View a markdown version of this page

X.509 certificati client - AWS IoT Core
Utilizzo dei certificati X.509 clientUtilizzo di certificati X.509 client in più Account AWS s con registrazione multiaccountAlgoritmi di firma dei certificati supportati da AWS IoTAlgoritmi chiave supportati da AWS IoT

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

X.509 certificati client

X.509 i certificati offrono AWS IoT la possibilità di autenticare le connessioni di client e dispositivi. I certificati client devono essere registrati presso AWS IoT prima che un client possa comunicare con AWS IoT. Un certificato client può essere registrato in più Account AWS file contemporaneamente Regione AWS per facilitare lo spostamento di dispositivi tra Account AWS i server della stessa regione. Per ulteriori informazioni, consulta Utilizzo di certificati X.509 client in più Account AWS s con registrazione multiaccount.

Consigliamo che a ogni dispositivo o client sia assegnato un certificato univoco per permettere operazioni di gestione granulare del client, inclusa la revoca di certificati. I dispositivi e i client devono anche supportare la rotazione e la sostituzione dei certificati per garantire un funzionamento corretto allo scadere dei certificati.

Per informazioni sull'utilizzo X.509 dei certificati per supportare più di pochi dispositivi, consulta la sezione Provisioning dei dispositivi dedicata alle diverse opzioni di gestione e provisioning dei certificati AWS IoT supportate.

AWS IoT supporta questi tipi di certificati X.509 client:

  • X.509 certificati generati da AWS IoT

  • X.509 certificati firmati da una CA registrata con AWS IoT.

  • X.509 certificati firmati da una CA non registrata presso AWS IoT.

Questa sezione descrive come gestire i X.509 certificati in AWS IoT. È possibile utilizzare la AWS IoT console o AWS CLI eseguire queste operazioni sui certificati:

Per ulteriori informazioni sui AWS CLI comandi che eseguono queste operazioni, consulta AWS IoT CLI Reference.

Utilizzo dei certificati X.509 client

X.509 i certificati autenticano le connessioni di client e dispositivi a AWS IoT. X.509i certificati offrono diversi vantaggi rispetto ad altri meccanismi di identificazione e autenticazione. X.509 i certificati consentono l'utilizzo di chiavi asimmetriche con i dispositivi. Ad esempio, è possibile masterizzare le chiavi private in uno spazio di archiviazione sicuro su un dispositivo in modo che il materiale crittografico sensibile non lasci mai il dispositivo. X.509i certificati forniscono un'autenticazione client più efficace rispetto ad altri schemi, ad esempio nome utente e password o token al portatore, perché la chiave privata non lascia mai il dispositivo.

AWS IoT autentica i certificati client utilizzando la modalità di autenticazione client del protocollo TLS. Il supporto TLS è disponibile in molti linguaggi di programmazione e sistemi operativi e viene usato in genere per crittografare i dati. Nell'autenticazione client TLS, AWS IoT richiede un certificato X.509 client e convalida lo stato del certificato e Account AWS rispetto a un registro di certificati. Quindi richiede al client la prova della proprietà della chiave privata che corrisponde alla chiave pubblica contenuta nel certificato. AWS IoT richiede ai client di inviare l'estensione SNI (Server Name Indication) al protocollo Transport Layer Security (TLS). Per ulteriori informazioni sulla configurazione dell'estensione SNI, consulta Sicurezza dei trasporti in AWS IoT Core.

Per facilitare una connessione client sicura e coerente al AWS IoT core, un certificato X.509 client deve possedere quanto segue:

Puoi creare certificati client che utilizzano l'autorità di certificazione root Amazon e puoi utilizzare i tuoi certificati client firmati da un'altra CA. Per ulteriori informazioni sull'utilizzo della AWS IoT console per creare certificati che utilizzano Amazon Root CA, consultaCrea AWS IoT certificati client. Per ulteriori informazioni sull'utilizzo X.509 dei tuoi certificati, consultaCreare certificati client personali.

La data e l'ora di scadenza dei certificati firmati da un certificato CA vengono impostate al momento della creazione del certificato. X.509 i certificati generati da AWS IoT scadono alla mezzanotte UTC del 31 dicembre 2049 (2049-12-31). T23:59:59Z

AWS IoT Device Defender può eseguire audit su te Account AWS e sui dispositivi che supportano le migliori pratiche di sicurezza IoT comuni. Ciò include la gestione delle date di scadenza dei X.509 certificati firmati dalla tua CA o da Amazon Root CA. Per ulteriori informazioni sulla gestione della data di scadenza di un certificato, consulta Scadenza del certificato del dispositivo e Scadenza del certificato CA.

Nel AWS IoT blog ufficiale, un approfondimento sulla gestione della rotazione dei certificati dei dispositivi e sulle migliori pratiche di sicurezza è esplorato in Come gestire la rotazione dei certificati dei dispositivi IoT utilizzando AWS IoT.

Utilizzo di certificati X.509 client in più Account AWS s con registrazione multiaccount

Multi-account la registrazione consente di spostare dispositivi tra Account AWS i dispositivi nella stessa regione o in regioni diverse. In questo modo puoi registrare, testare e configurare un dispositivo in un account di pre-produzione, quindi registrare e utilizzare lo stesso dispositivo e certificato del dispositivo in un account di produzione. È inoltre possibile registrare il certificato client sul dispositivo o i certificati del dispositivo senza una CA registrata con AWS IoT. Per ulteriori informazioni, consulta Registrazione di un certificato client firmato da una CA non registrata (CLI).

Nota

I certificati utilizzati per la registrazione con più account sono supportati in iot:Data-ATS, iot:Data (legacy), iot:Jobs e nei tipi di endpoint iot:CredentialProvider. Per ulteriori informazioni sugli endpoint dei AWS IoT dispositivi, consultaAWS IoT dati del dispositivo e endpoint di servizio.

I dispositivi che utilizzano la registrazione multiaccount devono inviare l'estensione SNI (Server Name Indication) al protocollo Transport Layer Security (TLS) e fornire l'indirizzo completo dell'endpoint sul host_name campo, quando si connettono. AWS IoT AWS IoT utilizza l'indirizzo dell'endpoint in host_name per indirizzare la connessione all'account corretto. AWS IoT I dispositivi esistenti che non inviano un indirizzo endpoint valido in host_name continueranno a funzionare, ma non saranno in grado di utilizzare le funzionalità che richiedono queste informazioni. Per ulteriori informazioni sull'estensione SNI e per informazioni su come identificare l'indirizzo endpoint per il campo host_name, vedere Sicurezza dei trasporti in AWS IoT Core.

Per utilizzare la registrazione con più account

  1. Puoi registrare i certificati del dispositivo con una CA. Puoi registrare la CA di firma in più account in modalità SNI_ONLY e utilizzare tale CA per registrare lo stesso certificato client su più account. Per ulteriori informazioni, consulta Registrazione di un certificato CA in modalità SNI_ONLY (CLI) - Consigliato.

  2. Puoi registrare i certificati del dispositivo senza una CA. Per informazioni, consulta Registra un certificato client firmato da una CA (CLI) non registrata. La registrazione di una CA è facoltativa. Non è necessario registrare la CA con AWS IoT cui ha firmato i certificati del dispositivo.

Algoritmi di firma dei certificati supportati da AWS IoT

AWS IoT supporta i seguenti algoritmi di firma dei certificati:

  • SHA256WITHRSA

  • SHA384WITHRSA

  • SHA512WITHRSA

  • SHA256 RSASSA-PSS CON RSA E MGF1 ()

  • SHA384 CON RSA E MGF1 () RSASSA-PSS

  • SHA512 CON RSA E MGF1 () RSASSA-PSS

  • DSA_WITH_SHA256

  • ECDSA-WITH-SHA256

  • ECDSA-WITH-SHA384

  • ECDSA-WITH-SHA512

Per ulteriori informazioni sull'autenticazione e la sicurezza dei certificati, consulta Device certificate key quality.

Nota

La richiesta di firma del certificato (CSR) deve includere una chiave pubblica. La chiave può essere una chiave RSA con una lunghezza di almeno 2.048 bit o una chiave ECC ricavata dalle curve NIST P-256, NIST o NIST. P-384 P-521 Per ulteriori informazioni, consulta CreateCertificateFromCsr nella guida di riferimento delle API AWS IoT .

Algoritmi chiave supportati da AWS IoT

La tabella seguente mostra come sono supportati gli algoritmi chiave:

Algoritmo chiave Algoritmo di firma dei certificati Versione TLS Supportato? Sì o No
RSA con una dimensione della chiave di almeno 2048 bit Tutti TLS 1.2 TLS 1.3
ECC NIST P-256/P-384/P-521 Tutti TLS 1.2 TLS 1.3
RSA-PSS con una dimensione della chiave di almeno 2048 bit Tutti TLS 1.2 No
RSA-PSS con una dimensione della chiave di almeno 2048 bit Tutti TLS 1.3

Per creare un certificato utilizzando CreateCertificateFromCSR, puoi utilizzare un algoritmo a chiave supportato per generare una chiave pubblica per la tua CSR. Per registrare il proprio certificato utilizzando RegisterCertificateoppure RegisterCertificateWithoutCA, è possibile utilizzare un algoritmo a chiave supportato per generare una chiave pubblica per il certificato.

Per ulteriori informazioni, consulta Politiche di sicurezza.