View a markdown version of this page

X.509 certificados de cliente - AWS IoT Core
Usando certificados de X.509 clienteUsando certificados de X.509 cliente em vários Conta da AWS s com registro de várias contasAlgoritmos de assinatura de certificados suportados pelo AWS IoTAlgoritmos principais suportados por AWS IoT

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

X.509 certificados de cliente

X.509 os certificados AWS IoT fornecem a capacidade de autenticar conexões de clientes e dispositivos. Os certificados do cliente devem ser registrados AWS IoT antes que o cliente possa se comunicar com AWS IoT. Um certificado de cliente pode ser registrado em vários Conta da AWS s no mesmo Região da AWS para facilitar a movimentação de dispositivos entre seus Conta da AWS s na mesma região. Consulte Usando certificados de X.509 cliente em vários Conta da AWS s com registro de várias contas para obter mais informações.

Recomendamos que cada dispositivo ou cliente receba um certificado exclusivo para habilitar ações de gerenciamento de clientes refinadas, incluindo a revogação de certificados. Os dispositivos e os clientes também devem oferecer suporte à rotação e à substituição de certificados para ajudar a garantir uma operação contínua conforme os certificados expiram.

Para obter informações sobre o uso de X.509 certificados para oferecer suporte a mais do que alguns dispositivos, consulte Provisionamento de dispositivos para analisar as diferentes opções de gerenciamento e provisionamento de certificados que AWS IoT oferecem suporte.

AWS IoT suporta esses tipos de certificados de X.509 cliente:

  • X.509 certificados gerados por AWS IoT

  • X.509 certificados assinados por uma CA registrada com AWS IoT.

  • X.509 certificados assinados por uma CA que não está registrada com AWS IoT.

Esta seção descreve como gerenciar X.509 certificados em AWS IoT. Você pode usar o AWS IoT console ou AWS CLI realizar estas operações de certificado:

Para obter mais informações sobre os AWS CLI comandos que executam essas operações, consulte a Referência da AWS IoT CLI.

Usando certificados de X.509 cliente

X.509 certificados autenticam conexões de clientes e dispositivos a. AWS IoT X.509os certificados oferecem vários benefícios em relação a outros mecanismos de identificação e autenticação. X.509 os certificados permitem que chaves assimétricas sejam usadas com dispositivos. Por exemplo, você pode gravar chaves privadas em um armazenamento seguro em um dispositivo para que material criptográfico confidencial nunca saia do dispositivo. X.509os certificados fornecem uma autenticação de cliente mais forte do que outros esquemas, como nome de usuário e senha ou tokens do portador, porque a chave privada nunca sai do dispositivo.

AWS IoT autentica certificados de cliente usando o modo de autenticação de cliente do protocolo TLS. O suporte do TLS está disponível em muitas linguagens de programação e sistemas operacionais e é comumente usado para a criptografia de dados. Na autenticação de cliente TLS, AWS IoT solicita um certificado de X.509 cliente e valida o status do certificado em Conta da AWS relação a um registro de certificados. Em seguida, desafia o cliente a obter uma prova de propriedade da chave privada que corresponde à chave pública contida no certificado. AWS IoT exige que os clientes enviem a extensão Server Name Indication (SNI) para o protocolo Transport Layer Security (TLS). Para obter mais informações sobre como configurar a extensão SNI, consulte Segurança de transporte em AWS IoT Core.

Para facilitar uma conexão segura e consistente do cliente com o AWS IoT núcleo, um certificado de X.509 cliente deve possuir o seguinte:

Você pode criar certificados de cliente que usam a CA raiz da Amazon e usar seus próprios certificados de cliente assinados por outra autoridade de certificação (CA). Para obter mais informações sobre o uso do AWS IoT console para criar certificados que usam a Amazon Root CA, consulteCriar AWS IoT certificados de cliente. Para obter mais informações sobre como usar seus próprios X.509 certificados, consulteCriar seus próprios certificados de cliente.

A data e a hora em que os certificados assinados por um certificado CA expiram são definidas quando o certificado é criado. X.509 os certificados gerados por AWS IoT expiram à meia-noite UTC de 31 de dezembro de 2049 (2049-12-31). T23:59:59Z

AWS IoT Device Defender pode realizar auditorias em você Conta da AWS e em dispositivos que oferecem suporte às melhores práticas comuns de segurança de IoT. Isso inclui gerenciar as datas de expiração dos X.509 certificados assinados pela sua CA ou pela CA raiz da Amazon. Para obter mais informações sobre como gerenciar a data de expiração de um certificado, consulte Certificado de dispositivo expirando e Certificado CA expirando.

No AWS IoT blog oficial, um mergulho mais profundo no gerenciamento da rotação de certificados de dispositivos e nas melhores práticas de segurança é explorado em Como gerenciar a rotação de certificados de dispositivos de IoT usando. AWS IoT

Usando certificados de X.509 cliente em vários Conta da AWS s com registro de várias contas

Multi-account O registro possibilita mover dispositivos entre seus Conta da AWS na mesma região ou em regiões diferentes. Você pode registrar, testar e configurar um dispositivo em uma conta de pré-produção e, em seguida, registrar e usar o mesmo dispositivo e certificado de dispositivo em uma conta de produção. Você também pode registrar o certificado do cliente no dispositivo ou os certificados do dispositivo sem uma CA registrada com AWS IoT. Para obter mais informações, consulte Registrar um certificado de cliente assinado por uma CA não registrada (CLI).

nota

Os certificados usados para registro de várias contas são compatíveis com os tipos de endpoint iot:Data-ATS, iot:Data (legado), iot:Jobs e iot:CredentialProvider. Para obter mais informações sobre endpoints de AWS IoT dispositivos, consulteAWS IoT dados do dispositivo e endpoints de serviço.

Os dispositivos que usam o registro de várias contas devem enviar a extensão Server Name Indication (SNI) para o protocolo Transport Layer Security (TLS) e fornecer o endereço completo do endpoint no host_name campo, quando se conectarem. AWS IoT AWS IoT usa o endereço do endpoint host_name para rotear a conexão para a AWS IoT conta correta. Os dispositivos existentes que não enviarem um endereço de endpoint válido em host_name continuarão a funcionar, mas não poderão usar os recursos que exigem essas informações. Para obter mais informações sobre a extensão SNI e para saber como identificar o endereço de endpoint para o campo host_name, consulte Segurança de transporte em AWS IoT Core.

Como usar o registro de várias contas

  1. Você pode registrar os certificados de dispositivo com uma CA. Você pode registrar a CA de assinatura em várias contas no modo SNI_ONLY e usar essa CA para registrar o mesmo certificado de cliente em várias contas. Para obter mais informações, consulte Registrar um certificado da CA no modo SNI_ONLY (CLI) - Recomendado.

  2. Você pode registrar os certificados de dispositivo sem uma CA. Consulte Registrar um certificado de cliente assinado por uma CA não registrada (CLI). O registro de uma CA é opcional. Você não precisa registrar a CA com a qual assinou os certificados do dispositivo AWS IoT.

Algoritmos de assinatura de certificados suportados pelo AWS IoT

AWS IoT suporta os seguintes algoritmos de assinatura de certificados:

  • SHA256WITHRSA

  • SHA384WITHRSA

  • SHA512WITHRSA

  • SHA256 COM RSA E MGF1 () RSASSA-PSS

  • SHA384 COM RSA E MGF1 () RSASSA-PSS

  • SHA512 COM RSA E MGF1 () RSASSA-PSS

  • DSA_WITH_SHA256

  • ECDSA-WITH-SHA256

  • ECDSA-WITH-SHA384

  • ECDSA-WITH-SHA512

Para obter mais informações sobre autenticação e segurança de certificados, consulte Qualidade da chave de certificado do dispositivo.

nota

A solicitação de assinatura de certificado (CSR) deve incluir uma chave pública. A chave pode ser uma chave RSA com um comprimento de pelo menos 2.048 bits ou uma chave ECC das curvas NIST P-256, NIST ou NIST. P-384 P-521 Para obter mais informações, consulte CreateCertificateFromCsr no AWS IoT API Reference Guide (Guia de referência da API do &CDSlong;).

Algoritmos principais suportados por AWS IoT

A tabela abaixo mostra o suporte para os principais algoritmos:

Algoritmo de chave Algoritmo de assinatura de certificado Versão do TLS Compatível? Yes ou No
RSA com um tamanho de chave de pelo menos 2048 bits Todos TLS 1.2 TLS 1.3 Sim
ECC NIST P-256/P-384/P-521 Todos TLS 1.2 TLS 1.3 Sim
RSA-PSS com um tamanho de chave de pelo menos 2048 bits Todos TLS 1.2 Não
RSA-PSS com um tamanho de chave de pelo menos 2048 bits Todos TLS 1.3 Sim

Para criar um certificado usando CreateCertificateFromCSR, você pode usar um algoritmo de chave compatível para gerar uma chave pública para sua CSR. Para registrar seu próprio certificado usando RegisterCertificateou RegisterCertificateWithoutCA, você pode usar um algoritmo de chave compatível para gerar uma chave pública para o certificado.

Para obter mais informações, consulte Políticas de segurança.