de confiance pour la prise en charge des proxys HTTPS dans AWS IoT SiteWise Edge
Lorsque vous configurez des composants AWS IoT SiteWise Edge pour qu'ils se connectent via un proxy HTTPS, ajoutez le certificat du serveur proxy aux magasins de confiance appropriés. SiteWise Edge utilise plusieurs magasins de confiance pour sécuriser les communications. Il existe trois magasins de confiance et leur utilisation dépend du type de composant SiteWise Edge utilisé dans l'implémentation de votre passerelle.
Les magasins de confiance sont automatiquement mis à jour pendant le processus d'installation lorsque les paramètres de proxy sont fournis.
+ [Configuration d'un magasin de confiance pour les composants AWS IoT Greengrass principaux](#manage-trust-stores-proxy_greengrass-core-components)— Le certificat CA AWS IoT Greengrass racine est inclus dans les magasins de confiance pour vérifier l'authenticité des AWS services.
Ce trust store permet aux AWS IoT Greengrass composants de communiquer en toute sécurité avec les AWS services via le proxy tout en vérifiant l'authenticité de ces services.
+ [Configuration d'un magasin de confiance pour les composants basé sur Java](#manage-trust-stores-proxy_java-based-components)— Le Java KeyStore (JKS) est le principal magasin de confiance utilisé par les composants Java pour SSL/TLS les connexions.
Les applications Java s'appuient sur le JKS pour établir des connexions sécurisées. Par exemple, si vous utilisez l' SiteWise éditeur IoT ou le collecteur IoT SiteWise OPC UA, qui sont basés sur Java, vous devez configurer ce trust store. Cela garantit que ces composants peuvent communiquer en toute sécurité via le proxy HTTPS lors de l'envoi de données vers le cloud ou lors de la collecte de données à partir de serveurs OPC UA.
+ [Configuration du magasin de confiance des composants au niveau du système](#manage-trust-stores-proxy_system-level-components)— Lorsque vous utilisez des proxys HTTPS, leurs certificats doivent être ajoutés aux magasins de confiance appropriés pour permettre des connexions sécurisées.
Lorsque vous utilisez des proxys HTTPS, leurs certificats doivent être ajoutés aux magasins de confiance appropriés pour permettre des connexions sécurisées. Cela est nécessaire car les composants au niveau du système, souvent écrits dans des langages tels que Rust ou Go, s'appuient sur le trust store du système plutôt que sur le JKS de Java. Par exemple, si vous utilisez des utilitaires système qui doivent communiquer via le proxy (pour les mises à jour logicielles ou la synchronisation de l'heure, par exemple), vous devez configurer le trust store au niveau du système. Cela garantit que ces composants et utilitaires peuvent établir des connexions sécurisées via le proxy.
## Configuration d'un magasin de confiance pour les composants AWS IoT Greengrass principaux
Pour les fonctions AWS IoT Greengrass principales qui utilisent l'autorité de certification racine d'Amazon :
1. Localisez le fichier de certificat à l'adresse `/greengrass/v2/AmazonRootCA1.pem`
1. Ajoutez le certificat racine du proxy HTTPS (auto-signé) à ce fichier.
```
-----BEGIN CERTIFICATE-----
MIIEFTCCAv2gAwIQWgIVAMHSAzWG/5YVRYtRQOxXUTEpHuEmApzGCSqGSIb3DQEK
\nCwUAhuL9MQswCQwJVUzEPMAVUzEYMBYGA1UECgwP1hem9uLmNvbSBJbmMuMRww
... content of proxy CA certificate ...
+vHIRlt0e5JAm5\noTIZGoFbK82A0/nO7f/t5PSIDAim9V3Gc3pSXxCCAQoFYnui
GaPUlGk1gCE84a0X\n7Rp/lND/PuMZ/s8YjlkY2NmYmNjMCAXDTE5MTEyN2cM216
gJMIADggEPADf2/m45hzEXAMPLE=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDQTCCAimgF6AwIBAgITBmyfz/5mjAo54vB4ikPmljZKyjANJmApzyMZFo6qBg
ADA5MQswCQYDVQQGEwJVUzEPMA0tMVT8QtPHRh8jrdkGA1UEChMGDV3QQDExBBKW
... content of root CA certificate ...
o/ufQJQWUCyziar1hem9uMRkwFwYVPSHCb2XV4cdFyQzR1KldZwgJcIQ6XUDgHaa
5MsI+yMRQ+hDaXJiobldXgjUka642M4UwtBV8oK2xJNDd2ZhwLnoQdeXeGADKkpy
rqXRfKoQnoZsG4q5WTP46EXAMPLE
-----END CERTIFICATE-----
```
### Configuration du proxy HTTPS sur une passerelle établie
Vous pouvez ajouter la prise en charge du proxy à une passerelle établie en vous connectant au port 443 au lieu du port 8883. Pour plus d'informations sur l'utilisation d'un serveur proxy, voir [Connect sur le port 443 ou via un proxy réseau](https://docs.aws.amazon.com/greengrass/v2/developerguide/configure-greengrass-core-v2.html#configure-alpn-network-proxy) dans le *Guide du AWS IoT Greengrass Version 2 développeur*. Si vous créez une nouvelle passerelle, vous pouvez définir la configuration du proxy lors de l'installation de la passerelle. Pour de plus amples informations, veuillez consulter [Configurer les paramètres du proxy lors de l'installation de la passerelle AWS IoT SiteWise Edge](manage-trust-stores-proxy_config.md).
Lorsque vous utilisez un proxy HTTPS avec AWS IoT Greengrass on SiteWise Edge, le logiciel choisit automatiquement entre HTTP et HTTPS pour les connexions proxy en fonction de l'URL fournie.
**Important**
Mettez à jour tous les magasins de confiance requis avant de tenter de vous connecter via un proxy HTTPS.
## Configuration d'un magasin de confiance pour les composants basé sur Java
Pour l' SiteWise éditeur IoT, le collecteur IoT SiteWise OPC UA et les services Java du pack de traitement de données, l'emplacement du magasin de confiance Java par défaut est `$JAVA_HOME/jre/lib/security/cacerts`
**Pour ajouter un certificat**
1. Créez un fichier pour stocker le certificat du serveur proxy, tel que`proxy.crt`.
**Note**
Créez le fichier à l'avance à l'aide du certificat du serveur proxy.
1. Ajoutez le fichier au trust store de Java à l'aide de la commande suivante :
```
sudo keytool -import -alias proxyCert -keystore /usr/lib/jvm/java-11-openjdk-amd64/lib/security/cacerts -file proxy.crt
```
1. Lorsque vous y êtes invité, utilisez le mot de passe par défaut : `changeit`
## Configuration du magasin de confiance des composants au niveau du système
Pour les composants écrits en Rust, Go et dans d'autres langages utilisant le System Trust Store :
------
#### [ Linux ]
Systèmes Linux : ajoutez des certificats à `/etc/ssl/certs/ca-certificates.crt`
------
#### [ Windows ]
Microsoft Windowssystèmes : pour configurer le magasin de confiance, suivez la procédure du [magasin de certificats](https://learn.microsoft.com/en-us/windows-hardware/drivers/install/certificate-stores) décrite dans la documentation *Microsoft Ignite*.
Windows propose plusieurs magasins de certificats, y compris des magasins distincts pour les zones utilisateur et ordinateur, chacune comportant plusieurs sous-magasins. Pour la plupart des configurations SiteWise Edge, nous recommandons d'ajouter des certificats au `COMPUTER | Trusted Root Certification Authorities` magasin. Toutefois, en fonction de votre configuration spécifique et de vos exigences de sécurité, il se peut que vous deviez utiliser un autre magasin.
------
## Résolution des problèmes liés à Trust Store
Pour plus d'informations sur la résolution des problèmes liés au trust store liés à une passerelle SiteWise Edge, consultez[Problèmes liés à Trust Store](troubleshooting-gateway.md#troubleshoot-trust-stores).