AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

使用 AWS IoT Core 即时预配置

  • 2019-09-19
  • 本文字数:3770 字

    阅读完需:约 12 分钟

使用 AWS IoT Core 即时预配置

在之前的一篇有关设备证书即时注册的博文中,我们讨论了如何使用即时预配置 (JITR) 激活设备证书及如何在自动注册设备后立即将策略附加到证书中。JITR 可触发注册事件。您必须创建 AWS IoT Core 规则来侦听注册事件主题,并且当确定注册事件时,会在机载设备中执行您的 Lambda 代码。


在此博文中,我将向您展示如何使用新功能即时预配置 (JITP) 来预置资源。JITP 使您可以登记自己的设备,无需创建 AWS IoT Core 规则和 Lambda 函数。您需要将预置模板与 IAM 角色一起附加到 CA 证书中。JITP 将基于预置模板创建、更新和附加资源。该角色将被输入,以授予 AWS IoT 权限来调用代表您进行预置所需的 API。


下图显示了 JITR 与 JITP 之间的差异。



JITP 流的步骤比 JITR 少

创建 CA 证书

与 JITR 一样,首先要创建一个 CA 证书。我们在终端中只使用 OpenSSL 创建示例 CA 证书。


$ openssl genrsa -out rootCA.key 2048$ openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem
复制代码


执行这些命令后,我们将获得两个文件 rootCA.key 和 rootCA.pem,稍后,我们将这两个文件用作示例 CA 证书。

创建服务角色

由于 JITP 需要权限才能调用 AWS IoT Core API,我们将创建一个角色并将该角色与 CA 证书关联。通过 IAM 控制台创建此角色比使用 CLI 更容易。我们已经具有策略 AWSIoTThingsRegistration,该策略可用于创建 JITP 特定的服务角色。


在 IAM 控制台中,选择“角色”,然后选择“创建角色”按钮。



为 JITP 创建角色


在选择将使用此角色的服务下,选择 IoT。



将 IoT 选为可信服务


审核策略。输入该角色的名称和描述。



审核策略



提供角色名称和角色描述


现在,我们拥有名称为 JITPRole 的角色,当我们注册或更新 CA 证书时,我们将在 registrationConfig 字段中使用该角色。

创建预置模板

必须将预置模板附加到 CA 证书中,以便 JITP 工作流在设备首次连接到 AWS IoT Core 时预置模板中指定的资源。对于 JITP,我们可以在模板中使用下列参数。


  • AWS::IoT::Certificate::Country

  • AWS::IoT::Certificate::Organization

  • AWS::IoT::Certificate::OrganizationalUnit

  • AWS::IoT::Certificate::DistinguishedNameQualifier

  • AWS::IoT::Certificate::StateName

  • AWS::IoT::Certificate::CommonName

  • AWS::IoT::Certificate::SerialNumber

  • AWS::IoT::Certificate::Id

  • 前 7 个预置模板参数的值从所预置设备的证书中的主题字段中提取。 AWS::IoT::Certificate::Id 参数指的是内部生成的 ID,而非证书中包含的 ID。 您可以使用 AWS IoT 规则内的 principle() 函数获取此 ID 值。


我们使用的是以下示例模板。我们需要转义模板中的 templateBody 值的 JSON 字符串。



{"templateBody":"{ \"Parameters\" : { \"AWS::IoT::Certificate::Country\" : { \"Type\" : \"String\" }, \"AWS::IoT::Certificate::Id\" : { \"Type\" : \"String\" } }, \"Resources\" : { \"thing\" : { \"Type\" : \"AWS::IoT::Thing\", \"Properties\" : { \"ThingName\" : {\"Ref\" : \"AWS::IoT::Certificate::Id\"}, \"AttributePayload\" : { \"version\" : \"v1\", \"country\" : {\"Ref\" : \"AWS::IoT::Certificate::Country\"}} } }, \"certificate\" : { \"Type\" : \"AWS::IoT::Certificate\", \"Properties\" : { \"CertificateId\": {\"Ref\" : \"AWS::IoT::Certificate::Id\"}, \"Status\" : \"ACTIVE\" } }, \"policy\" : {\"Type\" : \"AWS::IoT::Policy\", \"Properties\" : { \"PolicyDocument\" : \"{\\\"Version\\\": \\\"2012-10-17\\\",\\\"Statement\\\": [{\\\"Effect\\\":\\\"Allow\\\",\\\"Action\\\": [\\\"iot:Connect\\\",\\\"iot:Publish\\\"],\\\"Resource\\\" : [\\\"*\\\"]}]}\" } } } }","roleArn":"arn:aws:iam::123456789012:role/JITPRole"}
复制代码


我们声明,我们在使用两个预置参数 AWS::IoT::Certificate::Country 和 AWS::IoT::Certificate::Id,而且我们将在“资源”部分中使用它们。JITP 工作流会将参考替换为从证书中提取的值,并且会预置模板中指定的资源。


更具体地说,JITP 工作流将创建:


  • 一个事物资源。

  • 一个策略资源。

  • 然后,它将会:

  • 将策略附加到证书中。

  • 将证书附加到事物中。

  • 将证书状态更新为 ACTIVE。

  • 现在,我们将整个模板与我们从前面的步骤中获得的角色 ARN 一起放入本地文件 provisioning-template.json 中。


有关预置模板的更多信息,请参阅 AWS IoT Core 开发人员指南中的预置模板。

注册 CA 证书

现在,我们已创建示例 CA 证书,我们将在 AWS IoT Core 中注册该证书。要使用 JITP,我们需要将模板和角色与 CA 证书关联。我们可以在注册 CA 证书或稍后更新 CA 证书时完成此步骤。在此示例中,我们将使用模板和角色 ARN 注册 CA 证书。您还可以调用 UpdateCACertificate API 或 update-ca-certificate CLI 命令来更改 CA 证书的状态、启用自动注册状态并通过提供模板和角色 ARN 来设置注册配置。


遵照以下步骤来注册 CA 证书。


首先,我能从 AWS IoT Core 中获取注册代码。此代码将被用作私有密钥验证证书的公用名。


$ aws iot get-registration-code
复制代码


然后,我们为私有密钥验证证书生成一个密钥对。我们将获得名为 verificationCert.key 的文件。


$ openssl genrsa -out verificationCert.key 2048
复制代码


现在,我们执行以下命令来创建私有密钥验证证书的 CSR。我们将获得名为 verificationCert.csr 的文件。


$ openssl req -new -key verificationCert.key -out verificationCert.csr
复制代码


现在,我们需要使用注册代码设置证书的公用名字段:


国家/地区名称(2 个字母代码)[AU]:


州名或省名(全名)[]:


所在地名称(例如,城市)[]:


组织名称(例如,公司)[]:


组织部门名称(例如,部门)[]:


公用名(例如服务器 FQDN 或您的名称)[]: XXXXXXXREGISTRATION-CODEXXXXXXX


电子邮件地址 []:


我们使用 CSR 创建私有密钥验证证书。当我们注册 CA 证书时,我们将使用从此步骤中获得的 verificationCert.pem 文件。


$ openssl x509 -req -in verificationCert.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out verificationCert.pem -days 500 -sha256
复制代码


最后,我们调用 register-ca-certificate CLI 命令来注册 CA 证书。


$ aws iot register-ca-certificate --ca-certificate file://rootCA.pem --verification-cert file://verificationCert.pem --set-as-active --allow-auto-registration --registration-config file://provisioning-template.json
复制代码


我们将收到返回的 HTTP 200 响应,包括已注册的 CA 证书 ARN 和证书 ID。注册 CA 证书后,我们仍然可以调用 UpdateCACertificate API 或 update-ca-certificate CLI 命令在需要时更新注册的 CA 证书。

使用 CA 证书签署的证书自动预置设备

现在,我们已在启用 auto-registration-status 的状态下注册示例 CA 证书并将该证书与预置模板关联,我们可以尝试使用 CA 证书来创建设备证书。设备证书在首次连接到 AWS IoT Core 时自动预置。


要创建设备证书,我们在终端中运行以下命令:


$ openssl genrsa -out deviceCert.key 2048$ openssl req -new -key deviceCert.key -out deviceCert.csr
复制代码


运行这些命令后,我们可以设置证书的主题字段,如国家/地区名称、公用名等等,并将它们传递到 JITP 中。


现在,我们使用设备证书连接到 AWS IoT Core。连接时,我们需要发送设备证书及其注册 CA 证书(示例 CA 证书)。


$ openssl x509 -req -in deviceCert.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 365 -sha256
复制代码


然后,我们会创建一个包含设备证书及其注册 CA 证书的文件。


$ cat deviceCert.crt rootCA.pem > deviceCertAndCACert.crt
复制代码


最后,我们需要 MQTT Mosquitto 客户端使用设备证书连接并发布到 AWS IoT Core 中:


$ mosquitto_pub --cafile root.cert --cert deviceCertAndCACert.crt --key deviceCert.key -h <prefix>.iot.us-east-1.amazonaws.com -p 8883 -q 1 -t foo/bar -I anyclientID --tls-version tlsv1.2 -m "Hello" -d
复制代码


注:root.cert 是 AWS IoT 根证书。要下载该证书,单击此处。在当前目录中将该证书另存为“root.cert”。 由于终端节点的 不同,我们需要运行 describe-endpoint 命令来检索终端节点。


$ aws iot describe-endpoint
复制代码


连接并发布至 AWS IoT Core 后,预置工作流将在 TLS 握手期间自动预置模板中指定的资源。在示例中:


  • 我们为设备创建了事物资源。

  • 创建了示例 CA 证书签署的证书,并将该证书的状态设置为 ACTIVE。

  • 创建了策略资源并将其附加到证书中,并且将证书附加到事物资源上。

  • 现在,设备已完全预置好。您可以使用 AWS IoT 控制台验证这些资源的预置是否符合预期。

小结

在此博文中,我们展示了 JITP 如何简化预置 IoT 设备所需的工作。AWS IoT Core 现在可提供独立、安全的预置系统,帮助制造商在登记设备时节省时间。我们希望您尝试此新功能。欢迎在评论区中留下问题和其他反馈。

了解更多

AWS IoT Core


https://aws.amazon.com/iot-core/


AWS IoT Core 功能


https://aws.amazon.com/iot-core/features/


AWS IoT 设备预置


http://docs.aws.amazon.com/iot/latest/developerguide/iot-provision.html


本文转载自 AWS 博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/setting-up-just-in-time-provisioning-with-aws-iot-core/


2019-09-19 10:31804
用户头像

发布了 1913 篇内容, 共 148.4 次阅读, 收获喜欢 81 次。

关注

评论

发布
暂无评论
发现更多内容

[ Golang 中的 DDD 实践] 值对象

baiyutang

golang 设计模式 领域驱动设计 DDD 10月月更

字节跳动是如何落地微前端的

字节跳动终端技术

字节跳动 大前端 Web应用开发

设计微博系统中"微博评论"的高性能高可用计算架构

Rabbit

私有云部署系列之动态获取IP(程序执行)

稻草鸟人

Python

这些行业用ERP系统会有很大帮助

低代码小观

企业管理 ERP

MyBatis 批量插入数据的 3 种方法!

王磊

Java mybatis springboot

私有分布式账本技术还是公共区块链?

CECBC

强化学习RL AWS 自动驾驶DeepRacer ROS 架构 易筋 ARTS 打卡 Week 71

John(易筋)

ARTS 打卡计划

以太坊的黄金时代:模块化的区块链范式的开端

CECBC

100台机器上海量IP如何查找出现频率 Top 100?

秦怀杂货店

IP 海量数据 top

【Flutter 专题】34 图解自定义 View 之 Canvas (二)

阿策小和尚

Flutter 小菜 0 基础学习 Flutter Android 小菜鸟 10月月更

使用 Ansible 部署 Elasticsearch 集群

Se7en

最长回文子串 -- 三种解答

秦怀杂货店

数据结构 算法 最长回文子串

BPM软件是什么?BPM软件跟BPA有关联吗?

低代码小观

企业管理 业务流程管理 信息管理

重置不良的编程陋习

devpoint

编码习惯 10月月更

Pandas教程:数据类型操作

Peter

Python pandas

Pandas教程:数据处理基石-数据探索

Peter

Python pandas

架构实战课程 模块5作业

Frank

看山聊 Java:检查日期字符串是否合法

看山

Java 10月月更

架构实战营模块九作业 - 毕业设计

王晓宇

架构实战营

VNC服务安装配置与使用

耳东@Erdong

vnc 10月月更

【LeetCode】无重复字符的最长子串Java题解

Albert

算法 LeetCode 10月月更

架构实战课程 模块6作业

Frank

新一代容器平台ACK Anywhere,来了

阿里巴巴云原生

阿里云 云原生 ACK Anywhere

接棒运动赛事!工厂里也有热血竞技?

白洞计划

在线2-36任意进制转换工具

入门小站

工具

linux之iftop命令

入门小站

Linux

【Vuex 源码学习】第九篇 - Vuex 响应式数据和缓存的实现

Brave

源码 vuex 10月月更

Golang语言HTTP客户端实践

FunTester

golang 性能测试 HTTP 接口测试 FunTester

虚拟化管理软件比较(Eucalyptus, OpenNebula, OpenStack, OpenQRM,XenServer, Oracle VM, CloudStack,ConVirt)

hanaper

“区块链+农业”推动产业“提档升级”

CECBC

使用 AWS IoT Core 即时预配置_文化 & 方法_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章