Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Registrar un certificado de cliente
<a name="register-device-cert"></a>

Los certificados de cliente deben estar registrados AWS IoT para permitir las comunicaciones entre el cliente y AWS IoT. Puede registrar cada certificado de cliente manualmente o puede configurar los certificados de cliente para que se registren automáticamente cuando el cliente se conecte AWS IoT por primera vez.

 Si desea que los clientes y dispositivos registren sus certificados de cliente cuando se conecten por primera vez, debe usar [Registro del certificado CA](manage-your-CA-certs.md#register-CA-cert) para firmar el certificado de cliente con AWS IoT en las regiones en las que desea usarlo. La CA Amazon Root se registra automáticamente en AWS IoT. 

Los certificados de cliente se pueden compartir Cuentas de AWS entre distintas regiones. Los procedimientos de estos temas deben realizarse en cada cuenta y región en la que desee utilizar el certificado de cliente. El registro de un certificado de cliente en una cuenta o región no es reconocido automáticamente por otra.

**nota**  
Los clientes que utilizan el protocolo Transport Layer Security (TLS) para conectarse a AWS IoT deben admitir la [extensión de indicación de nombre de servidor (SNI)](https://tools.ietf.org/html/rfc3546#section-3.1) para TLS. Para obtener más información, consulte [Seguridad del transporte en AWS IoT Core](transport-security.md).

**Topics**
+ [Registrar manualmente un certificado de cliente](manual-cert-registration.md)
+ [Registre un certificado de cliente cuando el cliente se conecte al AWS IoT just-in-time registro (JITR)](auto-register-device-cert.md)

# Registrar manualmente un certificado de cliente
<a name="manual-cert-registration"></a>

Puede registrar un certificado de cliente manualmente mediante la AWS IoT consola y AWS CLI.

El procedimiento de registro que se utilice depende de si el certificado será compartido por Cuenta de AWS s y Regions. El registro de un certificado de cliente en una cuenta o región no es reconocido automáticamente por otra.

Los procedimientos de este tema deben realizarse en cada cuenta y región en la que desee utilizar el certificado de cliente. Los certificados de cliente se pueden compartir entre Cuenta de AWS sí y entre regiones. 

## Registro manual un certificado de cliente firmado por una entidad de certificación registrada (consola)
<a name="manual-cert-registration-console"></a>

**nota**  
Antes de realizar este procedimiento, asegúrese de tener el archivo.pem del certificado de cliente y de que el certificado de cliente ha sido firmado por una entidad emisora de certificados en la que se haya [registrado](manage-your-CA-certs.md#register-CA-cert). AWS IoT

**Para registrar un certificado existente AWS IoT mediante la consola**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación, en la sección **Administrar**, elija **Seguridad** y luego **Certificados**.

1. En la página **Certificados** del cuadro de diálogo **Certificados**, seleccione **Agregar certificado** y, a continuación, seleccione **Registrar certificados**.

1. En la página **Registrar certificado** del cuadro de diálogo **Certificados para cargar**, haga lo siguiente:
   + Seleccione **La CA está registrada en AWS IoT**.
   + En **Elija un certificado de CA**, seleccione su **autoridad de certificación**. 
     + Seleccione **Registrar una nueva CA** para registrar una nueva **autoridad de certificación** en la que no esté registrada en AWS IoT.
     + Deje en blanco la opción **Elija un certificado de CA** si su autoridad de certificación es la **autoridad de certificación Amazon Root**.
   + Seleccione un máximo de 10 certificados para cargarlos y registrarlos AWS IoT.
     + Utilice los archivos de certificado que creó en [Cree certificados de AWS IoT cliente](device-certs-create.md) y [Crear un certificado de cliente mediante el certificado de entidad de certificación](create-device-cert.md).
   + Elija **Activar** o **Desactivar**. Si selecciona **Desactivar**, [Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md) explica cómo activar el certificado después de registrarlo.
   + Elija **Registrar**.

En la página **Certificados** en el cuadro de diálogo **Certificados**, ahora aparecerán los certificados registrados.

## Registro manual un certificado de cliente firmado por una entidad de certificación no registrada (consola)
<a name="manual-cert-registration-console-noca"></a>

**nota**  
Antes de realizar este procedimiento, asegúrese de que tiene el archivo .pem del certificado de cliente.

**Para registrar un certificado existente AWS IoT mediante la consola**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación izquierdo, elija **Security (Seguridad)**, elija **Certificates (Certificados)** y, a continuación, elija **Crear**.

1. En **Crear un certificado**, busque la entrada **Usar mi certificado** y elija **Comenzar**.

1. En **Seleccionar una entidad de certificación**, elija **Siguiente**.

1.  En **Registrar certificados de dispositivo existentes**, elija **Seleccionar certificados** y seleccione hasta 10 archivos de certificado para registrar. 

1.  Después de cerrar el cuadro de diálogo de archivo, seleccione si desea activar o revocar los certificados de cliente cuando los registre.

   Si no activa un certificado cuando se registra, [Activar un certificado de cliente (consola)](activate-or-deactivate-device-cert.md#activate-device-cert-console) describe cómo activarlo más adelante. 

   Si un certificado se revoca cuando se registra, no se puede activar más tarde.

   Después de elegir los archivos de certificado que desea registrar y seleccionar las acciones que desea realizar después del registro, elija **Registrar certificados**.

Los certificados de cliente registrados correctamente aparecen en la lista de certificados.

## Registro de un certificado de cliente firmado por una entidad de certificación registrada (CLI)
<a name="manual-cert-registration-cli"></a>

**nota**  
Antes de realizar este procedimiento, asegúrese de que tiene el archivo .pem de la entidad de certificación y el archivo .pem del certificado de cliente. El certificado de cliente debe estar firmado por una entidad de certificación (CA) en la que se haya [registrado AWS IoT](manage-your-CA-certs.md#register-CA-cert).

Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html) para registrar, pero no activar, un certificado de cliente.

```
aws iot register-certificate \
    --certificate-pem file://device_cert_filename.pem \
    --ca-certificate-pem file://ca_cert_filename.pem
```

El certificado de cliente está registrado AWS IoT, pero aún no está activo. Consulte [Activar un certificado de cliente (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) para obtener más información sobre cómo activarlo más adelante.

También puede activar el certificado de cliente cuando lo registre utilizando este comando.

```
aws iot register-certificate \
    --set-as-active \
    --certificate-pem file://device_cert_filename.pem \
    --ca-certificate-pem file://ca_cert_filename.pem
```

Para obtener más información sobre cómo activar el certificado para poder usarlo como conexión AWS IoT, consulte [Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md)

## Registro de un certificado de cliente firmado por una entidad de certificación no registrada (CLI)
<a name="manual-cert-registration-noca-cli"></a>

**nota**  
Antes de llevar a cabo este procedimiento, asegúrese de que tiene el archivo .pem del certificado.

Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html) para registrar, pero no activar, un certificado de cliente.

```
aws iot register-certificate-without-ca \
    --certificate-pem file://device_cert_filename.pem
```

El certificado de cliente está registrado AWS IoT, pero aún no está activo. Consulte [Activar un certificado de cliente (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) para obtener más información sobre cómo activarlo más adelante.

También puede activar el certificado de cliente cuando lo registre utilizando este comando.

```
aws iot register-certificate-without-ca \
    --status ACTIVE \
    --certificate-pem file://device_cert_filename.pem
```

Para obtener más información sobre cómo activar el certificado para poder utilizarlo como conexión AWS IoT, consulte[Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md).

# Registre un certificado de cliente cuando el cliente se conecte al AWS IoT just-in-time registro (JITR)
<a name="auto-register-device-cert"></a>

Puede configurar un certificado de CA para permitir que los certificados de cliente con los que ha firmado se registren AWS IoT automáticamente la primera vez que el cliente se conecte. AWS IoT

Para registrar los certificados de cliente cuando un cliente se conecte AWS IoT por primera vez, debe habilitar el registro automático del certificado de CA y configurar la primera conexión del cliente para proporcionar los certificados necesarios.

## Configurar un certificado de entidad de certificación para admitir el registro automático (consola)
<a name="enable-auto-registration-console"></a>

**Para configurar un certificado de CA para que admita el registro automático de certificados de cliente mediante la AWS IoT consola**

1. Inicie sesión en la consola AWS de administración y abra la [AWS IoT consola](https://console.aws.amazon.com/iot/home).

1. En el panel de navegación izquierdo, selecciona **Seguro** y elige **CAs**.

1. En la lista de entidades de certificación, busque aquella para la que desea habilitar el registro automático y abra el menú de opciones mediante el icono de puntos suspensivos.

1. En el menú de opciones, elija **Enable auto-registration (Habilitar registro automático)**.

**nota**  
El estado de registro automático no se muestra en la lista de entidades de certificación. Para ver el estado de registro automático de una entidad de certificación, debe abrir la página **Details (Detalles)** de la entidad de certificación.

## Configurar un certificado de entidad de certificación para admitir el registro automático (CLI)
<a name="enable-auto-registration-cli"></a>

Si ya ha registrado su certificado de CA AWS IoT, utilice el [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)comando para establecer el certificado `autoRegistrationStatus` de CA en`ENABLE`.

```
aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE
```

Si desea habilitar `autoRegistrationStatus` al registrar el certificado de entidad de certificación, utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html).

```
aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```

Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) para ver el estado del certificado de entidad de certificación.

## Configurar la primera conexión de un cliente para el registro automático
<a name="configure-auto-reg-first-connect"></a>

Cuando un cliente intenta conectarse AWS IoT por primera vez, el certificado de cliente firmado por su certificado de CA debe estar presente en el cliente durante el protocolo de enlace de Transport Layer Security (TLS).

Cuando el cliente se conecte AWS IoT, utilice el certificado de cliente que creó en [Crear certificados de AWS IoT cliente o Crear sus propios certificados](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-create.html) [de cliente](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html). AWS IoT reconoce el certificado de CA como un certificado de CA registrado, registra el certificado de cliente y establece su estado en`PENDING_ACTIVATION`. Esto significa que el certificado de cliente se registró automáticamente y que está a la espera de su activación. El estado del certificado de cliente debe ser `ACTIVE` antes de que se pueda usar para conectarse a AWS IoT. Consulte [Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md) para obtener información sobre la activación de un certificado de cliente.

**nota**  
Puede aprovisionar los dispositivos mediante la función de AWS IoT Core just-in-time registro (JITR) sin tener que enviar toda la cadena de confianza en el momento de la primera conexión de los dispositivos. AWS IoT Core La presentación del certificado de entidad de certificación es opcional, pero es necesario que el dispositivo envíe la [extensión Indicación del nombre del servidor (SNI)](https://datatracker.ietf.org/doc/html/rfc3546#section-3.1) cuando se conecte.

Cuando registra AWS IoT automáticamente un certificado o cuando un cliente presenta un certificado en ese `PENDING_ACTIVATION` estado, AWS IoT publica un mensaje sobre el siguiente tema de MQTT:

`$aws/events/certificates/registered/caCertificateId`

Donde `caCertificateId` es el ID del certificado de entidad de certificación que generó el certificado de cliente.

El mensaje publicado en este tema tiene la estructura siguiente:

```
{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}
```

Puede crear una regla que escuche este tema y realice algunas acciones. Le recomendamos crear una regla de Lambda que verifique que el certificado de cliente no se encuentre en una lista de revocación de certificados (CRL), active el certificado y cree una política y la asocie a este. La política determina a qué recursos puede tener acceso el cliente. Si la política que va a crear requiere el ID de cliente de los dispositivos que se conectan, puede utilizar la función clientid() de la regla para recuperar el ID de cliente. Un ejemplo de definición de regla sería el siguiente:

```
SELECT *,
   clientid() as clientid
from $aws/events/certificates/registered/caCertificateId
```

En este ejemplo, la regla se suscribe al tema de JITR `$aws/events/certificates/registered/caCertificateID` y utiliza la función clientid() para recuperar el ID de cliente. A continuación, la regla agrega el ID de cliente a la carga útil de JITR. Para obtener más información sobre la función clientid() de la regla, consulte [clientid()](https://docs.aws.amazon.com//iot/latest/developerguide/iot-sql-functions.html#iot-sql-function-clientid).

Para obtener más información sobre cómo crear una regla Lambda que escuche el `$aws/events/certificates/registered/caCertificateID` tema y lleve a cabo estas acciones, consulte [just-in-time Registro de certificados de cliente](https://aws.amazon.com/blogs/iot/just-in-time-registration-of-device-certificates-on-aws-iot/) en. AWS IoT

Si se produce algún error o excepción durante el registro automático de los certificados de cliente, AWS IoT envía eventos o mensajes a sus CloudWatch registros en Logs. Para obtener más información sobre cómo configurar los registros de tu cuenta, consulta la [ CloudWatch documentación de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/).