Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Enregistrer un certificat client lorsque le client se connecte à l' AWS IoT just-in-time enregistrement (JITR)
<a name="auto-register-device-cert"></a>

Vous pouvez configurer un certificat CA pour permettre aux certificats clients qu'il a signés de s'enregistrer AWS IoT automatiquement lors de la première connexion du client AWS IoT.

Pour enregistrer des certificats client lorsqu'un client se connecte AWS IoT pour la première fois, vous devez activer le certificat CA pour l'enregistrement automatique et configurer la première connexion du client afin de fournir les certificats requis.

## Configuration d’un certificat d'autorité de certification pour la prise en charge de l'enregistrement automatique (console)
<a name="enable-auto-registration-console"></a>

**Pour configurer un certificat CA afin de prendre en charge l'enregistrement automatique des certificats clients à l'aide de la AWS IoT console**

1. Connectez-vous à la console AWS de gestion et [AWS IoT ouvrez-la](https://console.aws.amazon.com/iot/home).

1. Dans le volet de navigation de gauche, choisissez **Secure**, choisissez **CAs**.

1. Dans la liste des autorités de certification, recherchez celle pour laquelle vous souhaitez activer l'enregistrement automatique et ouvrez le menu d'options à l'aide de l'icône représentant des points de suspension.

1. Dans le menu d'options, choisissez **Activer l'enregistrement automatique**.

**Note**  
Le statut d'enregistrement automatique n'apparaît pas dans la liste des autorités de certification. Pour voir le statut d'enregistrement automatique d'une autorité de certification, vous devez ouvrir la page **Détails** de l'autorité de certification.

## Configuration d’un certificat d'autorité de certification pour la prise en charge de l'enregistrement automatique (CLI)
<a name="enable-auto-registration-cli"></a>

Si vous avez déjà enregistré votre certificat CA auprès de AWS IoT, utilisez la [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)commande pour définir `autoRegistrationStatus` le certificat CA sur`ENABLE`.

```
aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE
```

Si vous souhaitez activer `autoRegistrationStatus` lors de l'enregistrement du certificat d'autorité de certification, utilisez la commande [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html).

```
aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```

Utilisez la commande [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) pour voir le statut du certificat d'autorité de certification.

## Configuration de la première connexion par un client pour l'enregistrement automatique
<a name="configure-auto-reg-first-connect"></a>

Lorsqu'un client tente de se connecter AWS IoT pour la première fois, le certificat client signé par votre certificat CA doit être présent sur le client lors de la prise de contact TLS (Transport Layer Security).

Lorsque le client se connecte à AWS IoT, utilisez le certificat client que vous avez créé dans [Créer des certificats AWS IoT clients](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-create.html) ou [Créez vos propres certificats clients](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html). AWS IoT reconnaît le certificat CA en tant que certificat CA enregistré, enregistre le certificat client et définit son statut sur`PENDING_ACTIVATION`. Cela signifie que le certificat client a été enregistré automatiquement et qu'il est en attente d'activation. L'état du certificat client doit être `ACTIVE` avant de pouvoir être utilisé pour la connexion à AWS IoT. Consultez [Activation ou désactivation d’un certificat client](activate-or-deactivate-device-cert.md) pour plus d'informations sur l'activation d'un certificat client.

**Note**  
Vous pouvez approvisionner des appareils à l'aide de la fonction AWS IoT Core just-in-time d'enregistrement (JITR) sans avoir à envoyer l'intégralité de la chaîne de confiance lors de la première connexion des appareils à. AWS IoT Core La présentation du certificat CA est facultative, mais l'appareil doit envoyer l'extension [SNI (Server Name Indication)](https://datatracker.ietf.org/doc/html/rfc3546#section-3.1) lors de la connexion.

Lors de l'enregistrement AWS IoT automatique d'un certificat ou lorsqu'un client présente un certificat avec le `PENDING_ACTIVATION` statut, AWS IoT publie un message sur la rubrique MQTT suivante :

`$aws/events/certificates/registered/caCertificateId`

Où `caCertificateId` est l'ID du certificat d’autorité de certification ayant émis le certificat client.

Le message publié sur cette rubrique a la structure suivante :

```
{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}
```

Vous pouvez créer une règle qui écoute cette rubrique et effectue certaines actions. Nous vous recommandons de créer une règle Lambda qui vérifie que le certificat client ne figure pas sur une liste de révocation de certificats (CRL), active le certificat, puis crée et attache une politique au certificat. La stratégie détermine les ressources auxquelles le client peut accéder. Si la politique que vous créez nécessite l'ID client des appareils connectés, vous pouvez utiliser la fonction clientid () de la règle pour récupérer l'ID client. Voici un exemple de définition de règle :

```
SELECT *,
   clientid() as clientid
from $aws/events/certificates/registered/caCertificateId
```

Dans cet exemple, la règle s'abonne à la rubrique JITR `$aws/events/certificates/registered/caCertificateID` et utilise la fonction clientid () pour récupérer l'identifiant du client. La règle ajoute ensuite l'ID client à la charge utile JITR. Pour plus d'informations sur la fonction clientid () de la règle, consultez [clientid](https://docs.aws.amazon.com//iot/latest/developerguide/iot-sql-functions.html#iot-sql-function-clientid) ().

Pour plus d'informations sur la création d'une règle Lambda qui écoute le `$aws/events/certificates/registered/caCertificateID` sujet et exécute ces actions, consultez la section [just-in-time Enregistrement des certificats clients](https://aws.amazon.com/blogs/iot/just-in-time-registration-of-device-certificates-on-aws-iot/) sur. AWS IoT

Si une erreur ou une exception survient lors de l'enregistrement automatique des certificats clients, AWS IoT envoie des événements ou des messages à vos journaux de CloudWatch connexion. Pour plus d'informations sur la configuration des journaux de votre compte, consultez la [ CloudWatch documentation Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/).