Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Enregistrement d’un certificat client
<a name="register-device-cert"></a>

Les certificats clients doivent être enregistrés AWS IoT pour permettre les communications entre le client et AWS IoT. Vous pouvez enregistrer chaque certificat client manuellement ou configurer les certificats client pour qu'ils s'enregistrent automatiquement lorsque le client se connecte AWS IoT pour la première fois.

 Si vous souhaitez que vos clients et appareils enregistrent leurs certificats clients lors de leur première connexion, vous devez utiliser [Enregistrement de votre certificat d’autorité de certification](manage-your-CA-certs.md#register-CA-cert) pour signer le certificat client auprès d’ AWS IoT dans les régions où vous souhaitez l'utiliser. L'autorité de certification Amazon Root est automatiquement enregistrée auprès de AWS IoT. 

Les certificats clients peuvent être partagés par Comptes AWS et par régions. Les procédures décrites dans ces rubriques doivent être effectuées dans chaque compte et chaque région où vous souhaitez utiliser le certificat client. L'enregistrement d'un certificat client dans un compte ou une région n'est pas automatiquement reconnu par un autre compte ou une autre région.

**Note**  
Les clients qui utilisent le protocole TLS (Transport Layer Security) pour se connecter à AWS IoT doivent prendre en charge l'[extension SNI (Server Name Indication)](https://tools.ietf.org/html/rfc3546#section-3.1) de TLS. Pour de plus amples informations, veuillez consulter [Sûreté des transports dans AWS IoT Core](transport-security.md).

**Topics**
+ [Enregistrement manuel d’un certificat client](manual-cert-registration.md)
+ [Enregistrer un certificat client lorsque le client se connecte à l' AWS IoT just-in-time enregistrement (JITR)](auto-register-device-cert.md)

# Enregistrement manuel d’un certificat client
<a name="manual-cert-registration"></a>

Vous pouvez enregistrer un certificat client manuellement à l'aide de la AWS IoT console et AWS CLI.

La procédure d'enregistrement à utiliser dépend du fait que le certificat sera partagé ou non par Compte AWS les régions. L'enregistrement d'un certificat client dans un compte ou une région n'est pas automatiquement reconnu par un autre compte ou une autre région.

Les procédures décrites dans cette rubrique doivent être effectuées dans chaque compte et chaque région où vous souhaitez utiliser le certificat client. Les certificats clients peuvent être partagés par Compte AWS s et par régions. 

## Enregistrement d’un certificat client signé par une autorité de certification enregistrée (console)
<a name="manual-cert-registration-console"></a>

**Note**  
Avant d'exécuter cette procédure, assurez-vous que vous disposez du fichier .pem du certificat client et que le certificat client a été signé par une autorité de certification auprès de laquelle vous vous êtes [enregistré](manage-your-CA-certs.md#register-CA-cert). AWS IoT

**Pour enregistrer un certificat existant à AWS IoT l'aide de la console**

1. Connectez-vous à la console AWS de gestion et [AWS IoT ouvrez-la](https://console.aws.amazon.com/iot/home).

1. Dans le panneau de navigation, sous la section **Gérer**, choisissez **Sécurité**, puis **Certificats**.

1. Sur la page **Certificats** de la boîte de dialogue **Certificats**, choisissez **Ajouter un certificat**, puis **Enregistrer les certificats**.

1. Sur la page **Enregistrer le certificat** de la boîte de dialogue **Certificats à télécharger**, procédez comme suit :
   + Choisissez **CA est enregistré auprès de AWS IoT**.
   + Dans **Choisir un certificat CA**, sélectionnez votre **autorité de certification**. 
     + Choisissez **Enregistrer une nouvelle autorité de certification** pour enregistrer une nouvelle **autorité de certification** qui n'est pas enregistrée auprès de celle-ci AWS IoT.
     + Laissez le champ **Choisir un certificat CA** vide si **l'autorité de certification Amazon Root** est votre autorité de certification.
   + Sélectionnez jusqu'à 10 certificats à télécharger et à enregistrer AWS IoT.
     + Utilisez les fichiers de certificat que vous avez créés dans [Création de certificats AWS IoT clients](device-certs-create.md) et[Création d’un certificat client à l'aide de votre certificat d’autorité de certification](create-device-cert.md).
   + Choisissez **Activer** ou **Désactiver**. Si vous choisissez **Désactiver**, [Activation ou désactivation d’un certificat client](activate-or-deactivate-device-cert.md) explique comment activer votre certificat après l'avoir enregistré.
   + Choisissez **S’inscrire**.

Sur la page **Certificats** de la boîte de dialogue **Certificats**, vos certificats enregistrés apparaissent désormais.

## Enregistrement d’un certificat client signé par une autorité de certification non enregistrée (console)​
<a name="manual-cert-registration-console-noca"></a>

**Note**  
Avant d'effectuer cette procédure, assurez-vous de disposer du fichier .pem du certificat client.

**Pour enregistrer un certificat existant à AWS IoT l'aide de la console**

1. Connectez-vous à la console AWS de gestion et [AWS IoT ouvrez-la](https://console.aws.amazon.com/iot/home).

1. Dans le volet de navigation de gauche, choisissez successivement **Sécurité**, **Certificats** et **Créer**.

1. Dans **Créer un certificat**, recherchez l'entrée **Utiliser mon certificat**, puis choisissez **Commencer**.

1. Dans **Sélectionner une autorité de certification**, choisissez **Suivant**.

1.  Dans **Enregistrer des certificats d'appareils existants**, choisissez **Sélectionner les certificats** et sélectionnez jusqu'à 10 fichiers de certificats à enregistrer. 

1.  Après avoir fermé la boîte de dialogue du fichier, indiquez si vous souhaitez activer ou révoquer les certificats clients lorsque vous les enregistrez.

   Si vous n'activez pas un certificat lors de son enregistrement, [Activation d’un certificat client (console)](activate-or-deactivate-device-cert.md#activate-device-cert-console) décrit comment l'activer ultérieurement. 

   Si un certificat est révoqué lors de son enregistrement, il ne peut pas être activé ultérieurement.

   Après avoir sélectionné les fichiers de certificat à enregistrer et sélectionné les actions à effectuer après l'enregistrement, sélectionnez **Enregistrer les certificats**.

Les certificats clients enregistrés apparaissent dans la liste des certificats.

## Enregistrement d’un certificat client signé par une autorité de certification enregistrée (CLI)
<a name="manual-cert-registration-cli"></a>

**Note**  
Avant d'effectuer cette procédure, assurez-vous de disposer du fichier .pem de l'autorité de certification et du fichier .pem du certificat client. Le certificat client doit être signé par une autorité de certification (CA) [auprès de laquelle vous vous êtes enregistré AWS IoT](manage-your-CA-certs.md#register-CA-cert).

Utilisez la commande [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html) pour enregistrer un certificat client sans l’activer.

```
aws iot register-certificate \
    --certificate-pem file://device_cert_filename.pem \
    --ca-certificate-pem file://ca_cert_filename.pem
```

Le certificat client est enregistré auprès de AWS IoT, mais il n'est pas encore actif. Veuillez consulter [Activation d’un certificat client (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) pour de plus amples informations sur la façon de l'activer ultérieurement.

Vous pouvez également activer le certificat client lorsque vous l'enregistrez à l'aide de cette commande.

```
aws iot register-certificate \
    --set-as-active \
    --certificate-pem file://device_cert_filename.pem \
    --ca-certificate-pem file://ca_cert_filename.pem
```

Pour plus d'informations sur l'activation du certificat afin qu'il puisse être utilisé pour se connecter à AWS IoT, voir [Activation ou désactivation d’un certificat client](activate-or-deactivate-device-cert.md)

## Enregistrement d’un certificat client signé par une autorité de certification non enregistrée (CLI)​
<a name="manual-cert-registration-noca-cli"></a>

**Note**  
Avant d'effectuer cette procédure, assurez-vous de disposer du fichier .pem du certificat.

Utilisez la commande [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html) pour enregistrer un certificat client sans l’activer.

```
aws iot register-certificate-without-ca \
    --certificate-pem file://device_cert_filename.pem
```

Le certificat client est enregistré auprès de AWS IoT, mais il n'est pas encore actif. Veuillez consulter [Activation d’un certificat client (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) pour de plus amples informations sur la façon de l'activer ultérieurement.

Vous pouvez également activer le certificat client lorsque vous l'enregistrez à l'aide de cette commande.

```
aws iot register-certificate-without-ca \
    --status ACTIVE \
    --certificate-pem file://device_cert_filename.pem
```

Pour plus d'informations sur l'activation du certificat afin qu'il puisse être utilisé pour se connecter AWS IoT, consultez[Activation ou désactivation d’un certificat client](activate-or-deactivate-device-cert.md).

# Enregistrer un certificat client lorsque le client se connecte à l' AWS IoT just-in-time enregistrement (JITR)
<a name="auto-register-device-cert"></a>

Vous pouvez configurer un certificat CA pour permettre aux certificats clients qu'il a signés de s'enregistrer AWS IoT automatiquement lors de la première connexion du client AWS IoT.

Pour enregistrer des certificats client lorsqu'un client se connecte AWS IoT pour la première fois, vous devez activer le certificat CA pour l'enregistrement automatique et configurer la première connexion du client afin de fournir les certificats requis.

## Configuration d’un certificat d'autorité de certification pour la prise en charge de l'enregistrement automatique (console)
<a name="enable-auto-registration-console"></a>

**Pour configurer un certificat CA afin de prendre en charge l'enregistrement automatique des certificats clients à l'aide de la AWS IoT console**

1. Connectez-vous à la console AWS de gestion et [AWS IoT ouvrez-la](https://console.aws.amazon.com/iot/home).

1. Dans le volet de navigation de gauche, choisissez **Secure**, choisissez **CAs**.

1. Dans la liste des autorités de certification, recherchez celle pour laquelle vous souhaitez activer l'enregistrement automatique et ouvrez le menu d'options à l'aide de l'icône représentant des points de suspension.

1. Dans le menu d'options, choisissez **Activer l'enregistrement automatique**.

**Note**  
Le statut d'enregistrement automatique n'apparaît pas dans la liste des autorités de certification. Pour voir le statut d'enregistrement automatique d'une autorité de certification, vous devez ouvrir la page **Détails** de l'autorité de certification.

## Configuration d’un certificat d'autorité de certification pour la prise en charge de l'enregistrement automatique (CLI)
<a name="enable-auto-registration-cli"></a>

Si vous avez déjà enregistré votre certificat CA auprès de AWS IoT, utilisez la [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)commande pour définir `autoRegistrationStatus` le certificat CA sur`ENABLE`.

```
aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE
```

Si vous souhaitez activer `autoRegistrationStatus` lors de l'enregistrement du certificat d'autorité de certification, utilisez la commande [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html).

```
aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```

Utilisez la commande [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) pour voir le statut du certificat d'autorité de certification.

## Configuration de la première connexion par un client pour l'enregistrement automatique
<a name="configure-auto-reg-first-connect"></a>

Lorsqu'un client tente de se connecter AWS IoT pour la première fois, le certificat client signé par votre certificat CA doit être présent sur le client lors de la prise de contact TLS (Transport Layer Security).

Lorsque le client se connecte à AWS IoT, utilisez le certificat client que vous avez créé dans [Créer des certificats AWS IoT clients](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-create.html) ou [Créez vos propres certificats clients](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html). AWS IoT reconnaît le certificat CA en tant que certificat CA enregistré, enregistre le certificat client et définit son statut sur`PENDING_ACTIVATION`. Cela signifie que le certificat client a été enregistré automatiquement et qu'il est en attente d'activation. L'état du certificat client doit être `ACTIVE` avant de pouvoir être utilisé pour la connexion à AWS IoT. Consultez [Activation ou désactivation d’un certificat client](activate-or-deactivate-device-cert.md) pour plus d'informations sur l'activation d'un certificat client.

**Note**  
Vous pouvez approvisionner des appareils à l'aide de la fonction AWS IoT Core just-in-time d'enregistrement (JITR) sans avoir à envoyer l'intégralité de la chaîne de confiance lors de la première connexion des appareils à. AWS IoT Core La présentation du certificat CA est facultative, mais l'appareil doit envoyer l'extension [SNI (Server Name Indication)](https://datatracker.ietf.org/doc/html/rfc3546#section-3.1) lors de la connexion.

Lors de l'enregistrement AWS IoT automatique d'un certificat ou lorsqu'un client présente un certificat avec le `PENDING_ACTIVATION` statut, AWS IoT publie un message sur la rubrique MQTT suivante :

`$aws/events/certificates/registered/caCertificateId`

Où `caCertificateId` est l'ID du certificat d’autorité de certification ayant émis le certificat client.

Le message publié sur cette rubrique a la structure suivante :

```
{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}
```

Vous pouvez créer une règle qui écoute cette rubrique et effectue certaines actions. Nous vous recommandons de créer une règle Lambda qui vérifie que le certificat client ne figure pas sur une liste de révocation de certificats (CRL), active le certificat, puis crée et attache une politique au certificat. La stratégie détermine les ressources auxquelles le client peut accéder. Si la politique que vous créez nécessite l'ID client des appareils connectés, vous pouvez utiliser la fonction clientid () de la règle pour récupérer l'ID client. Voici un exemple de définition de règle :

```
SELECT *,
   clientid() as clientid
from $aws/events/certificates/registered/caCertificateId
```

Dans cet exemple, la règle s'abonne à la rubrique JITR `$aws/events/certificates/registered/caCertificateID` et utilise la fonction clientid () pour récupérer l'identifiant du client. La règle ajoute ensuite l'ID client à la charge utile JITR. Pour plus d'informations sur la fonction clientid () de la règle, consultez [clientid](https://docs.aws.amazon.com//iot/latest/developerguide/iot-sql-functions.html#iot-sql-function-clientid) ().

Pour plus d'informations sur la création d'une règle Lambda qui écoute le `$aws/events/certificates/registered/caCertificateID` sujet et exécute ces actions, consultez la section [just-in-time Enregistrement des certificats clients](https://aws.amazon.com/blogs/iot/just-in-time-registration-of-device-certificates-on-aws-iot/) sur. AWS IoT

Si une erreur ou une exception survient lors de l'enregistrement automatique des certificats clients, AWS IoT envoie des événements ou des messages à vos journaux de CloudWatch connexion. Pour plus d'informations sur la configuration des journaux de votre compte, consultez la [ CloudWatch documentation Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/).