aws 接入awsIOT平台的证书签发逻辑

最新推荐文章于 2024-09-12 09:06:30 发布
最新推荐文章于 2024-09-12 09:06:30 发布
阅读量1.1k 收藏 25
点赞数 7
文章标签: aws 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_41567654/article/details/139205013
版权

参考资料

  • https://aws.amazon.com/cn/blogs/china/certification-vending-machine-intelligent-device-access-aws-iot-platform-solution/

IoT 设备与 AWS IoT Core 的 MQTT 通信使用基于证书的 TLS 1.2双向认证体系。所谓的双向认证,即意味着 IoT 设备端需安装 IoT 设备证书,并且,签发该证书所使用的 CA 证书需要被 IoT Core 授信,从而完成 IoT Core 对 IoT 设备端的认证。并且IoT 设备也会验证 IoT Core 的身份(aws的root_CA)

双向TLS验证模式就会要求设备上所使用的证书需要具备以下条件之一:

  • IoT终端设备上所使用的证书为AWS IoT平台所签发的
  • IoT终端设备上所使用的证书的CA证书预先导入了AWS IoT平台

因此存在两种方式获取设备认证

  • 当用户希望使用从第三方机构购买或者自签发的 CA 证书,并将由该 CA 证书签发的设备证书的设备连接到 AWS IoT Core 时,可以利用即时注册功能来实现。
  • 如果希望直接利用 AWS IoT CA 证书签发的设备证书对设备进行注册激活,参考 Certificate Vending Machine 方案

Certification Vending方案

  • https://aws.amazon.com/cn/blogs/china/certification-vending-machine-intelligent-device-access-aws-iot-platform-solution/

生产出厂的IoT设备,可能在生产过程中没有预装IoT证书,又希望这些设备连接至AWS IoT平台

  • 主要目的是让设备自行向IoT平台申请CA签发的授信证书,并且通过AWS IoT管理平台控制证书权限
img

cvs需要客户自行实现

自签证书方案

自签证书JITR

  • https://aws.amazon.com/cn/blogs/china/aws-iot-series-1/

签发ca和私钥

mkdir cert
cd cert
openssl genrsa -out CA_Private.key 2048
openssl req -x509 -new -nodes -key CA_Private.key -sha256 -days 3650 -out CA_Certificate.pem

为了安全AWS IOT Core 提供了相应的审核流程确保你同时持有 CA 证书和对应的私钥,先获取认证码

aws iot get-registration-code
{
    "registrationCode": "c0700df329cedx68def0c7385c83709b4da075"
}

生成另一个私钥和csr,在csr中填入认证码

openssl genrsa -out Verification_Private.key 2048
openssl req -new -key Verification_Private.key -out Verification.csr

# Organization Name (eg, company) []:
# Organizational Unit Name (eg, section)
# Common Name (e.g. server FQDN or YOUR name) []: XXXXXREGISTRATIONCODEXXXXX

使用ca和私钥,生成中间证书(确保ca和私钥的正确性)

openssl x509 -req -in Verification.csr -CA CA_Certificate.pem -CAkey CA_Private.key -CAcreateserial -out Verification.crt -days 3650 -sha256

导入ca和中间证书

aws iot register-ca-certificate --ca-certificate file://CA_Certificate.pem --verification-certificate file://Verification.crt --set-as-active --allow-auto-registration
{
    "certificateArn": "arn:aws-cn:iot:cn-north-1:037047667284:cacert/6713ebaf9c20cddc742fb91207216ecdda87bf0f0b719e49c28fede72e87e6e6",
    "certificateId": "6713ebaf9c20cddc742fb91207216ecdda87bf0f0b719e49c28fede72e87e6e6"
}

在这里插入图片描述

生成设备私钥和csr

openssl genrsa -out Device.key 2048
openssl req -new -key Device.key -out Device_Certificate.csr

使用ca签发设备证书

openssl x509 -req -in Device_Certificate.csr -CA CA_Certificate.pem -CAkey CA_Private.key -CAcreateserial -out Device_Certificate.crt -days 3650 -sha256

在设备上安装设备证书

!!!重要

  • 此ca证书并非aws签发,因此显示在Certificate authorities
  • 外部设备使用该三方证书签发的设备证书访问iot会自动创建Certificates(并非ca certificates)
  • 之后需要为该设备绑定策略授权

也可以在控制台直接生成上面的这些,区别在于自动生成的实际上是由aws ca签发的

  • 可以直接签发,设备私钥和证书一起生成
  • 或者创建设备私钥和csr后,使用aws ca签发

在这里插入图片描述

当 IoT 设备第一次连接 AWS IoT Core 时,如果它集成的设备证书是由已在 Core 上注册的 CA 证书签发而来,那么相应的设备证书会实现自动注册

  • 注册后的默认状态为“PENDING_ACTIVATION”,意味着虽然设备证书已经成功注册,但是还处于等待激活的状态。同时,这个连接动作默认会发一条消息到 AWS IoT Core 的 MQTT Topic “$aws/events/certificates/registered/” 上,格式如下

    {
    "certificateId": "<certificateID>",
    "caCertificateId": "<caCertificateId>",
    "timestamp": "<timestamp>",
    "certificateStatus": "PENDING_ACTIVATION",
    "awsAccountId": "<awsAccountId>",
    "certificateRegistrationTimestamp": "<certificateRegistrationTimestamp>"
}

  • 可以通过iot规则触发lambda函数完成证书激活

通过lambda函数授权,主要逻辑如下

  • 创建policy
  • 附加在证书上
  • 激活证书
var AWS = require('aws-sdk');

exports.handler = function (event, context, callback) {

  // 根据实际部署区域写入,在certificateARN一处也是。
  var region = "cn-north-1";
  var accountId = event.awsAccountId.toString().trim();
  var iot = new AWS.Iot({
    'region': region,
    apiVersion: '2015-05-28'
  });

  var certificateId = event.certificateId.toString().trim();

  //这里你可以替换成你想要的topic名称
  var topicName = `JITR/test`;
  var certificateARN = `arn:aws-cn:iot:${region}:${accountId}:cert/${certificateId}`;
  var policyName = `Policy_${certificateId}`;
    
  //定义Policy并赋予权限,允许IoT设备连接,发布,订阅和接受消息
  var policy = {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Action": [
          "iot:Publish",
          "iot:Subscribe",
          "iot:Connect",
          "iot:Receive"
        ],
        "Effect": "Allow",
        "Resource": [
          "*"
        ]
      }
    ]
  };

  //创建Policy
  iot.createPolicy({
    policyDocument: JSON.stringify(policy),
    policyName: policyName
  }, (err, data) => {
    //Ignore if the policy already exists
    if (err && (!err.code || err.code !== 'ResourceAlreadyExistsException')) {
      console.log(err);
      callback(err, data);
      return;
    }
    console.log(data);
      
    //附加Policy到设备证书上
    iot.attachPrincipalPolicy({
      policyName: policyName,
      principal: certificateARN
    }, (err, data) => {
      //Ignore if the policy is already attached
      if (err && (!err.code || err.code !== 'ResourceAlreadyExistsException')) {
        console.log(err);
        callback(err, data);
        return;
      }
      console.log(data);
        
      //激活证书
      iot.updateCertificate({
        certificateId: certificateId,
        newStatus: 'ACTIVE'
      }, (err, data) => {
        if (err) {
          console.log(err, err.stack);
          callback(err, data);
        } else {
          console.log(data);
          callback(null, "Success, created, attached policy and activated the certificate " + certificateId);
        }
      });
    });
  });
}

在控制台订阅此ca

在这里插入图片描述

在ec2上下载mosquitto

sudo wget http://download.opensuse.org/repositories/home:/oojah:/mqtt/CentOS_CentOS-7/home:oojah:mqtt.repo -O /etc/yum.repos.d/mqtt.repo
sudo yum install mosquitto mosquitto-clients -y

# 如果上面的命令执行时报依赖缺少的错误,可以加上--skip-broken再执行一遍即可
sudo yum install mosquitto mosquitto-clients -y --skip-broken

合并证书链

cd cert
cat Device_Certificate.crt CA_Certificate.pem > Device_CA_Certificate.crt

发布消息,连接会失败

mosquitto_pub --cafile root-CA.crt --cert Device_CA_Certificate.crt --key Device.key -h xxxxxxxxxxxxxx.iot.cn-north-1.amazonaws.com.cn -p 8883 -q 1 -t JITR/test -i anyclientID --tls-version tlsv1.2 -m "Hello" -d

证书自动创建

在这里插入图片描述

关联admin权限(iot策略)后再次连接

成功连接

在这里插入图片描述

#对于自动生成的证书
mosquitto_sub --cafile AmazonRootCA1.pem --cert 94505e987e73a5b0e380bb25a68bea19874d741b3907cdef0ba903eeef6d9049-certificate.pem.crt  --key 94505e987e73a5b
0e380bb25a68bea19874d741b3907cdef0ba903eeef6d9049-private.pem.key -h a1zwdkk9p50qtr.ats.iot.cn-north-1.amazonaws.com.cn  -p 8883 -q 0 -t sensor -d

控制台订阅test的topic,成功收到消息

在这里插入图片描述

创建thing的逻辑和上面几乎一致,只不过证书可以选择多种方式

使用mosquitto模拟连接后活动能够看到记录

  • 可以看到连接记录和保活记录
# mosquitto_sub --cafile AmazonRootCA1.pem --cert Device_CA_Certificate.crt --key Device.key -h a1zwdkk9p50qtr.ats.iot.cn-north-1.amazonaws.com.cn  -p 8883 -q 1 -t sensor
s/switch/livingroom/open -i bubble --tls-version tlsv1.2  -d
Client bubble sending CONNECT
Client bubble received CONNACK (0)
Client bubble sending SUBSCRIBE (Mid: 1, Topic: sensors/switch/livingroom/open, QoS: 1, Options: 0x00)
Client bubble received SUBACK
Subscribed (mid: 1): 1
Client bubble sending PINGREQ
Client bubble received PINGRESP
  • id为设备名称,用于区分不同的设备证书

在这里插入图片描述

测试发布消息

在这里插入图片描述

在mosquitto成功收到消息

在这里插入图片描述

自签证书JITP

步骤类似,但是使用模板自动在iot上注册

zhaojiew10
关注
构造并发送Beacon帧以伪造任意WiFi热点
fishmai的专栏
11-27 1679
请想象一下这样的情景:你可以任意伪造很多个WiFi热点,然后穿梭在人群中,你身边的人搜索WiFi热点时,满屏幕都是你伪造的WiFi热点,比如这样: (上图中“1.此广告位招租” “2.楼上是傻逼” “3.嫁人就嫁程序员”三个热点就是我伪造的) 你可以用这种技术来广播各种信息,比如表白或求炮友咳咳。当然,这些接入点是无法连接上的,因为它们都是假的! 想知道这是怎么做到的吗? 那就一步步跟着...
[AWS] IoT模拟设备接入测试
BurstLinking的博客
10-21 698
1、AWS IoT AWS IoT是亚马逊一款托管的云平台,使互联设备可以轻松安全地与云应用程序及其他设备交互。 详细参考:https://www.cnblogs.com/lovegrace/p/10982399.html 2、MQTT mqtt是一种基于发布/订阅范式的消息协议,详细参考:https://www.runoob.com/w3cnote/mqtt-intro.html 3、AWS IoT设备注册步骤 3.1进入iot控制台,创建物品ting,下一步点击一键创建证书 点击激
工业物联网 将工业设备快速连接到亚马逊AWS IoT的边缘层软件AwsIotDeviceAgent
无锡凌顶科技
03-09 7830
概述 AWS IoTAWS 云服务中的物联网服务和解决方案,能够连接和管理数十亿台设备,这些设备连接AWS IoT后,即可利用 AWS 提供的云服务实现完整的物联网解决方案,如数据存储、分析、机器学习和行业价值洞察。 将工业设备连接AWS IoT需要基于AWS IoT设备开发工具包(SDK)构建边缘网关应用,这需要较为复杂的开发工作。本次发布的AwsIotDeviceAgent结合凌顶其他边缘应用软件,能够快速的实现工业设备AWS IoT Core的交互,从而为终端用户提供开箱即用的解决方案
亚马逊X509证书调用AWS服务
dandingwangzi的专栏
02-11 512
亚马逊X509证书调用AWS服务
如何把设备安全的接入AWS IoT(一)
fishmai的专栏
11-27 1723
1. 简介 AWS IoT 解决方案是一个全托管的云平台,使互联设备可以轻松安全地与云应用程序及其他设备交互。AWS IoT 可支持数十亿台设备和数万亿条消息,并且可以对这些消息进行处理并将其安全可靠地路由至 AWS 终端节点和其他设备AWS IoT 平台支持您将设备连接AWS 服务和其他设备,保证数据和交互的安全,处理设备数据并对其执行操作,以及支持应用程序与即便处于离线状态的设备进行交互。由于 AWS IoT 与 AI 服务集成,您也可以使设备更智能。AWS IoT 还提供最全面的安全功能,以便
awsIot for Java 使用Iot服务,创建证书
HuYong
09-06 771
/** * 创建证书 * @param accessKey * @param secretAccessKey * @return */ private static CreateKeysAndCertificateResult createCertificate(String accessKey,String secretAccessKey){ try { //...
那些知名的IT证书AWS
customservice的博客
02-05 1395
聊一聊AWS的相关认证,和大家一起看看AWS认证的那些问路!
如何把设备安全的接入AWS IoT(二)
fishmai的专栏
11-27 643
请想象一下这样的情景:你可以任意伪造很多个WiFi热点,然后穿梭在人群中,你身边的人搜索WiFi热点时,满屏幕都是你伪造的WiFi热点,比如这样: (上图中“1.此广告位招租” “2.楼上是傻逼” “3.嫁人就嫁程序员”三个热点就是我伪造的) 你可以用这种技术来广播各种信息,比如表白或求炮友咳咳。当然,这些接入点是无法连接上的,因为它们都是假的! 想知道这是怎么做到的吗? 那就一步步跟着学吧~ 对了,先说明一下,这个技术只能在linux上使用,而且对无线网卡也有一定的挑剔,具体的下面会讲~ =
支持鸿蒙系统的AWS IoT 亚马逊物联网云平台接入软件包
04-03
aws资源支持鸿蒙系统的AWS IoT 亚马逊物联网云平台接入软件包。适用于嵌入式 C 的 AWS IoT 设备开发工具包是 C 源文件的集合,可用于嵌入式应用程序以安全地连接AWS IoT 平台。它包括传输客户端、MQTT、TLS 实现...
esp8266连接aws_iot测试代码
05-13
AWS IoT平台上,你需要创建一个IoT设备,并获取其身份证书、私钥和证书ID。这些安全凭证用于验证ESP8266的身份,确保只有授权的设备可以连接并通信。将这些文件保存在安全的地方,并在ESP8266的代码中引用它们。 ...
aws-iot-device-sdk-java:Java SDK,用于从设备连接AWS IoT
05-17
适用于Java的AWS IoT设备SDK使Java开发人员可以通过通过访问AWS IoT平台。 该SDK内置了,可使用包括GET,UPDATE和DELETE在内的影子方法提供对事物影子(有时称为设备影子)的访问。 它还支持简化的影子访问模型,该...
智能物联网关接入AWS云Thingsboard平台操作说明.mp4
10-25
智能物联网关接入AWS云Thingsboard平台
Ippon_IoT_Android::mobile_phone:AndroidIoT管理应用程序连接AWS IoT。 需要
04-27
适用于AWS IoT的Android IoT管理应用程序 该应用程序可以做什么: 列出具有设备影子和属性的AWS IoT中的设备 通过传感器实时绘制温度和湿度图 为规则设置SNS通知(在AWS IoT中创建规则) 先决条件: AWS环境和设备...
AWS IOT 学习笔记(一)JITP
InfiniteYuan
11-25 839
JITP参考资料 参考资料 Setting Up Just-in-Time Provisioning with AWS IoT Core
awsIot服务端集成 springboot
qq_39552993的博客
10-08 745
最近公司需求需要做物联网功能的东西,最后选择了awsiot技术,由于第一次做,只能硬着头皮看这aws上的英文文档。 首先我是先百度了下发现初始化awsiot客户端全是用AWS SDK for Java1.x,然而官方却推荐AWS SDK for Java2.x,最后只能靠自己了。。。 代码如下 首先初始化awsIot客户端 package com.example.awsmqtt.config; import org.springframework.beans.factory.annotation.Val
如何在IoT物联网平台注册私有CA证书,来实现X.509方式设备身份认证?——实践类
AIoT2688的博客
02-28 765
简介: 私有CA证书制作和验证
AWS IoT Core 实战指南
TechEnthusiast的博客
01-09 939
Amazon Web Services (AWS) 提供了全球范围内的托管服务,其中包括 AWS IoT Core,专为连接和管理物联网设备而设计。这个实战指南将带你一步步了解如何使用 AWS IoT Core 来注册设备、提高安全性、进行通信以及利用设备影子功能。
亚马逊云AWS MQTTS 证书使用说明
HanGo_Linker的博客
06-15 750
SSL/TLS 双向认证
AWS Lambda 与 Java
最新发布
Flying_Fish_roe的博客
09-12 606
AWS Lambda是 Amazon Web Services(AWS)提供的一种无服务器计算服务,它允许开发者在无需管理服务器的情况下运行代码。AWS Lambda 的核心思想是“按需计算”,用户只需要为代码的实际运行时间付费,而不必关心底层的基础设施,如服务器的运维、扩展和可用性。AWS Lambda 的典型工作流程是基于事件触发的:当某个事件(如 HTTP 请求、文件上传、数据库更改等)发生时,Lambda 函数被自动触发,执行相应的业务逻辑
aws iot mqtt 设备接入 ec20
10-05
AWS IoT是一种完全托管的云服务,用于将物联网(IoT设备连接到Amazon云平台,实现设备的管理和数据通信。而EC2(Elastic Compute Cloud)是亚马逊AWS云计算服务的一部分,为用户提供可伸缩的虚拟服务器环境。 要实现AWS IoT MQTT设备接入EC2,首先需要将MQTT设备注册到AWS IoT平台。在AWS IoT中,我们可以创建设备证书和密钥,然后将其下载到设备上。设备使用这些证书和密钥来与AWS IoT平台建立安全的连接。 然后,在EC2中,我们需要设置一个运行MQTT Broker的服务器。可以选择使用Mosquitto等开源软件或AWS IoT Core来搭建MQTT Broker。根据实际需求,我们可以选择搭建独立的MQTT Broker服务器,或者在现有的EC2实例中运行。 接下来,我们需要为EC2实例配置安全组规则,以允许设备通过MQTT协议与EC2进行通信。可以为设备定义入站和出站规则,以确保连接的安全性。 完成这些配置后,设备就可以使用其证书和密钥通过MQTT协议与EC2建立连接了。设备可以发布数据到指定的主题(topic),或订阅感兴趣的主题,接收其他设备或EC2发布的消息。 通过AWS IoT MQTT设备接入EC2,可以实现设备和云端之间的实时数据传输和通信。设备可以将传感器数据、状态信息等上传到EC2进行处理和分析,也可以接收来自EC2的指令和控制信息。 总之,AWS IoT MQTT设备接入EC2是一种有效的方式,将物联网设备连接云计算环境中,实现设备管理和数据交换。同时,它还提供了强大的安全性和灵活性,满足不同场景下的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值