AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

使用 AWS IoT Core 即时预配置

  • 2019-09-19
  • 本文字数:3770 字

    阅读完需:约 12 分钟

使用 AWS IoT Core 即时预配置

在之前的一篇有关设备证书即时注册的博文中,我们讨论了如何使用即时预配置 (JITR) 激活设备证书及如何在自动注册设备后立即将策略附加到证书中。JITR 可触发注册事件。您必须创建 AWS IoT Core 规则来侦听注册事件主题,并且当确定注册事件时,会在机载设备中执行您的 Lambda 代码。


在此博文中,我将向您展示如何使用新功能即时预配置 (JITP) 来预置资源。JITP 使您可以登记自己的设备,无需创建 AWS IoT Core 规则和 Lambda 函数。您需要将预置模板与 IAM 角色一起附加到 CA 证书中。JITP 将基于预置模板创建、更新和附加资源。该角色将被输入,以授予 AWS IoT 权限来调用代表您进行预置所需的 API。


下图显示了 JITR 与 JITP 之间的差异。



JITP 流的步骤比 JITR 少

创建 CA 证书

与 JITR 一样,首先要创建一个 CA 证书。我们在终端中只使用 OpenSSL 创建示例 CA 证书。


$ openssl genrsa -out rootCA.key 2048$ openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem
复制代码


执行这些命令后,我们将获得两个文件 rootCA.key 和 rootCA.pem,稍后,我们将这两个文件用作示例 CA 证书。

创建服务角色

由于 JITP 需要权限才能调用 AWS IoT Core API,我们将创建一个角色并将该角色与 CA 证书关联。通过 IAM 控制台创建此角色比使用 CLI 更容易。我们已经具有策略 AWSIoTThingsRegistration,该策略可用于创建 JITP 特定的服务角色。


在 IAM 控制台中,选择“角色”,然后选择“创建角色”按钮。



为 JITP 创建角色


在选择将使用此角色的服务下,选择 IoT。



将 IoT 选为可信服务


审核策略。输入该角色的名称和描述。



审核策略



提供角色名称和角色描述


现在,我们拥有名称为 JITPRole 的角色,当我们注册或更新 CA 证书时,我们将在 registrationConfig 字段中使用该角色。

创建预置模板

必须将预置模板附加到 CA 证书中,以便 JITP 工作流在设备首次连接到 AWS IoT Core 时预置模板中指定的资源。对于 JITP,我们可以在模板中使用下列参数。


  • AWS::IoT::Certificate::Country

  • AWS::IoT::Certificate::Organization

  • AWS::IoT::Certificate::OrganizationalUnit

  • AWS::IoT::Certificate::DistinguishedNameQualifier

  • AWS::IoT::Certificate::StateName

  • AWS::IoT::Certificate::CommonName

  • AWS::IoT::Certificate::SerialNumber

  • AWS::IoT::Certificate::Id

  • 前 7 个预置模板参数的值从所预置设备的证书中的主题字段中提取。 AWS::IoT::Certificate::Id 参数指的是内部生成的 ID,而非证书中包含的 ID。 您可以使用 AWS IoT 规则内的 principle() 函数获取此 ID 值。


我们使用的是以下示例模板。我们需要转义模板中的 templateBody 值的 JSON 字符串。



{"templateBody":"{ \"Parameters\" : { \"AWS::IoT::Certificate::Country\" : { \"Type\" : \"String\" }, \"AWS::IoT::Certificate::Id\" : { \"Type\" : \"String\" } }, \"Resources\" : { \"thing\" : { \"Type\" : \"AWS::IoT::Thing\", \"Properties\" : { \"ThingName\" : {\"Ref\" : \"AWS::IoT::Certificate::Id\"}, \"AttributePayload\" : { \"version\" : \"v1\", \"country\" : {\"Ref\" : \"AWS::IoT::Certificate::Country\"}} } }, \"certificate\" : { \"Type\" : \"AWS::IoT::Certificate\", \"Properties\" : { \"CertificateId\": {\"Ref\" : \"AWS::IoT::Certificate::Id\"}, \"Status\" : \"ACTIVE\" } }, \"policy\" : {\"Type\" : \"AWS::IoT::Policy\", \"Properties\" : { \"PolicyDocument\" : \"{\\\"Version\\\": \\\"2012-10-17\\\",\\\"Statement\\\": [{\\\"Effect\\\":\\\"Allow\\\",\\\"Action\\\": [\\\"iot:Connect\\\",\\\"iot:Publish\\\"],\\\"Resource\\\" : [\\\"*\\\"]}]}\" } } } }","roleArn":"arn:aws:iam::123456789012:role/JITPRole"}
复制代码


我们声明,我们在使用两个预置参数 AWS::IoT::Certificate::Country 和 AWS::IoT::Certificate::Id,而且我们将在“资源”部分中使用它们。JITP 工作流会将参考替换为从证书中提取的值,并且会预置模板中指定的资源。


更具体地说,JITP 工作流将创建:


  • 一个事物资源。

  • 一个策略资源。

  • 然后,它将会:

  • 将策略附加到证书中。

  • 将证书附加到事物中。

  • 将证书状态更新为 ACTIVE。

  • 现在,我们将整个模板与我们从前面的步骤中获得的角色 ARN 一起放入本地文件 provisioning-template.json 中。


有关预置模板的更多信息,请参阅 AWS IoT Core 开发人员指南中的预置模板。

注册 CA 证书

现在,我们已创建示例 CA 证书,我们将在 AWS IoT Core 中注册该证书。要使用 JITP,我们需要将模板和角色与 CA 证书关联。我们可以在注册 CA 证书或稍后更新 CA 证书时完成此步骤。在此示例中,我们将使用模板和角色 ARN 注册 CA 证书。您还可以调用 UpdateCACertificate API 或 update-ca-certificate CLI 命令来更改 CA 证书的状态、启用自动注册状态并通过提供模板和角色 ARN 来设置注册配置。


遵照以下步骤来注册 CA 证书。


首先,我能从 AWS IoT Core 中获取注册代码。此代码将被用作私有密钥验证证书的公用名。


$ aws iot get-registration-code
复制代码


然后,我们为私有密钥验证证书生成一个密钥对。我们将获得名为 verificationCert.key 的文件。


$ openssl genrsa -out verificationCert.key 2048
复制代码


现在,我们执行以下命令来创建私有密钥验证证书的 CSR。我们将获得名为 verificationCert.csr 的文件。


$ openssl req -new -key verificationCert.key -out verificationCert.csr
复制代码


现在,我们需要使用注册代码设置证书的公用名字段:


国家/地区名称(2 个字母代码)[AU]:


州名或省名(全名)[]:


所在地名称(例如,城市)[]:


组织名称(例如,公司)[]:


组织部门名称(例如,部门)[]:


公用名(例如服务器 FQDN 或您的名称)[]: XXXXXXXREGISTRATION-CODEXXXXXXX


电子邮件地址 []:


我们使用 CSR 创建私有密钥验证证书。当我们注册 CA 证书时,我们将使用从此步骤中获得的 verificationCert.pem 文件。


$ openssl x509 -req -in verificationCert.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out verificationCert.pem -days 500 -sha256
复制代码


最后,我们调用 register-ca-certificate CLI 命令来注册 CA 证书。


$ aws iot register-ca-certificate --ca-certificate file://rootCA.pem --verification-cert file://verificationCert.pem --set-as-active --allow-auto-registration --registration-config file://provisioning-template.json
复制代码


我们将收到返回的 HTTP 200 响应,包括已注册的 CA 证书 ARN 和证书 ID。注册 CA 证书后,我们仍然可以调用 UpdateCACertificate API 或 update-ca-certificate CLI 命令在需要时更新注册的 CA 证书。

使用 CA 证书签署的证书自动预置设备

现在,我们已在启用 auto-registration-status 的状态下注册示例 CA 证书并将该证书与预置模板关联,我们可以尝试使用 CA 证书来创建设备证书。设备证书在首次连接到 AWS IoT Core 时自动预置。


要创建设备证书,我们在终端中运行以下命令:


$ openssl genrsa -out deviceCert.key 2048$ openssl req -new -key deviceCert.key -out deviceCert.csr
复制代码


运行这些命令后,我们可以设置证书的主题字段,如国家/地区名称、公用名等等,并将它们传递到 JITP 中。


现在,我们使用设备证书连接到 AWS IoT Core。连接时,我们需要发送设备证书及其注册 CA 证书(示例 CA 证书)。


$ openssl x509 -req -in deviceCert.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 365 -sha256
复制代码


然后,我们会创建一个包含设备证书及其注册 CA 证书的文件。


$ cat deviceCert.crt rootCA.pem > deviceCertAndCACert.crt
复制代码


最后,我们需要 MQTT Mosquitto 客户端使用设备证书连接并发布到 AWS IoT Core 中:


$ mosquitto_pub --cafile root.cert --cert deviceCertAndCACert.crt --key deviceCert.key -h <prefix>.iot.us-east-1.amazonaws.com -p 8883 -q 1 -t foo/bar -I anyclientID --tls-version tlsv1.2 -m "Hello" -d
复制代码


注:root.cert 是 AWS IoT 根证书。要下载该证书,单击此处。在当前目录中将该证书另存为“root.cert”。 由于终端节点的 不同,我们需要运行 describe-endpoint 命令来检索终端节点。


$ aws iot describe-endpoint
复制代码


连接并发布至 AWS IoT Core 后,预置工作流将在 TLS 握手期间自动预置模板中指定的资源。在示例中:


  • 我们为设备创建了事物资源。

  • 创建了示例 CA 证书签署的证书,并将该证书的状态设置为 ACTIVE。

  • 创建了策略资源并将其附加到证书中,并且将证书附加到事物资源上。

  • 现在,设备已完全预置好。您可以使用 AWS IoT 控制台验证这些资源的预置是否符合预期。

小结

在此博文中,我们展示了 JITP 如何简化预置 IoT 设备所需的工作。AWS IoT Core 现在可提供独立、安全的预置系统,帮助制造商在登记设备时节省时间。我们希望您尝试此新功能。欢迎在评论区中留下问题和其他反馈。

了解更多

AWS IoT Core


https://aws.amazon.com/iot-core/


AWS IoT Core 功能


https://aws.amazon.com/iot-core/features/


AWS IoT 设备预置


http://docs.aws.amazon.com/iot/latest/developerguide/iot-provision.html


本文转载自 AWS 博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/setting-up-just-in-time-provisioning-with-aws-iot-core/


2019-09-19 10:31799
用户头像

发布了 1910 篇内容, 共 147.5 次阅读, 收获喜欢 81 次。

关注

评论

发布
暂无评论
发现更多内容

接口测试|HttpRunner简介及安装

霍格沃兹测试开发学社

HttpRunner

建议程序员人手一份,GitHub免费开源阿里巴巴分布式核心原理

小小怪下士

Java 程序员 分布式

杭州云管平台企业有哪些?购买云管平台选择哪家好?

行云管家

云计算 云管平台 云管理 云管

EndNote 20 for Mac(文献管理软件)

背包客

macos Mac软件 EndNote20 endnote EndNote for Mac

【有奖体验】叮!你有一张 3D 卡通头像请查收

阿里巴巴云原生

阿里云 Serverless 云原生

App Cleaner & Uninstaller Pro for Mac(Mac电脑应用程序卸载清理助手) 中文

背包客

macos Mac软件 MacBook Pro Mac清理软件 Mac卸载软件

提示工程:从人机交互视角解读

博文视点Broadview

Final Cut Pro for Mac(fcpx专业视频剪辑工具)

背包客

macos FCPX软件 fcpx Mac视频剪辑软件 Final Cut Pro

阿里云携手开放原子开源基金会倡议发起云原生工作委员会,两大开源项目达成捐赠意向

阿里巴巴云原生

阿里云 开源 云原生

inBuilder今日分享丨Object-C消息转发与发送机制

inBuilder低代码平台

接口测试|HttpRunner模拟发送GET请求&自动生成测试报告

霍格沃兹测试开发学社

HttpRunner

AntDB数据库荣获2023年中国信创产业拳头奖“2023年中国信创数据库卓越品牌”

亚信AntDB数据库

数据库 AntDB AntDB数据库

软件测试|f-string格式化输出的这些用法,90%的Pythoner不知道

霍格沃兹测试开发学社

迈向先进治理与运营范式|2023开放原子全球开源峰会开源社区治理与运营分论坛圆满收官

开放原子开源基金会

开源 开放原子全球开源峰会 开放原子 开源社区治理与运营

2023北京智源大会亮点回顾 | 高性能计算、深度学习和大模型:打造通用人工智能AGI的金三角

GPU算力

如何通过数智平台多维数据库实现价值替代?

用友BIP

数据库 数智平台

开源数据库迎来拐点|2023开放原子全球开源峰会数据库分论坛成功召开

开放原子开源基金会

数据库 开源 开放原子全球开源峰会 开放原子

REST 约束:以用户为中心的设计思路

Apifox

程序员 开发 Rest REST API RESTful API

2023年苏州市等级保护测评公司有哪些?分别叫什么名字?

行云管家

等级保护 等保测评 苏州

一键部署通义千问预体验丨阿里云云原生 5 月动态

阿里巴巴云原生

阿里云 云原生

软件测试|MySQL安装最全教程

霍格沃兹测试开发学社

单元测试|Unittest setup前置初始化和teardown后置操作

霍格沃兹测试开发学社

开源字节 同城信息小程序

源字节1号

开源 软件开发 前端开发 后端开发 小程序开发

软件测试/测试开发丨Python 内置库 json、正则表达式 re

测试人

Python json 程序员 软件测试

LED开关电源里的PCB回路设计应该怎么做?

华秋PCB

电路 PCB LED PCB设计 开关电源

喜讯丨和鲸科技获第七届杨浦“创业之星”大赛创业新锐奖

ModelWhale

Video-LLaMA 开源,大语言模型也能读懂视频了!

Zilliz

计算机视觉 AIGC Towhee LLM

数仓架构“瘦身”,Hologres 5000CU时免费试用

阿里云大数据AI技术

数据库 大数据 企业号 6 月 PK 榜

使用 AWS IoT Core 即时预配置_文化 & 方法_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章