写点什么

使用 AWS IoT Core 即时预配置

  • 2019-09-19
  • 本文字数:3770 字

    阅读完需:约 12 分钟

使用 AWS IoT Core 即时预配置

在之前的一篇有关设备证书即时注册的博文中,我们讨论了如何使用即时预配置 (JITR) 激活设备证书及如何在自动注册设备后立即将策略附加到证书中。JITR 可触发注册事件。您必须创建 AWS IoT Core 规则来侦听注册事件主题,并且当确定注册事件时,会在机载设备中执行您的 Lambda 代码。


在此博文中,我将向您展示如何使用新功能即时预配置 (JITP) 来预置资源。JITP 使您可以登记自己的设备,无需创建 AWS IoT Core 规则和 Lambda 函数。您需要将预置模板与 IAM 角色一起附加到 CA 证书中。JITP 将基于预置模板创建、更新和附加资源。该角色将被输入,以授予 AWS IoT 权限来调用代表您进行预置所需的 API。


下图显示了 JITR 与 JITP 之间的差异。



JITP 流的步骤比 JITR 少

创建 CA 证书

与 JITR 一样,首先要创建一个 CA 证书。我们在终端中只使用 OpenSSL 创建示例 CA 证书。


$ openssl genrsa -out rootCA.key 2048$ openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem
复制代码


执行这些命令后,我们将获得两个文件 rootCA.key 和 rootCA.pem,稍后,我们将这两个文件用作示例 CA 证书。

创建服务角色

由于 JITP 需要权限才能调用 AWS IoT Core API,我们将创建一个角色并将该角色与 CA 证书关联。通过 IAM 控制台创建此角色比使用 CLI 更容易。我们已经具有策略 AWSIoTThingsRegistration,该策略可用于创建 JITP 特定的服务角色。


在 IAM 控制台中,选择“角色”,然后选择“创建角色”按钮。



为 JITP 创建角色


在选择将使用此角色的服务下,选择 IoT。



将 IoT 选为可信服务


审核策略。输入该角色的名称和描述。



审核策略



提供角色名称和角色描述


现在,我们拥有名称为 JITPRole 的角色,当我们注册或更新 CA 证书时,我们将在 registrationConfig 字段中使用该角色。

创建预置模板

必须将预置模板附加到 CA 证书中,以便 JITP 工作流在设备首次连接到 AWS IoT Core 时预置模板中指定的资源。对于 JITP,我们可以在模板中使用下列参数。


  • AWS::IoT::Certificate::Country

  • AWS::IoT::Certificate::Organization

  • AWS::IoT::Certificate::OrganizationalUnit

  • AWS::IoT::Certificate::DistinguishedNameQualifier

  • AWS::IoT::Certificate::StateName

  • AWS::IoT::Certificate::CommonName

  • AWS::IoT::Certificate::SerialNumber

  • AWS::IoT::Certificate::Id

  • 前 7 个预置模板参数的值从所预置设备的证书中的主题字段中提取。 AWS::IoT::Certificate::Id 参数指的是内部生成的 ID,而非证书中包含的 ID。 您可以使用 AWS IoT 规则内的 principle() 函数获取此 ID 值。


我们使用的是以下示例模板。我们需要转义模板中的 templateBody 值的 JSON 字符串。



{"templateBody":"{ \"Parameters\" : { \"AWS::IoT::Certificate::Country\" : { \"Type\" : \"String\" }, \"AWS::IoT::Certificate::Id\" : { \"Type\" : \"String\" } }, \"Resources\" : { \"thing\" : { \"Type\" : \"AWS::IoT::Thing\", \"Properties\" : { \"ThingName\" : {\"Ref\" : \"AWS::IoT::Certificate::Id\"}, \"AttributePayload\" : { \"version\" : \"v1\", \"country\" : {\"Ref\" : \"AWS::IoT::Certificate::Country\"}} } }, \"certificate\" : { \"Type\" : \"AWS::IoT::Certificate\", \"Properties\" : { \"CertificateId\": {\"Ref\" : \"AWS::IoT::Certificate::Id\"}, \"Status\" : \"ACTIVE\" } }, \"policy\" : {\"Type\" : \"AWS::IoT::Policy\", \"Properties\" : { \"PolicyDocument\" : \"{\\\"Version\\\": \\\"2012-10-17\\\",\\\"Statement\\\": [{\\\"Effect\\\":\\\"Allow\\\",\\\"Action\\\": [\\\"iot:Connect\\\",\\\"iot:Publish\\\"],\\\"Resource\\\" : [\\\"*\\\"]}]}\" } } } }","roleArn":"arn:aws:iam::123456789012:role/JITPRole"}
复制代码


我们声明,我们在使用两个预置参数 AWS::IoT::Certificate::Country 和 AWS::IoT::Certificate::Id,而且我们将在“资源”部分中使用它们。JITP 工作流会将参考替换为从证书中提取的值,并且会预置模板中指定的资源。


更具体地说,JITP 工作流将创建:


  • 一个事物资源。

  • 一个策略资源。

  • 然后,它将会:

  • 将策略附加到证书中。

  • 将证书附加到事物中。

  • 将证书状态更新为 ACTIVE。

  • 现在,我们将整个模板与我们从前面的步骤中获得的角色 ARN 一起放入本地文件 provisioning-template.json 中。


有关预置模板的更多信息,请参阅 AWS IoT Core 开发人员指南中的预置模板。

注册 CA 证书

现在,我们已创建示例 CA 证书,我们将在 AWS IoT Core 中注册该证书。要使用 JITP,我们需要将模板和角色与 CA 证书关联。我们可以在注册 CA 证书或稍后更新 CA 证书时完成此步骤。在此示例中,我们将使用模板和角色 ARN 注册 CA 证书。您还可以调用 UpdateCACertificate API 或 update-ca-certificate CLI 命令来更改 CA 证书的状态、启用自动注册状态并通过提供模板和角色 ARN 来设置注册配置。


遵照以下步骤来注册 CA 证书。


首先,我能从 AWS IoT Core 中获取注册代码。此代码将被用作私有密钥验证证书的公用名。


$ aws iot get-registration-code
复制代码


然后,我们为私有密钥验证证书生成一个密钥对。我们将获得名为 verificationCert.key 的文件。


$ openssl genrsa -out verificationCert.key 2048
复制代码


现在,我们执行以下命令来创建私有密钥验证证书的 CSR。我们将获得名为 verificationCert.csr 的文件。


$ openssl req -new -key verificationCert.key -out verificationCert.csr
复制代码


现在,我们需要使用注册代码设置证书的公用名字段:


国家/地区名称(2 个字母代码)[AU]:


州名或省名(全名)[]:


所在地名称(例如,城市)[]:


组织名称(例如,公司)[]:


组织部门名称(例如,部门)[]:


公用名(例如服务器 FQDN 或您的名称)[]: XXXXXXXREGISTRATION-CODEXXXXXXX


电子邮件地址 []:


我们使用 CSR 创建私有密钥验证证书。当我们注册 CA 证书时,我们将使用从此步骤中获得的 verificationCert.pem 文件。


$ openssl x509 -req -in verificationCert.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out verificationCert.pem -days 500 -sha256
复制代码


最后,我们调用 register-ca-certificate CLI 命令来注册 CA 证书。


$ aws iot register-ca-certificate --ca-certificate file://rootCA.pem --verification-cert file://verificationCert.pem --set-as-active --allow-auto-registration --registration-config file://provisioning-template.json
复制代码


我们将收到返回的 HTTP 200 响应,包括已注册的 CA 证书 ARN 和证书 ID。注册 CA 证书后,我们仍然可以调用 UpdateCACertificate API 或 update-ca-certificate CLI 命令在需要时更新注册的 CA 证书。

使用 CA 证书签署的证书自动预置设备

现在,我们已在启用 auto-registration-status 的状态下注册示例 CA 证书并将该证书与预置模板关联,我们可以尝试使用 CA 证书来创建设备证书。设备证书在首次连接到 AWS IoT Core 时自动预置。


要创建设备证书,我们在终端中运行以下命令:


$ openssl genrsa -out deviceCert.key 2048$ openssl req -new -key deviceCert.key -out deviceCert.csr
复制代码


运行这些命令后,我们可以设置证书的主题字段,如国家/地区名称、公用名等等,并将它们传递到 JITP 中。


现在,我们使用设备证书连接到 AWS IoT Core。连接时,我们需要发送设备证书及其注册 CA 证书(示例 CA 证书)。


$ openssl x509 -req -in deviceCert.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 365 -sha256
复制代码


然后,我们会创建一个包含设备证书及其注册 CA 证书的文件。


$ cat deviceCert.crt rootCA.pem > deviceCertAndCACert.crt
复制代码


最后,我们需要 MQTT Mosquitto 客户端使用设备证书连接并发布到 AWS IoT Core 中:


$ mosquitto_pub --cafile root.cert --cert deviceCertAndCACert.crt --key deviceCert.key -h <prefix>.iot.us-east-1.amazonaws.com -p 8883 -q 1 -t foo/bar -I anyclientID --tls-version tlsv1.2 -m "Hello" -d
复制代码


注:root.cert 是 AWS IoT 根证书。要下载该证书,单击此处。在当前目录中将该证书另存为“root.cert”。 由于终端节点的 不同,我们需要运行 describe-endpoint 命令来检索终端节点。


$ aws iot describe-endpoint
复制代码


连接并发布至 AWS IoT Core 后,预置工作流将在 TLS 握手期间自动预置模板中指定的资源。在示例中:


  • 我们为设备创建了事物资源。

  • 创建了示例 CA 证书签署的证书,并将该证书的状态设置为 ACTIVE。

  • 创建了策略资源并将其附加到证书中,并且将证书附加到事物资源上。

  • 现在,设备已完全预置好。您可以使用 AWS IoT 控制台验证这些资源的预置是否符合预期。

小结

在此博文中,我们展示了 JITP 如何简化预置 IoT 设备所需的工作。AWS IoT Core 现在可提供独立、安全的预置系统,帮助制造商在登记设备时节省时间。我们希望您尝试此新功能。欢迎在评论区中留下问题和其他反馈。

了解更多

AWS IoT Core


https://aws.amazon.com/iot-core/


AWS IoT Core 功能


https://aws.amazon.com/iot-core/features/


AWS IoT 设备预置


http://docs.aws.amazon.com/iot/latest/developerguide/iot-provision.html


本文转载自 AWS 博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/setting-up-just-in-time-provisioning-with-aws-iot-core/


2019-09-19 10:31831
用户头像

发布了 1926 篇内容, 共 154.0 次阅读, 收获喜欢 81 次。

关注

评论

发布
暂无评论
发现更多内容

Cisco ACI Simulator 6.1(1f)F - ACI 模拟器

sysin

ACI

Invicti v25.1.0 for Windows - Web 应用程序安全测试

sysin

invicti

阿里云通义实验室自然语言处理方向负责人黄非:通义灵码2.0,迈入 Agentic AI

阿里云云效

阿里云 云原生

项目管理工具推荐:8款替代Trello的热门选项

易成研发中心

项目管理 项目管理工具

Studio 3T 2025.1 (macOS, Linux, Windows) - MongoDB 的终极 GUI、IDE 和 客户端

sysin

mongodb

世界500强魏桥集团携手用友共探数据智能新未来

用友BIP

企业数智化 用友BIP 用友软件 魏桥集团 世界500强

阿里云 Serverless 助力盟主直播:高并发下的稳定性和成本优化

阿里巴巴云原生

阿里云 Serverless 云原生

【YashanDB知识库】YashanDB获取统计信息

YashanDB

数据库 yashandb

Qwen2.5 的云端新体验,5 分钟完成极速部署

阿里巴巴云原生

阿里云 云原生

【YashanDB知识库】YashanDB到YashanDB手工元数据迁移

YashanDB

数据库 yashandb

项目变更的范围包括哪些方面

易成研发中心

项目管理 项目管理工具 项目变更

云、数、AI融合下低代码技术对建筑企业数字化转型的赋能

不在线第一只蜗牛

人工智能 云计算 数字化

【YashanDB知识库】YashanDB 单机一主一备自动切换

YashanDB

数据库 yashandb

超越 RAG:Memobase 为 AI 应用注入长期记忆丨社区来稿

声网

【YashanDB知识库】YashanDB备份恢复的两种渠道

YashanDB

数据库 yashandb

东南亚SD-WAN海外网络专线有哪些作用?

Ogcloud

国际网络专线 海外网络专线 跨国网络专线 东南亚网络专线

IoTDB 常见问题 Q&A 第四期

Apache IoTDB

和VBA 说拜拜, python&javascript让电子表格更简单地实现自动化

梦数技术团队

Python 一键部署 spreadsheet 提效工具 JavaSeript

【YashanDB知识库】YFS_修改AU_SIZE参数

YashanDB

数据库 yashandb

3D打印市场爆火,纵维立方新品S1C一分钟售罄

新消费日报

国有资本经营预算走向硬约束,国企预算体系升级正当时

用友智能财务

企业 数智化 会计 财会

第83期 | GPTSecurity周报

云起无垠

用友畅捷通在Flink上构建实时数仓、挑战与最佳实践

Apache Flink

大数据 flink 实时计算 实时处理

《CPython Internals》阅读笔记:p221-p231

codists

被低估的数据即服务(DaaS):下一代数据管理的突破口

tapdata

数据管理 实时数据 DaaS 数据即服务 什么是DaaS

阿里云通义实验室自然语言处理方向负责人黄非:通义灵码2.0,迈入 Agentic AI

阿里巴巴云原生

阿里云 云原生

HarmonyOS Next 端云一体化(3)

万少

HarmonyOS NEXT 端云一体

使用 AWS IoT Core 即时预配置_文化 & 方法_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章