View a markdown version of this page

X.509 sertifikat klien - AWS IoT Core
Menggunakan sertifikat X.509 klienMenggunakan sertifikat X.509 klien dalam beberapa Akun AWS s dengan pendaftaran multi-akunAlgoritma penandatanganan sertifikat didukung oleh AWS IoTAlgoritma kunci yang didukung oleh AWS IoT

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

X.509 sertifikat klien

X.509 sertifikat AWS IoT menyediakan kemampuan untuk mengautentikasi koneksi klien dan perangkat. Sertifikat klien harus terdaftar AWS IoT sebelum klien dapat berkomunikasi dengan AWS IoT. Sertifikat klien dapat didaftarkan dalam beberapa Akun AWS detik yang sama AWS Region untuk memfasilitasi pemindahan perangkat antara Akun AWS s Anda di wilayah yang sama. Untuk informasi selengkapnya, lihat Menggunakan sertifikat X.509 klien dalam beberapa Akun AWS s dengan pendaftaran multi-akun.

Kami menyarankan agar setiap perangkat atau klien diberikan sertifikat unik untuk mengaktifkan tindakan manajemen klien yang berbutir halus, termasuk pencabutan sertifikat. Perangkat dan klien juga harus mendukung rotasi dan penggantian sertifikat untuk membantu memastikan kelancaran pengoperasian saat sertifikat kedaluwarsa.

Untuk informasi tentang penggunaan X.509 sertifikat untuk mendukung lebih dari beberapa perangkat, lihat Penyediaan perangkat untuk meninjau berbagai opsi manajemen dan penyediaan sertifikat yang AWS IoT mendukung.

AWS IoT mendukung jenis sertifikat X.509 klien ini:

  • X.509 sertifikat yang dihasilkan oleh AWS IoT

  • X.509 sertifikat yang ditandatangani oleh CA yang terdaftar dengan AWS IoT.

  • X.509 sertifikat yang ditandatangani oleh CA yang tidak terdaftar AWS IoT.

Bagian ini menjelaskan cara mengelola X.509 sertifikat di AWS IoT. Anda dapat menggunakan AWS IoT konsol atau AWS CLI untuk melakukan operasi sertifikat ini:

Untuk informasi selengkapnya tentang AWS CLI perintah yang melakukan operasi ini, lihat AWS IoT Referensi CLI.

Menggunakan sertifikat X.509 klien

X.509 sertifikat mengautentikasi koneksi klien dan perangkat ke AWS IoT. X.509sertifikat memberikan beberapa manfaat dibandingkan mekanisme identifikasi dan otentikasi lainnya. X.509 sertifikat memungkinkan kunci asimetris untuk digunakan dengan perangkat. Misalnya, Anda dapat membakar kunci pribadi ke dalam penyimpanan aman pada perangkat sehingga materi kriptografi sensitif tidak pernah meninggalkan perangkat. X.509sertifikat memberikan otentikasi klien yang lebih kuat atas skema lain, seperti nama pengguna dan kata sandi atau token pembawa, karena kunci pribadi tidak pernah meninggalkan perangkat.

AWS IoT mengotentikasi sertifikat klien menggunakan modus otentikasi klien protokol TLS. Dukungan TLS tersedia dalam banyak bahasa pemrograman dan sistem operasi dan umumnya digunakan untuk mengenkripsi data. Dalam otentikasi klien TLS, AWS IoT meminta sertifikat X.509 klien dan memvalidasi status sertifikat dan Akun AWS terhadap registri sertifikat. Ini kemudian menantang klien untuk bukti kepemilikan kunci pribadi yang sesuai dengan kunci publik yang terkandung dalam sertifikat. AWS IoT mengharuskan klien untuk mengirim ekstensi Server Name Indication (SNI) ke protokol Transport Layer Security (TLS). Untuk informasi selengkapnya tentang mengonfigurasi ekstensi SNI, lihat. Keamanan transportasi di AWS IoT Core

Untuk memfasilitasi koneksi klien yang aman dan konsisten ke AWS IoT inti, sertifikat X.509 klien harus memiliki yang berikut:

Anda dapat membuat sertifikat klien yang menggunakan Amazon Root CA dan Anda dapat menggunakan sertifikat klien Anda sendiri yang ditandatangani oleh otoritas sertifikat (CA) lain. Untuk informasi selengkapnya tentang penggunaan AWS IoT konsol untuk membuat sertifikat yang menggunakan Amazon Root CA, lihatBuat AWS IoT sertifikat klien. Untuk informasi selengkapnya tentang menggunakan X.509 sertifikat Anda sendiri, lihatBuat sertifikat klien Anda sendiri.

Tanggal dan waktu ketika sertifikat yang ditandatangani oleh sertifikat CA kedaluwarsa ditetapkan saat sertifikat dibuat. X.509 sertifikat yang dihasilkan dengan AWS IoT kedaluwarsa pada tengah malam UTC pada tanggal 31 Desember 2049 (2049-12-31). T23:59:59Z

AWS IoT Device Defender dapat melakukan audit pada perangkat Anda Akun AWS dan perangkat yang mendukung praktik terbaik keamanan IoT umum. Ini termasuk mengelola tanggal kedaluwarsa X.509 sertifikat yang ditandatangani oleh CA Anda atau Amazon Root CA. Untuk informasi selengkapnya tentang mengelola tanggal kedaluwarsa sertifikat, lihat Sertifikat perangkat kedaluwarsa dan sertifikat CA kedaluwarsa.

Di AWS IoT blog resmi, penyelaman lebih dalam tentang pengelolaan rotasi sertifikat perangkat dan praktik terbaik keamanan dieksplorasi di Cara mengelola rotasi sertifikat perangkat IoT menggunakan. AWS IoT

Menggunakan sertifikat X.509 klien dalam beberapa Akun AWS s dengan pendaftaran multi-akun

Multi-account pendaftaran memungkinkan untuk memindahkan perangkat antara Akun AWS s Anda di Wilayah yang sama atau di Wilayah yang berbeda. Anda dapat mendaftar, menguji, dan mengonfigurasi perangkat di akun pra-produksi, lalu mendaftar dan menggunakan perangkat dan sertifikat perangkat yang sama di akun produksi. Anda juga dapat mendaftarkan sertifikat klien pada perangkat atau sertifikat perangkat tanpa CA yang terdaftar AWS IoT. Untuk informasi selengkapnya, lihat Mendaftarkan sertifikat klien yang ditandatangani oleh CA (CLI) yang tidak terdaftar.

catatan

Sertifikat yang digunakan untuk pendaftaran multi-akun didukung pada jenisiot:Data-ATS, iot:Data (warisan),iot:Jobs, dan titik iot:CredentialProvider akhir. Untuk informasi selengkapnya tentang titik akhir AWS IoT perangkat, lihatAWS IoT data perangkat dan titik akhir layanan.

Perangkat yang menggunakan registrasi multi-akun harus mengirimkan ekstensi Server Name Indication (SNI) ke protokol Transport Layer Security (TLS) dan memberikan alamat endpoint lengkap di host_name lapangan, ketika mereka terhubung ke. AWS IoT AWS IoT menggunakan alamat titik akhir host_name untuk merutekan koneksi ke AWS IoT akun yang benar. Perangkat yang ada yang tidak mengirim alamat titik akhir yang valid host_name akan terus berfungsi, tetapi mereka tidak akan dapat menggunakan fitur yang memerlukan informasi ini. Untuk informasi lebih lanjut tentang ekstensi SNI dan untuk mempelajari cara mengidentifikasi alamat titik akhir untuk host_name bidang tersebut, lihat. Keamanan transportasi di AWS IoT Core

Untuk menggunakan pendaftaran multi-akun

  1. Anda dapat mendaftarkan sertifikat perangkat dengan CA. Anda dapat mendaftarkan CA penandatanganan dalam beberapa akun dalam SNI_ONLY mode dan menggunakan CA tersebut untuk mendaftarkan sertifikat klien yang sama ke beberapa akun. Untuk informasi selengkapnya, lihat Daftarkan sertifikat CA dalam mode SNI_ONLY (CLI) - Direkomendasikan.

  2. Anda dapat mendaftarkan sertifikat perangkat tanpa CA. Lihat Daftarkan sertifikat klien yang ditandatangani oleh CA (CLI) yang tidak terdaftar. Mendaftarkan CA adalah opsional. Anda tidak diharuskan mendaftarkan CA yang menandatangani sertifikat perangkat AWS IoT.

Algoritma penandatanganan sertifikat didukung oleh AWS IoT

AWS IoT mendukung algoritma penandatanganan sertifikat berikut:

  • SHA256WITHRSA

  • SHA384WITHRSA

  • SHA512WITHRSA

  • SHA256WITHRSAANDMGF1 () RSASSA-PSS

  • SHA384WITHRSAANDMGF1 () RSASSA-PSS

  • SHA512WITHRSAANDMGF1 () RSASSA-PSS

  • DSA_DENGAN_SHA256

  • ECDSA-WITH-SHA256

  • ECDSA-WITH-SHA384

  • ECDSA-WITH-SHA512

Untuk informasi selengkapnya tentang otentikasi dan keamanan sertifikat, lihat Kualitas kunci sertifikat perangkat.

catatan

Permintaan penandatanganan sertifikat (CSR) harus menyertakan kunci publik. Kunci dapat berupa kunci RSA dengan panjang setidaknya 2.048 bit atau kunci ECC dari kurva NIST, NIST P-256, atau NIST. P-384 P-521 Untuk informasi selengkapnya, lihat CreateCertificateFromCsrdi Panduan Referensi AWS IoT API.

Algoritma kunci yang didukung oleh AWS IoT

Tabel di bawah ini menunjukkan bagaimana algoritma kunci didukung:

Algoritma kunci Algoritma penandatanganan sertifikat Versi TLS Didukung? Ya atau Tidak
RSA dengan ukuran kunci minimal 2048 bit Semua TLS 1.2 TLS 1.3 Ya
ECC NIST P-256/P-384/P-521 Semua TLS 1.2 TLS 1.3 Ya
RSA-PSS dengan ukuran kunci minimal 2048 bit Semua TLS 1.2 Tidak
RSA-PSS dengan ukuran kunci minimal 2048 bit Semua TLS 1.3 Ya

Untuk membuat sertifikat menggunakan CreateCertificateFromCSR, Anda dapat menggunakan algoritma kunci yang didukung untuk menghasilkan kunci publik untuk CSR Anda. Untuk mendaftarkan sertifikat Anda sendiri menggunakan RegisterCertificateatau RegisterCertificateWithoutCA, Anda dapat menggunakan algoritma kunci yang didukung untuk menghasilkan kunci publik untuk sertifikat.

Untuk informasi selengkapnya, lihat Kebijakan keamanan.