Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Certificati client X.509
I certificati X.509 offrono la possibilità di AWS IoT autenticare le connessioni di client e dispositivi. I certificati client devono essere registrati AWS IoT prima che un client possa comunicare con. AWS IoT Un certificato client può essere registrato in più Account AWS file contemporaneamente Regione AWS per facilitare lo spostamento di dispositivi tra Account AWS i server della stessa regione. Per ulteriori informazioni, consulta [Utilizzo dei certificati client X.509 in più Account AWS secondi con registrazione multiaccount](#multiple-account-cert).
Consigliamo che a ogni dispositivo o client sia assegnato un certificato univoco per permettere operazioni di gestione granulare del client, inclusa la revoca di certificati. I dispositivi e i client devono anche supportare la rotazione e la sostituzione dei certificati per garantire un funzionamento corretto allo scadere dei certificati.
Per informazioni sull'utilizzo dei certificati X.509 per supportare più dispositivi, consulta [Provisioning dei dispositivi](iot-provision.md) per esaminare le diverse opzioni di gestione dei certificati e provisioning supportate da AWS IoT .
**AWS IoT supporta questi tipi di certificati client X.509:**
+ certificati X.509 generati da AWS IoT
+ Certificati X.509 firmati da una CA registrata con. AWS IoT
+ Certificati X.509 firmati da una CA non registrata con AWS IoT.
In questa sezione viene descritto come gestire i certificati X.509 in AWS IoT. È possibile utilizzare la AWS IoT console o AWS CLI eseguire le seguenti operazioni sui certificati:
+ [Crea certificati AWS IoT client](device-certs-create.md)
+ [Creare certificati client personali](device-certs-your-own.md)
+ [Registrare un certificato client](register-device-cert.md)
+ [Attivare o disattivare un certificato client](activate-or-deactivate-device-cert.md)
+ [Revocare un certificato client](revoke-ca-cert.md)
Per ulteriori informazioni sui AWS CLI comandi che eseguono queste operazioni, consulta [AWS IoT CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/index.html) Reference.
## Utilizzo dei certificati client X.509
I certificati X.509 autenticano le connessioni di client e dispositivi a. AWS IoT I certificati X.509 offrono diversi vantaggi rispetto ad altri meccanismi di identificazione e autenticazione. I certificati X.509 permettono l'uso di chiavi asimmetriche con i dispositivi. Ad esempio, è possibile masterizzare le chiavi private in un dispositivo di storage sicuro in modo che il materiale crittografico sensibile resta sempre nel dispositivo. I certificati X.509 forniscono un'autenticazione client più affidabile rispetto ad altri schemi, ad esempio un nome utente e una password o un token di connessione, perché la chiave privata resta sempre nel dispositivo.
AWS IoT autentica i certificati client utilizzando la modalità di autenticazione client del protocollo TLS. Il supporto TLS è disponibile in molti linguaggi di programmazione e sistemi operativi e viene usato in genere per crittografare i dati. Nell'autenticazione client TLS, AWS IoT richiede un certificato client X.509 e convalida lo stato del certificato e confrontandolo con un registro di certificati. Account AWS Quindi richiede al client la prova della proprietà della chiave privata che corrisponde alla chiave pubblica contenuta nel certificato. AWS IoT richiede ai client di inviare l'[estensione SNI (Server Name Indication)](https://tools.ietf.org/html/rfc3546#section-3.1) al protocollo Transport Layer Security (TLS). Per ulteriori informazioni sulla configurazione dell'estensione SNI, consulta [Sicurezza dei trasporti in AWS IoT Core](transport-security.md).
Per facilitare una connessione client sicura e coerente al AWS IoT core, un certificato client X.509 deve possedere quanto segue:
+ Registrato in Core. AWS IoT Per ulteriori informazioni, consulta [Registrare un certificato client](register-device-cert.md).
+ Avere uno stato di `ACTIVE`. Per ulteriori informazioni, consulta [Attivare o disattivare un certificato client](activate-or-deactivate-device-cert.md).
+ La data di scadenza del certificato non è ancora stata raggiunta.
Puoi creare certificati client che utilizzano l'autorità di certificazione root Amazon e puoi utilizzare i tuoi certificati client firmati da un'altra CA. Per ulteriori informazioni sull'utilizzo della AWS IoT console per creare certificati che utilizzano Amazon Root CA, consulta[Crea certificati AWS IoT client](device-certs-create.md). Per ulteriori informazioni sull'utilizzo dei certificati X.509, consulta [Creare certificati client personali](device-certs-your-own.md).
La data e l'ora di scadenza per i certificati firmati da un certificato CA vengono impostate alla creazione del certificato. I certificati X.509 generati da AWS IoT scadono alla mezzanotte UTC del 31 dicembre 2049 (2049-12-31T 23:59:59 Z).
AWS IoT Device Defender può eseguire audit su te Account AWS e sui dispositivi che supportano le migliori pratiche di sicurezza IoT comuni. Ciò include la gestione delle date di scadenza dei certificati X.509 firmati dalla tua CA o da Amazon Root CA. [Per ulteriori informazioni sulla gestione della data di scadenza di un certificato, consulta Scadenza del [certificato del dispositivo e Scadenza del](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-approaching-expiration.html) certificato CA.](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-ca-cert-approaching-expiration.html)
Nel AWS IoT blog ufficiale, un approfondimento sulla gestione della rotazione dei certificati dei dispositivi e sulle migliori pratiche di sicurezza è esplorato in [Come gestire la rotazione dei certificati dei dispositivi IoT utilizzando AWS IoT](https://aws.amazon.com/blogs/iot/how-to-manage-iot-device-certificate-rotation-using-aws-iot/).
## Utilizzo dei certificati client X.509 in più Account AWS secondi con registrazione multiaccount
La registrazione a più account consente di spostare dispositivi tra i tuoi Account AWS nella stessa regione o in regioni diverse. In questo modo puoi registrare, testare e configurare un dispositivo in un account di pre-produzione, quindi registrare e utilizzare lo stesso dispositivo e certificato del dispositivo in un account di produzione. È inoltre possibile registrare il certificato client sul dispositivo o i certificati del dispositivo senza una CA registrata con. AWS IoT Per ulteriori informazioni, consulta [Registrazione di un certificato client firmato da una CA non registrata (CLI)](manual-cert-registration.md#manual-cert-registration-noca-cli).
**Nota**
I certificati utilizzati per la registrazione con più account sono supportati in `iot:Data-ATS`, `iot:Data` (legacy), `iot:Jobs` e nei tipi di endpoint `iot:CredentialProvider`. Per ulteriori informazioni sugli endpoint dei AWS IoT dispositivi, consulta[AWS IoT dati del dispositivo e endpoint di servizio](iot-connect-devices.md#iot-connect-device-endpoints).
I dispositivi che utilizzano la registrazione multiaccount devono inviare l'[estensione SNI (Server Name Indication)](https://tools.ietf.org/html/rfc3546#section-3.1) al protocollo Transport Layer Security (TLS) e fornire l'indirizzo completo dell'endpoint sul `host_name` campo, quando si connettono. AWS IoT AWS IoT utilizza l'indirizzo dell'endpoint in `host_name` per indirizzare la connessione all'account corretto. AWS IoT I dispositivi esistenti che non inviano un indirizzo endpoint valido in `host_name` continueranno a funzionare, ma non saranno in grado di utilizzare le funzionalità che richiedono queste informazioni. Per ulteriori informazioni sull'estensione SNI e per informazioni su come identificare l'indirizzo endpoint per il campo `host_name`, vedere [Sicurezza dei trasporti in AWS IoT Core](transport-security.md).
**Per utilizzare la registrazione con più account**
1. Puoi registrare i certificati del dispositivo con una CA. Puoi registrare la CA di firma in più account in modalità `SNI_ONLY` e utilizzare tale CA per registrare lo stesso certificato client su più account. Per ulteriori informazioni, consulta [Registrazione di un certificato CA in modalità SNI\$1ONLY (CLI) - Consigliato](manage-your-CA-certs.md#register-CA-cert-SNI-cli).
1. Puoi registrare i certificati del dispositivo senza una CA. Per informazioni, consulta [Registra un certificato client firmato da una CA (CLI) non registrata](manual-cert-registration.md#manual-cert-registration-noca-cli). La registrazione di una CA è facoltativa. Non è necessario registrare la CA con AWS IoT cui ha firmato i certificati del dispositivo.
## Algoritmi di firma dei certificati supportati da AWS IoT
AWS IoT supporta i seguenti algoritmi di firma dei certificati:
+ SHA256CON RSA
+ SHA384CON RSA
+ SHA512CON RSA
+ SHA256WITHRSAANDMGF1 (RASSA-PSS)
+ SHA384WITHRSAANDMGF1 (RASSA-PSS)
+ SHA512WITHRSAANDMGF1 (RASSA-PSS)
+ DSA\$1CON\$1 SHA256
+ ECDSA-CON- SHA256
+ ECDSA-CON- SHA384
+ ECDSA-CON- SHA512
Per ulteriori informazioni sull'autenticazione e la sicurezza dei certificati, vedere [Device](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-key-quality.html) certificate key quality.
**Nota**
La richiesta di firma del certificato (CSR) deve includere una chiave pubblica. La chiave può essere una chiave RSA con lunghezza di almeno 2048 bit o una chiave ECC da curva NIST P–256, NIST P–384 o NIST P-521. Per ulteriori informazioni, consulta [CreateCertificateFromCsr](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateCertificateFromCsr.html) nella *guida di riferimento delle API AWS IoT *.
## Algoritmi chiave supportati da AWS IoT
La tabella seguente mostra come sono supportati gli algoritmi chiave:
****
| Algoritmo chiave | Algoritmo di firma dei certificati | Versione TLS | Supportato? Sì o No |
| --- | --- | --- | --- |
| RSA con una dimensione della chiave di almeno 2048 bit | Tutti | TLS 1.2 TLS 1.3 | Sì |
| ECC NIST P-256/P-384/P-521 | Tutti | TLS 1.2 TLS 1.3 | Sì |
| RSA-PSS con una dimensione della chiave di almeno 2048 bit | Tutti | TLS 1.2 | No |
| RSA-PSS con una dimensione della chiave di almeno 2048 bit | Tutti | TLS 1.3 | Sì |
Per creare un certificato utilizzando [CreateCertificateFromCSR](https://docs.aws.amazon.com//iot/latest/apireference/API_CreateCertificateFromCsr.html), puoi utilizzare un algoritmo a chiave supportato per generare una chiave pubblica per la tua CSR. Per registrare il proprio certificato utilizzando la [RegisterCertificate](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificate.html)nostra [RegisterCertificateWithoutCA](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificateWithoutCA.html), è possibile utilizzare un algoritmo a chiave supportato per generare una chiave pubblica per il certificato.
Per ulteriori informazioni, consulta [Politiche di sicurezza](https://docs.aws.amazon.com//iot/latest/developerguide/transport-security.html#tls-policy-table).
# Crea certificati AWS IoT client
AWS IoT fornisce certificati client firmati dall'autorità di certificazione Amazon Root (CA).
In questo argomento viene descritto come creare un certificato client firmato dall'autorità di certificazione root Amazon e scaricare i file del certificato. Dopo aver creato i file di certificato client, è necessario installarli nel client.
**Nota**
Ogni certificato client X.509 fornito da AWS IoT contiene gli attributi di emittente e soggetto impostati al momento della creazione del certificato. Gli attributi del certificato sono immutabili solo dopo la creazione del certificato.
Puoi utilizzare la AWS IoT console o il AWS CLI per creare un AWS IoT certificato firmato dall'autorità di certificazione Amazon Root.
## Crea un AWS IoT certificato (console)
**Per creare un AWS IoT certificato utilizzando la AWS IoT console**
1. Accedi a Console di gestione AWS e apri la [AWS IoT console](https://console.aws.amazon.com/iot/home).
1. Nel riquadro di navigazione, selezionare **Sicurezza**, scegliere **Certificati**, quindi **Crea**.
1. Scegliere **One-click certificate creation (Creazione certificato con un clic)** – **Create certificate (Crea certificato)**.
1. Dalla pagina **Certificato creato** scarica i file del certificato client per l'oggetto, la chiave pubblica e la chiave privata in una posizione sicura. Questi certificati generati da AWS IoT sono disponibili solo per l'uso con AWS IoT i servizi.
Se è necessario anche il file del certificato dell'autorità di certificazione root Amazon, questa pagina contiene anche il collegamento alla pagina da cui è possibile scaricarlo.
1. A questo punto, un certificato client è stato creato e registrato con AWS IoT. È necessario attivare il certificato prima di utilizzarlo in un client.
Scegli **Attiva** per attivare subito il certificato client. Se non desideri attivare il certificato, in [Attivare un certificato client (console)](activate-or-deactivate-device-cert.md#activate-device-cert-console) viene descritto come attivare il certificato in un secondo momento.
1. Se desideri collegare una policy al certificato, scegli **Attach a policy (Collega una policy)**.
Se non desideri collegare una policy, scegli **Done (Fatto)** per terminare. È possibile collegare una policy in un secondo momento.
Dopo aver completato la procedura, installare i file di certificato sul client.
## Creare un AWS IoT certificato (CLI)
AWS CLI fornisce il **[create-keys-and-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/create-keys-and-certificate.html)** comando per creare certificati client firmati dall'autorità di certificazione Amazon Root. Questo comando però non scarica il file del certificato dell'autorità di certificazione root Amazon. Puoi scaricare il file del certificato dell'autorità di certificazione root Amazon da [Certificati CA per l'autenticazione del server](server-authentication.md#server-authentication-certs).
Questo comando crea file e registri con chiave privata, chiave pubblica e certificati X.509 e attiva il certificato con. AWS IoT
```
aws iot create-keys-and-certificate \
--set-as-active \
--certificate-pem-outfile certificate_filename.pem \
--public-key-outfile public_filename.key \
--private-key-outfile private_filename.key
```
Se non desideri attivare il certificato durante la creazione e la registrazione, questo comando crea file di certificato di chiave privata, chiave pubblica e X.509 e registra il certificato, ma non lo attiva. In [Attivare un certificato client (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) viene descritto come attivare il certificato in un secondo momento.
```
aws iot create-keys-and-certificate \
--no-set-as-active \
--certificate-pem-outfile certificate_filename.pem \
--public-key-outfile public_filename.key \
--private-key-outfile private_filename.key
```
Installa i file di certificato sul client.
# Creare certificati client personali
AWS IoT supporta i certificati client firmati da qualsiasi autorità di certificazione (CA) principale o intermedia. AWS IoT utilizza i certificati CA per verificare la proprietà dei certificati. Per utilizzare i certificati dei dispositivi firmati da una CA che non è la CA di Amazon, è necessario registrare il certificato della CA AWS IoT in modo da poter verificare la proprietà del certificato del dispositivo.
AWS IoT supporta diversi modi per portare i propri certificati (BYOC):
+ Innanzitutto, registrare la CA utilizzata per firmare i certificati client e quindi registrare i singoli certificati client. Se si desidera registrare il dispositivo o il client nel relativo certificato client alla prima connessione AWS IoT (noto anche come [Just-in-Time Provisioning](https://docs.aws.amazon.com//iot/latest/developerguide/jit-provisioning.html)), è necessario registrare la CA firmataria con AWS IoT e attivare la registrazione automatica.
+ Se non è possibile registrare la CA di firma, è possibile scegliere di registrare i certificati client senza CA. Per i dispositivi registrati senza CA, è necessario presentare la [Server Indication (SNI)](https://www.rfc-editor.org/rfc/rfc3546#section-3.1) quando si connettono a AWS IoT.
**Nota**
Per registrare i certificati client utilizzando CA, è necessario registrare la CA firmataria con cui si effettua la firma AWS IoT, non con nessun'altra CAs nella gerarchia.
**Nota**
Un certificato CA può essere registrato in modalità `DEFAULT` da un solo account in una regione. Un certificato CA può essere registrato in modalità `SNI_ONLY` da più account in una regione.
Per ulteriori informazioni sull'utilizzo dei certificati X.509 per supportare più dispositivi, consulta [Provisioning dei dispositivi](iot-provision.md) per esaminare le diverse opzioni di gestione dei certificati e provisioning supportate da AWS IoT .
**Topics**
+ [
# Gestire i certificati CA personali
](manage-your-CA-certs.md)
+ [
# Creare un certificato client utilizzando il certificato CA
](create-device-cert.md)
# Gestire i certificati CA personali
In questa sezione vengono descritte le attività comuni per la gestione dei certificati dell'autorità di certificazione (CA).
Puoi registrare la tua autorità di certificazione (CA) con AWS IoT se utilizzi certificati client firmati da una CA che AWS IoT non riconosce.
Se desideri che i client registrino automaticamente i propri certificati client al AWS IoT momento della prima connessione, è necessario registrare la CA che ha firmato i certificati client AWS IoT. In caso contrario, non è necessario registrare il certificato CA che ha firmato i certificati client.
**Nota**
Un certificato CA può essere registrato in modalità `DEFAULT` da un solo account in una regione. Un certificato CA può essere registrato in modalità `SNI_ONLY` da più account in una regione.
**Topics**
+ [
## Creare un certificato CA
](#create-your-CA-cert)
+ [
## Registrare il certificato CA
](#register-CA-cert)
+ [
## Disattivare un certificato CA
](#deactivate-ca-cert)
## Creare un certificato CA
Se non disponi di un certificato CA, puoi usare gli strumenti [OpenSSL v1.1.1i](https://www.openssl.org/) per crearne uno.
**Nota**
Non è possibile eseguire questa procedura nella AWS IoT console.
**Per creare un certificato CA utilizzando gli strumenti [OpenSSL v1.1.1i](https://www.openssl.org/)**
1. Genera una coppia di chiavi.
```
openssl genrsa -out root_CA_key_filename.key 2048
```
1. Usa la chiave privata della coppia di chiavi per generare un certificato CA.
```
openssl req -x509 -new -nodes \
-key root_CA_key_filename.key \
-sha256 -days 1024 \
-out root_CA_cert_filename.pem
```
## Registrare il certificato CA
Queste procedure descrivono come registrare un certificato rilasciato da un'autorità di certificazione (CA) diversa dalla CA di Amazon. AWS IoT Core utilizza i certificati CA per verificare la proprietà dei certificati. Per utilizzare i certificati dei dispositivi firmati da una CA che non è la CA di Amazon, devi registrare il certificato CA AWS IoT Core in modo che possa verificare la proprietà del certificato del dispositivo.
### Registrare un certificato CA (console)
**Nota**
Per registrare un certificato emesso da una CA nella console, avvia la console all'indirizzo [Register CA certificate](https://console.aws.amazon.com//iot/home#/create/cacertificate) (Registra certificato emesso da una CA). Puoi registrare la tua CA in modalità multi-account e senza la necessità di fornire un certificato di verifica o accedere alla chiave privata. Una CA può essere registrata in modalità multi-account da più Account AWS nella stessa Regione AWS. Puoi registrare la tua CA in modalità account singolo fornendo un certificato di verifica e una verifica della proprietà della chiave privata della CA.
### Registrare un certificato CA (CLI)
Puoi registrare un certificato CA in modalità `DEFAULT` o in modalità `SNI_ONLY`. Una CA può essere registrata in `DEFAULT` modalità una Account AWS alla volta Regione AWS. Una CA può essere registrata in `SNI_ONLY` modalità da più Account AWS persone contemporaneamente Regione AWS. Per ulteriori informazioni sulla modalità dei certificati CA, consulta [certificateMode](https://docs.aws.amazon.com//iot/latest/apireference/API_CACertificateDescription.html#iot-Type-CACertificateDescription-certificateMode).
**Nota**
Ti consigliamo di registrare una CA in modalità `SNI_ONLY`. Non è necessario fornire un certificato di verifica o l'accesso alla chiave privata, ed è possibile registrare la CA più volte Account AWS contemporaneamente Regione AWS.
#### Registrazione di un certificato CA in modalità SNI\$1ONLY (CLI) - Consigliato
**Prerequisiti**
Verifica che i seguenti elementi siano presenti sul tuo computer prima di continuare:
+ Il file del certificato CA root (a cui si fa riferimento nel seguente esempio come `root_CA_cert_filename.pem`)
+ [OpenSSL v1.1.1i](https://www.openssl.org/) o versione successiva
**Per registrare un certificato CA in `SNI_ONLY` modalità, utilizzare il AWS CLI**
1. Registrare il certificato CA con AWS IoT. Utilizzando il comando **register-ca-certificate**, immetti il nome del file del certificato CA. Per ulteriori informazioni, consulta [register-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) nella *documentazione di riferimento dei comandi della AWS CLI *.
```
aws iot register-ca-certificate \
--ca-certificate file://root_CA_cert_filename.pem \
--certificate-mode SNI_ONLY
```
In caso di successo, questo comando restituisce*certificateId*.
1. A questo punto, il certificato CA è stato registrato con AWS IoT ma non è attivo. Prima di poter registrare gli eventuali certificati client che ha firmato, il certificato CA deve essere attivato.
Questo passaggio attiva il certificato CA.
Per attivare il certificato CA, usa il comando **update-certificate** come riportato di seguito. Per ulteriori informazioni, consulta [update-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) in *Riferimento ai comandi AWS CLI *.
```
aws iot update-ca-certificate \
--certificate-id certificateId \
--new-status ACTIVE
```
Per visualizzare lo stato del certificato CA, utilizza il comando **describe-ca-certificate**. Per ulteriori informazioni, consulta [describe-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) nella *documentazione di riferimento dei comandi della AWS CLI *.
#### Registrazione di un certificato CA in modalità `DEFAULT` (CLI)
**Prerequisiti**
Verifica che i seguenti elementi siano presenti sul tuo computer prima di continuare:
+ Il file del certificato CA root (a cui si fa riferimento nel seguente esempio come `root_CA_cert_filename.pem`)
+ Il file della chiave privata del certificato CA root (a cui si fa riferimento nel seguente esempio come `root_CA_key_filename.key`)
+ [OpenSSL v1.1.1i](https://www.openssl.org/) o versione successiva
**Per registrare un certificato CA in `DEFAULT` modalità utilizzando il AWS CLI**
1. Per ottenere un codice di registrazione da AWS IoT, usa**get-registration-code**. Salvare il `registrationCode` restituito per utilizzarlo come `Common Name` del certificato di verifica della chiave privata. Per ulteriori informazioni, consulta [get-registration-code](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/get-registration-code.html) nella *documentazione di riferimento dei comandi della AWS CLI *.
```
aws iot get-registration-code
```
1. Genera una coppia di chiavi per il certificato di verifica della chiave privata.
```
openssl genrsa -out verification_cert_key_filename.key 2048
```
1. Creare una richiesta di firma del certificato per il certificato di verifica della chiave privata. Impostare il campo `Common Name` del certificato sul `registrationCode` restituito da **get-registration-code**.
```
openssl req -new \
-key verification_cert_key_filename.key \
-out verification_cert_csr_filename.csr
```
Ti verrà richiesto di immettere alcune informazioni, tra cui il `Common Name` per il certificato.
```
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) []:
Locality Name (for example, city) []:
Organization Name (for example, company) []:
Organizational Unit Name (for example, section) []:
Common Name (e.g. server FQDN or YOUR name) []:your_registration_code
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
```
1. Usa la richiesta di firma del certificato per creare un certificato di verifica della chiave privata.
```
openssl x509 -req \
-in verification_cert_csr_filename.csr \
-CA root_CA_cert_filename.pem \
-CAkey root_CA_key_filename.key \
-CAcreateserial \
-out verification_cert_filename.pem \
-days 500 -sha256
```
1. Registra il certificato CA con AWS IoT. Passa il nome file del certificato CA e il nome file del certificato di verifica della chiave privata al comando **register-ca-certificate** come riportato di seguito: Per ulteriori informazioni, consulta [register-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) nella *documentazione di riferimento dei comandi della AWS CLI *.
```
aws iot register-ca-certificate \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```
Questo comando restituisce*certificateId*, in caso di successo.
1. A questo punto, il certificato CA è stato registrato AWS IoT ma non è attivo. Prima di poter registrare gli eventuali certificati client che ha firmato, il certificato CA deve essere attivato.
Questo passaggio attiva il certificato CA.
Per attivare il certificato CA, usa il comando **update-certificate** come riportato di seguito. Per ulteriori informazioni, consulta [update-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) in *Riferimento ai comandi AWS CLI *.
```
aws iot update-ca-certificate \
--certificate-id certificateId \
--new-status ACTIVE
```
Per visualizzare lo stato del certificato CA, utilizza il comando **describe-ca-certificate**. Per ulteriori informazioni, consulta [describe-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) nella *documentazione di riferimento dei comandi della AWS CLI *.
### Creazione di un certificato di verifica CA per registrare il certificato emesso da una CA nella console
**Nota**
Questa procedura è utile solo se si sta registrando un certificato CA dalla AWS IoT console.
Se non hai eseguito questa procedura dalla AWS IoT console, avvia la procedura di registrazione del certificato CA nella console all'indirizzo [Register CA certificate](https://console.aws.amazon.com//iot/home#/create/cacertificate).
Verifica che i seguenti elementi siano presenti sullo stesso computer prima di continuare:
+ Il file del certificato CA root (a cui si fa riferimento nel seguente esempio come `root_CA_cert_filename.pem`)
+ Il file della chiave privata del certificato CA root (a cui si fa riferimento nel seguente esempio come `root_CA_key_filename.key`)
+ [OpenSSL v1.1.1i](https://www.openssl.org/) o versione successiva
**Per utilizzare l'interfaccia a riga di comando per creare un certificato di verifica CA per registrare il certificato CA nella console**
1. Sostituisci `verification_cert_key_filename.key` con il nome del file della chiave del certificato di verifica che desideri creare (ad esempio, **verification\$1cert.key**). Quindi esegui questo comando per generare una coppia di chiavi per il certificato di verifica della chiave privata:
```
openssl genrsa -out verification_cert_key_filename.key 2048
```
1. Sostituisci `verification_cert_key_filename.key` con il nome del file della chiave creato nel passaggio 1.
Sostituisci `verification_cert_csr_filename.csr` con il nome del file CSR (Certificate Signing Request, richiesta di firma del certificato) che desideri creare. Ad esempio, **verification\$1cert.csr**.
Esegui questo comando per creare il file CSR.
```
openssl req -new \
-key verification_cert_key_filename.key \
-out verification_cert_csr_filename.csr
```
Il comando richiede informazioni aggiuntive che vengono spiegate in seguito.
1. Nella AWS IoT console, nel contenitore del **certificato di verifica**, copia il codice di registrazione.
1. Le istruzioni del comando **openssl** sono mostrate nell'esempio seguente. Ad eccezione del campo `Common Name`, puoi inserire valori specifici o lasciare i campi vuoti.
Nel campo `Common Name`, incolla il codice di registrazione copiato nella fase precedente.
```
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) []:
Locality Name (for example, city) []:
Organization Name (for example, company) []:
Organizational Unit Name (for example, section) []:
Common Name (e.g. server FQDN or YOUR name) []:your_registration_code
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
```
Al termine, il comando crea il file CSR.
1. Sostituisci `verification_cert_csr_filename.csr` con il `verification_cert_csr_filename.csr` utilizzato nella fase precedente.
Sostituisci `root_CA_cert_filename.pem` con il nome file del certificato CA che desideri registrare.
Sostituisci `root_CA_key_filename.key` con il nome file del file della chiave privata del certificato CA.
Sostituisci `verification_cert_filename.pem` con il nome del file del certificato di verifica che desideri creare. Ad esempio, **verification\$1cert.pem**.
```
openssl x509 -req \
-in verification_cert_csr_filename.csr \
-CA root_CA_cert_filename.pem \
-CAkey root_CA_key_filename.key \
-CAcreateserial \
-out verification_cert_filename.pem \
-days 500 -sha256
```
1. Al termine del comando OpenSSL, questi file saranno pronti per l'utilizzo quando si torna nella console.
+ Il file del certificato emesso da una CA (`root_CA_cert_filename.pem` usato nel comando precedente)
+ Il certificato di verifica creato nel passaggio precedente (*verification\$1cert\$1filename.pem*utilizzato nel comando precedente)
## Disattivare un certificato CA
Quando un certificato di autorità di certificazione (CA) è abilitato per la registrazione automatica dei certificati client, AWS IoT controlla il certificato CA per assicurarsi che lo sia`ACTIVE`. Se il certificato CA lo è`INACTIVE`, AWS IoT non consente la registrazione del certificato client.
L'impostazione del certificato CA su `INACTIVE`, impedisce la registrazione automatica di eventuali nuovi certificati client emessi dalla CA.
**Nota**
Qualsiasi certificato client registrato che sia stato firmato dal certificato CA compromesso continuerà a funzionare finché non viene esplicitamente revocato.
### Disattivare un certificato CA (console)
**Per disattivare un certificato CA utilizzando la console AWS IoT**
1. Accedi a Console di gestione AWS e apri la [AWS IoT console](https://console.aws.amazon.com/iot/home).
1. Nel riquadro di navigazione a sinistra, scegli **Sicuro**, scegli **CAs**.
1. Nell'elenco delle autorità di certificazione, individua quella che desideri disattivare e scegli l'icona con i puntini di sospensione per aprire il menu delle opzioni.
1. Scegliere **Deactivate (Disattiva)**dal menu delle opzioni.
L'autorità di certificazione viene visualizzata come **Inactive (Inattiva)** nell'elenco.
**Nota**
La AWS IoT console non fornisce un modo per elencare i certificati firmati dalla CA che hai disattivato. Per un'opzione AWS CLI che elenca questi certificati, consulta [Disattivare un certificato CA (CLI)](#deactivate-ca-cert-cli).
### Disattivare un certificato CA (CLI)
AWS CLI Fornisce il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)comando per disattivare un certificato CA.
```
aws iot update-ca-certificate \
--certificate-id certificateId \
--new-status INACTIVE
```
Utilizza il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-certificates-by-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-certificates-by-ca.html) per ottenere l'elenco di tutti i certificati client registrati firmati dalla CA specificata. Per ogni certificato client firmato dal certificato CA specificato, usa il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) per revocare il certificato del dispositivo in modo da impedirne l'uso.
Utilizza il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) per visualizzare lo stato del certificato CA.
# Creare un certificato client utilizzando il certificato CA
È possibile utilizzare la propria autorità di certificazione (CA) per creare certificati client. Il certificato client deve essere registrato AWS IoT prima dell'uso. Per informazioni sulle opzioni di registrazione per i certificati client, consulta [Registrare un certificato client](register-device-cert.md).
## Creare un certificato client (CLI)
**Nota**
Non è possibile eseguire questa procedura nella AWS IoT console.
**Per creare un certificato client utilizzando il AWS CLI**
1. Genera una coppia di chiavi.
```
openssl genrsa -out device_cert_key_filename.key 2048
```
1. Creare una richiesta di firma del certificato per il certificato client.
```
openssl req -new \
-key device_cert_key_filename.key \
-out device_cert_csr_filename.csr
```
Ti verrà richiesto di immettere alcune informazioni, come mostrato qui.
```
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) []:
Locality Name (for example, city) []:
Organization Name (for example, company) []:
Organizational Unit Name (for example, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
```
1. Creare un certificato client dalla richiesta di firma del certificato.
```
openssl x509 -req \
-in device_cert_csr_filename.csr \
-CA root_CA_cert_filename.pem \
-CAkey root_CA_key_filename.key \
-CAcreateserial \
-out device_cert_filename.pem \
-days 500 -sha256
```
A questo punto, il certificato client è stato creato, ma non è ancora stato registrato con AWS IoT. Per informazioni su come e quando registrare il certificato client, consulta [Registrare un certificato client](register-device-cert.md).
# Registrare un certificato client
I certificati client devono essere registrati presso AWS IoT per consentire le comunicazioni tra il client e AWS IoT. È possibile registrare ogni certificato client manualmente oppure configurare i certificati client in modo che vengano registrati automaticamente quando il client si connette AWS IoT per la prima volta.
Se desideri che i client e i dispositivi registrino i certificati client quando si connettono per la prima volta, è necessario utilizzare [Registrare il certificato CA](manage-your-CA-certs.md#register-CA-cert) per firmare il certificato client con AWS IoT nelle regioni in cui vuoi utilizzarlo. Amazon Root CA viene registrata automaticamente con AWS IoT.
I certificati client possono essere condivisi da Account AWS e regioni. Le procedure descritte in questi argomenti devono essere eseguite in ogni account e regione in cui vuoi utilizzare il certificato client. La registrazione di un certificato client in un account o in una regione non viene riconosciuta automaticamente.
**Nota**
I client che utilizzano il protocollo Transport Layer Security (TLS) per connettersi ad AWS IoT devono supportare l'[estensione SNI (Server Name Indication)](https://tools.ietf.org/html/rfc3546#section-3.1) a TLS. Per ulteriori informazioni, consulta [Sicurezza dei trasporti in AWS IoT Core](transport-security.md).
**Topics**
+ [
# Registrare manualmente un certificato client
](manual-cert-registration.md)
+ [
# Registrare un certificato client quando il client si connette alla AWS IoT just-in-time registrazione (JITR)
](auto-register-device-cert.md)
# Registrare manualmente un certificato client
È possibile registrare manualmente un certificato client utilizzando la AWS IoT console e AWS CLI.
La procedura di registrazione da utilizzare dipende dal fatto che il certificato venga condiviso da Account AWS s e Regions. La registrazione di un certificato client in un account o in una regione non viene riconosciuta automaticamente.
Le procedure descritte in questo argomento devono essere eseguite in ogni account e regione in cui vuoi utilizzare il certificato client. I certificati client possono essere condivisi da Account AWS regioni e regioni.
## Registrare un certificato client firmato da una CA registrata (console)
**Nota**
Prima di eseguire questa procedura, assicurati di disporre del file.pem del certificato client e che il certificato client sia stato firmato da una CA presso cui ti sei [registrato](manage-your-CA-certs.md#register-CA-cert). AWS IoT
**Per registrare un certificato esistente AWS IoT utilizzando la console**
1. Accedi alla console di AWS gestione e apri la [AWS IoT console](https://console.aws.amazon.com/iot/home).
1. Nel riquadro di navigazione, all'interno della sezione **Manage** (Gestione), scegliere **Security** (Sicurezza) e quindi **Certificates** (Certificati).
1. Sulla pagina **Certificates** (Certificati), nella finestra di dialogo **Certificates** (Certificati), selezionare **Add certificate** (Aggiungi certificato) e quindi **Register certificates** (Registra certificati).
1. Sulla pagina **Register certificate** (Registra certificato), nella finestra di dialogo **Certificates to upload** (Certificati da caricare) eseguire le seguenti operazioni:
+ Scegliere **CA is registered with AWS IoT** (La CA è registrata presso ).
+ In **Choose a CA certificate** (Scegliere un certificato CA), selezionare il la propria **Certification authority** (Autorità di certificazione).
+ Scegliere **Register a new CA** (Registrare una nuova CA) per registrare una nuova **Certification authority** (Autorità di certificazione) che non è registrata su AWS IoT.
+ Lasciare il campo **Choose a CA certificate** (Scegliere un certificato CA) vuoto se la propria autorità di certificazione è **Amazon Root certificate authority** (Autorità di certificazione Amazon Root).
+ Seleziona fino a 10 certificati da caricare e con cui registrarti AWS IoT.
+ Usare i file dei certificati creati in [Crea certificati AWS IoT client](device-certs-create.md) e [Creare un certificato client utilizzando il certificato CA](create-device-cert.md).
+ Scegliere **Activate** (Attiva) o **Deactivate** (Disattiva). Se si sceglie **Deactivate** (Disattiva), [Attivare o disattivare un certificato client](activate-or-deactivate-device-cert.md) spiega come attivare il certificato dopo la sua registrazione.
+ Scegli **Registrati**.
Sulla pagina **Certificates** (Certificati), nella finestra di dialogo **Certificates** (Certificati) verranno ora visualizzati i certificati registrati.
## Registra un certificato client firmato da una CA (console) non registrata
**Nota**
Prima di eseguire questa procedura, assicurati di disporre del file .pem del certificato client.
**Per registrare un certificato esistente AWS IoT utilizzando la console**
1. Accedi alla console di AWS gestione e apri la [AWS IoT console](https://console.aws.amazon.com/iot/home).
1. Nel riquadro di navigazione, selezionare **Security (Sicurezza)**, scegliere **Certificates (Certificati)**, quindi **Create (Crea)**.
1. In **Create a certificate (Crea un certificato)**, individua la voce **Use my certificate (Usa certificato personale)** e scegli **Get started (Inizia)**.
1. In **Select a CA (Seleziona una CA)**, scegli **Next (Avanti)**.
1. In **Register existing device certificates (Registra certificati dispositivo esistenti)**, seleziona **Select certificates (Scegli certificati)** e scegli fino a 10 file di certificato da registrare.
1. Dopo aver chiuso la finestra di dialogo del file, selezionare se si desidera attivare o revocare i certificati client al momento della registrazione.
Se non attivi un certificato al momento della registrazione, in [Attivare un certificato client (console)](activate-or-deactivate-device-cert.md#activate-device-cert-console) viene descritto come attivarlo in un secondo momento.
Se un certificato viene revocato al momento della registrazione, non può essere attivato in un secondo momento.
Dopo aver scelto i file di certificato da registrare e aver selezionato le operazioni da eseguire dopo la registrazione, seleziona **Register certificates (Registra certificati)**.
I certificati client registrati correttamente vengono visualizzati nell'elenco dei certificati.
## Registrare un certificato client firmato da una CA registrata (CLI)
**Nota**
Prima di eseguire questa procedura, assicurati di disporre del file .pem dell'autorità di certificazione (CA) e del file .pem del certificato client. Il certificato client deve essere firmato da un'autorità di certificazione (CA) presso cui ti sei [registrato AWS IoT](manage-your-CA-certs.md#register-CA-cert).
Utilizza il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html) per registrare ma non attivare un certificato client.
```
aws iot register-certificate \
--certificate-pem file://device_cert_filename.pem \
--ca-certificate-pem file://ca_cert_filename.pem
```
Il certificato client è registrato con AWS IoT, ma non è ancora attivo. Consulta [Attivare un certificato client (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) per informazioni su come attivarlo in un secondo momento.
È inoltre possibile attivare il certificato client quando lo si registra utilizzando questo comando.
```
aws iot register-certificate \
--set-as-active \
--certificate-pem file://device_cert_filename.pem \
--ca-certificate-pem file://ca_cert_filename.pem
```
Per ulteriori informazioni sull'attivazione del certificato in modo che possa essere utilizzato per la connessione AWS IoT, vedere [Attivare o disattivare un certificato client](activate-or-deactivate-device-cert.md)
## Registra un certificato client firmato da una CA (CLI) non registrata
**Nota**
Prima di eseguire questa procedura, assicurati di disporre del file .pem del certificato.
Utilizzare il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html) per registrare, ma non attivare, un certificato client.
```
aws iot register-certificate-without-ca \
--certificate-pem file://device_cert_filename.pem
```
Il certificato client è registrato con AWS IoT, ma non è ancora attivo. Consulta [Attivare un certificato client (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) per informazioni su come attivarlo in un secondo momento.
È inoltre possibile attivare il certificato client quando lo si registra utilizzando questo comando.
```
aws iot register-certificate-without-ca \
--status ACTIVE \
--certificate-pem file://device_cert_filename.pem
```
Per ulteriori informazioni sull'attivazione del certificato in modo che possa essere utilizzato per la connessione AWS IoT, consulta[Attivare o disattivare un certificato client](activate-or-deactivate-device-cert.md).
# Registrare un certificato client quando il client si connette alla AWS IoT just-in-time registrazione (JITR)
È possibile configurare un certificato CA per abilitare la registrazione AWS IoT automatica dei certificati client con cui ha firmato la registrazione la prima volta che il client si connette. AWS IoT
Per registrare i certificati client quando un client si connette AWS IoT per la prima volta, è necessario abilitare il certificato CA per la registrazione automatica e configurare la prima connessione da parte del client per fornire i certificati richiesti.
## Configurare un certificato CA per supportare la registrazione automatica (console)
**Per configurare un certificato CA per supportare la registrazione automatica dei certificati client tramite la AWS IoT console**
1. Accedi alla console di AWS gestione e apri la [AWS IoT console](https://console.aws.amazon.com/iot/home).
1. Nel riquadro di navigazione a sinistra, scegli **Sicuro**, scegli **CAs**.
1. Nell'elenco delle autorità di certificazione individuare quella per cui si desidera abilitare la registrazione automatica e aprire il menu delle opzioni utilizzando l'icona con i puntini di sospensione.
1. Scegliere **Enable auto-registration (Abilita registrazione automatica)**dal menu delle opzioni.
**Nota**
Lo stato della registrazione automatica non viene visualizzato nell'elenco delle autorità di certificazione. Per visualizzare lo stato di registrazione automatica di un'autorità di certificazione, è necessario aprire la pagina **Details (Dettagli)** dell'autorità di certificazione.
## Configurare un certificato CA per supportare la registrazione automatica (CLI)
Se hai già registrato il certificato CA con AWS IoT, usa il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)comando per impostare `autoRegistrationStatus` il certificato CA su`ENABLE`.
```
aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE
```
Se si desidera abilitare `autoRegistrationStatus` quando si registra il certificato CA, utilizzare il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html).
```
aws iot register-ca-certificate \
--allow-auto-registration \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```
Usare il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) per visualizzare lo stato del certificato CA.
## Configurare la prima connessione da parte di un client per la registrazione automatica
Quando un client tenta di connettersi AWS IoT per la prima volta, il certificato client firmato dal certificato CA deve essere presente sul client durante l'handshake Transport Layer Security (TLS).
Quando il client si connette AWS IoT, utilizza il certificato client creato in [Crea certificati AWS IoT client](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-create.html) o [Crea certificati client personalizzati.](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html) AWS IoT riconosce il certificato CA come certificato CA registrato, registra il certificato client e ne imposta lo stato su. `PENDING_ACTIVATION` Questo significa che il certificato client è stato automaticamente registrato ed è in attesa dell'attivazione. Lo stato del certificato client deve essere `ACTIVE` prima che possa essere utilizzato per connettersi ad AWS IoT. Vedi [Attivare o disattivare un certificato client](activate-or-deactivate-device-cert.md) per informazioni sull'attivazione di un certificato client.
**Nota**
È possibile effettuare il provisioning dei dispositivi utilizzando la funzionalità di AWS IoT Core just-in-time registrazione (JITR) senza dover inviare l'intera catena di fiducia alla prima connessione dei dispositivi a. AWS IoT Core La presentazione del certificato emesso da una CA è facoltativa, ma il dispositivo è necessario per inviare l'estensione [Server Name Indication (SNI)](https://datatracker.ietf.org/doc/html/rfc3546#section-3.1) quando si collegano.
Quando registra AWS IoT automaticamente un certificato o quando un client presenta un certificato nello `PENDING_ACTIVATION` stato, AWS IoT pubblica un messaggio sul seguente argomento MQTT:
`$aws/events/certificates/registered/caCertificateId`
Dove `caCertificateId` è l'ID del certificato emesso da una CA che ha rilasciato il certificato client.
Il messaggio pubblicato in questo argomento ha la struttura seguente:
```
{
"certificateId": "certificateId",
"caCertificateId": "caCertificateId",
"timestamp": timestamp,
"certificateStatus": "PENDING_ACTIVATION",
"awsAccountId": "awsAccountId",
"certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}
```
Puoi creare una regola che resti in ascolto in questo argomento ed esegua alcune operazioni. Ti consigliamo di creare una regola Lambda che verifichi che il certificato client non sia incluso in un elenco di revoche di certificati (CRL), che attivi il certificato e crei e colleghi una policy a quest'ultimo. La policy determina le risorse cui il client può accedere. Se la politica che state creando richiede l'ID client dai dispositivi di connessione, potete utilizzare la funzione clientid () della regola per recuperare l'ID client. Un esempio di definizione di regola può essere simile al seguente:
```
SELECT *,
clientid() as clientid
from $aws/events/certificates/registered/caCertificateId
```
In questo esempio, la regola sottoscrive l'argomento JITR `$aws/events/certificates/registered/caCertificateID` e utilizza la funzione clientid () per recuperare l'ID del client. La regola aggiunge quindi l'ID client al payload JITR. [Per ulteriori informazioni sulla funzione clientid () della regola, vedete clientid ().](https://docs.aws.amazon.com//iot/latest/developerguide/iot-sql-functions.html#iot-sql-function-clientid)
Per ulteriori informazioni su come creare una regola Lambda che ascolti l'`$aws/events/certificates/registered/caCertificateID`argomento ed esegua queste azioni, vedi [just-in-time Registrazione dei certificati client](https://aws.amazon.com/blogs/iot/just-in-time-registration-of-device-certificates-on-aws-iot/) su. AWS IoT
Se si verifica un errore o un'eccezione durante la registrazione automatica dei certificati client, AWS IoT invia eventi o messaggi ai registri in CloudWatch Logs. Per ulteriori informazioni sulla configurazione dei log per il tuo account, consulta la [ CloudWatch documentazione di Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/).
# Gestisci i certificati dei clienti
AWS IoT fornisce funzionalità per la gestione dei certificati client.
**Topics**
+ [
# Attivare o disattivare un certificato client
](activate-or-deactivate-device-cert.md)
+ [
# Collegare un oggetto o una policy a un certificato client
](attach-to-cert.md)
+ [
# Revocare un certificato client
](revoke-ca-cert.md)
+ [
# Trasferire un certificato a un altro account
](transfer-cert.md)
# Attivare o disattivare un certificato client
AWS IoT verifica che un certificato client sia attivo quando autentica una connessione.
Puoi creare e registrare certificati client senza attivarli in modo che non possano essere utilizzati finché non lo desideri. È inoltre possibile disattivare i certificati client attivi per disabilitarli temporaneamente. Infine, puoi revocare i certificati client per impedirne qualsiasi utilizzo futuro.
## Attivare un certificato client (console)
**Per attivare un certificato client utilizzando la console AWS IoT**
1. Accedi alla console di AWS gestione e apri la [AWS IoT console](https://console.aws.amazon.com/iot/home).
1. Nel riquadro di navigazione di sinistra, scegliere **Secure (Sicurezza)**, quindi **Certificates (Certificati)**.
1. Nell'elenco dei certificati individuare il certificato che si desidera attivare e aprire il menu delle opzioni utilizzando l'icona con i puntini di sospensione.
1. Scegliere **Activate (Attiva)**dal menu delle opzioni.
Il certificato viene visualizzato come **Active (Attivo)** nell'elenco dei certificati.
## Disattivare un certificato client (console)
**Per disattivare un certificato client utilizzando la console AWS IoT**
1. Accedi alla console di AWS gestione e apri la [AWS IoT console](https://console.aws.amazon.com/iot/home).
1. Nel riquadro di navigazione di sinistra, scegliere **Secure (Sicurezza)**, quindi **Certificates (Certificati)**.
1. Nell'elenco dei certificati individuare il certificato che si desidera disattivare e aprire il menu delle opzioni utilizzando l'icona con i puntini di sospensione.
1. Scegliere **Deactivate (Disattiva)**dal menu delle opzioni.
Il certificato viene visualizzato come **Inactive (Inattivo)** nell'elenco dei certificati.
## Attivare un certificato client (CLI)
AWS CLI Fornisce il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)comando per attivare un certificato.
```
aws iot update-certificate \
--certificate-id certificateId \
--new-status ACTIVE
```
Se il comando ha esito positivo, lo stato del certificato è `ACTIVE`. Eseguire [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html) per visualizzare lo stato del certificato.
```
aws iot describe-certificate \
--certificate-id certificateId
```
## Disattivare un certificato client (CLI)
AWS CLI Fornisce il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)comando per disattivare un certificato.
```
aws iot update-certificate \
--certificate-id certificateId \
--new-status INACTIVE
```
Se il comando ha esito positivo, lo stato del certificato è `INACTIVE`. Eseguire [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html) per visualizzare lo stato del certificato.
```
aws iot describe-certificate \
--certificate-id certificateId
```
# Collegare un oggetto o una policy a un certificato client
Quando si crea e si registra un certificato separato da un AWS IoT oggetto, questo non avrà alcuna politica che autorizzi alcuna AWS IoT operazione, né sarà associato a nessun AWS IoT oggetto. In questa sezione viene descritto come aggiungere queste relazioni a un certificato registrato.
**Importante**
Per completare queste procedure, è necessario aver già creato l'oggetto o la policy che si desidera collegare al certificato.
Il certificato autentica un dispositivo in AWS IoT modo che possa connettersi. Collegare il certificato a una risorsa dell'oggetto stabilisce la relazione tra il dispositivo (tramite il certificato) e la risorsa dell'oggetto. Per autorizzare il dispositivo a eseguire AWS IoT azioni, ad esempio consentirgli di connettersi e pubblicare messaggi, è necessario allegare una politica appropriata al certificato del dispositivo.
## Collegare un oggetto a un certificato client (console)
Per completare questa procedura, è necessario il nome dell'oggetto.
**Per collegare un oggetto a un certificato registrato**
1. Accedi alla console di AWS gestione e apri la [AWS IoT console](https://console.aws.amazon.com/iot/home).
1. Nel riquadro di navigazione di sinistra, scegliere **Secure (Sicurezza)**, quindi **Certificates (Certificati)**.
1. Nell'elenco dei certificati individuare il certificato a cui si desidera collegare una policy, aprire il menu delle opzioni del certificato scegliendo l'icona con i puntini di sospensione e scegliere **Collega oggetto**.
1. Nella finestra popup individua il nome dell'oggetto che desideri collegare al certificato, scegli la relativa casella di controllo e scegli **Attach (Collega)**.
L'oggetto dovrebbe ora essere visualizzato nell'elenco degli oggetti nella pagina dei dettagli del certificato.
## Collegare una policy a un certificato client (console)
Per completare questa procedura, sarà necessario il nome dell'oggetto policy.
**Per collegare un oggetto policy a un certificato registrato**
1. Accedi alla console di AWS gestione e apri la [AWS IoT console](https://console.aws.amazon.com/iot/home).
1. Nel riquadro di navigazione di sinistra, scegliere **Secure (Sicurezza)**, quindi **Certificates (Certificati)**.
1. Nell'elenco dei certificati individuare il certificato a cui si desidera collegare una policy, aprire il menu delle opzioni del certificato scegliendo l'icona con i puntini di sospensione e scegliere **Collega policy**.
1. Nella finestra popup individua il nome della policy che desideri collegare al certificato, scegli la relativa casella di controllo e scegli **Attach (Collega)**.
L'oggetto policy dovrebbe ora essere visualizzato nell'elenco delle policy nella pagina dei dettagli del certificato.
## Collegare un oggetto a un certificato client (CLI)
AWS CLI Fornisce il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-thing-principal.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-thing-principal.html)comando per allegare un oggetto a un certificato.
```
aws iot attach-thing-principal \
--principal certificateArn \
--thing-name thingName
```
## Collegare una policy a un certificato client (CLI)
AWS CLI Fornisce il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-policy.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/attach-policy.html)comando per allegare un oggetto di policy a un certificato.
```
aws iot attach-policy \
--target certificateArn \
--policy-name policyName
```
# Revocare un certificato client
Se rilevi un'attività sospetta in un certificato client registrato, puoi revocarlo in modo che non possa essere utilizzato nuovamente.
**Nota**
Dopo che un certificato è stato revocato, il suo stato non può essere modificato. Ovvero, lo stato del certificato non può essere modificato in `Active` o in qualsiasi altro stato.
## Revocare un certificato client (console)
**Per revocare un certificato client utilizzando la console AWS IoT**
1. [Accedi alla console di AWS gestione e apri la AWS IoT console.](https://console.aws.amazon.com/iot/home)
1. Nel riquadro di navigazione di sinistra, scegliere **Secure (Sicurezza)**, quindi **Certificates (Certificati)**.
1. Nell'elenco dei certificati individuare il certificato che si desidera revocare e aprire il menu delle opzioni utilizzando l'icona con i puntini di sospensione.
1. Nel menu delle opzioni, scegliere **Revoke (Revoca)**.
Se il certificato viene revocato correttamente, è visualizzato come **Revoked (Revocato)** nell'elenco dei certificati.
## Revocare un certificato client (CLI)
AWS CLI Fornisce il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html)comando per revocare un certificato.
```
aws iot update-certificate \
--certificate-id certificateId \
--new-status REVOKED
```
Se il comando ha esito positivo, lo stato del certificato è `REVOKED`. Eseguire [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-certificate.html) per visualizzare lo stato del certificato.
```
aws iot describe-certificate \
--certificate-id certificateId
```
# Trasferire un certificato a un altro account
I certificati X.509 che appartengono a uno Account AWS possono essere trasferiti a un altro. Account AWS
**Per trasferire un certificato X.509 da uno all'altro Account AWS**
1. [Avviare un trasferimento di certificato](#transfer-cert-init)
Il certificato deve essere disattivato e scollegato da tutti le policy e gli oggetti prima di avviare il trasferimento.
1. [Accettare o rifiutare un trasferimento di certificato](#transfer-cert-accept)
L'account ricevente deve accettare o rifiutare esplicitamente il certificato trasferito. Dopo che l'account ricevente ha accettato il certificato, il certificato deve essere attivato prima dell'uso.
1. [Annullamento di un trasferimento di certificato](#transfer-cert-cancel)
L'account di origine può annullare un trasferimento, se il certificato non è stato accettato.
## Avviare un trasferimento di certificato
È possibile iniziare a trasferire un certificato a un altro Account AWS utilizzando la [AWS IoT console](https://console.aws.amazon.com/iot/home) o il. AWS CLI
### Avviare un trasferimento di certificato (console)
Per completare questa procedura, è necessario l'ID del certificato che vuoi trasferire.
Esegui questa procedura dall'account con il certificato da trasferire.
**Per iniziare a trasferire un certificato a un altro Account AWS**
1. Accedi alla console di AWS gestione e apri la [AWS IoT console](https://console.aws.amazon.com/iot/home).
1. Nel riquadro di navigazione di sinistra, scegliere **Secure (Sicurezza)**, quindi **Certificates (Certificati)**.
Scegli il certificato con uno stato **Active (Attivo)** o **Inactive (Inattivo)** da trasferire e aprine la pagina dettagli.
1. Nella pagina **Details** (Dettagli) del certificato, nel menu **Actions** (Operazioni), se l'opzione **Deactivate** (Disattiva) è disponibile, selezionala per disattivare il certificato.
1. Sulla pagina **Details (Dettagli)** del certificato, seleziona **Policies (Policy)** nel menu di sinistra.
1. Se sulla pagina **Policies (Policy)** del certificato sono presenti delle policy allegate al certificato, scollegali aprendo il menu delle opzioni delle policy e scegliendo **Detach (Distacca)**.
Prima di continuare, verifica che al certificato non siano collegate policy.
1. Sul menu a sinistra della pagina **Policies (Policy)** del certificato seleziona **Things (Oggetti)**.
1. Se sulla pagina **Things (Oggetti)** del certificato ci sono oggetti allegati al certificato, scollegali aprendo il menu delle opzioni dell'oggetto e scegliendo **Detach (Distacca)**.
Prima di continuare, il certificato non deve essere collegato a nessun oggetto.
1. Sulla pagina **Things (Oggetti)** del certificato, nel menu a sinistra seleziona **Details (Dettagli)**.
1. Nella pagina **Details** (Dettagli) del certificato, nel menu **Actions** (Operazioni), scegli **Start transfer** (Avvia trasferimento) per aprire la relativa finestra di dialogo.
1. Nella finestra di dialogo **Avvia trasferimento**, inserisci il Account AWS numero dell'account per ricevere il certificato e un breve messaggio opzionale.
1. Scegli **Start transfer (Avvio del trasferimento)** per trasferire il certificato.
La console dovrebbe visualizzare un messaggio che indica l'esito o il fallimento del trasferimento. Se il trasferimento è stato avviato, lo stato del certificato viene aggiornato a **Transferred (Trasferimento)**.
### Avviare un trasferimento di certificati (CLI)
Per completare questa procedura, avrai bisogno *certificateArn* dell'*certificateId*e del certificato che desideri trasferire.
Esegui questa procedura dall'account con il certificato da trasferire.
**Per iniziare a trasferire un certificato su un altro AWS account**
1. Utilizza il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) per disattivare il certificato.
```
aws iot update-certificate --certificate-id certificateId --new-status INACTIVE
```
1. Scollega tutte le policy.
1. Utilizza il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-attached-policies.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-attached-policies.html) per elencare le policy collegate al certificato.
```
aws iot list-attached-policies --target certificateArn
```
1. Per ogni policy allegata, utilizza il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-policy.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-policy.html) per scollegare la policy.
```
aws iot detach-policy --target certificateArn --policy-name policy-name
```
1. Scollega tutti gli oggetti.
1. Utilizza il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-principal-things.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-principal-things.html) per fare una lista delle cose collegate al certificato.
```
aws iot list-principal-things --principal certificateArn
```
1. Utilizza il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-thing-principal.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/detach-thing-principal.html) per scollegare ogni oggetto allegato.
```
aws iot detach-thing-principal --principal certificateArn --thing-name thing-name
```
1. Utilizza il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/transfer-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/transfer-certificate.html) per avviare il trasferimento del certificato.
```
aws iot transfer-certificate --certificate-id certificateId --target-aws-account account-id
```
## Accettare o rifiutare un trasferimento di certificato
È possibile accettare o rifiutare un certificato trasferito Account AWS da un altro utente Account AWS utilizzando la [AWS IoT console](https://console.aws.amazon.com/iot/home) o il AWS CLI.
### Accettare o rifiutare un trasferimento di certificato (console)
Per completare questa procedura, è necessario l'ID del certificato trasferito nel tuo account.
Eseguire questa procedura dall'account che riceve il certificato trasferito.
**Per accettare o rifiutare un certificato che è stato trasferito su Account AWS**
1. Accedi alla console di AWS gestione e apri la [AWS IoT console](https://console.aws.amazon.com/iot/home).
1. Nel riquadro di navigazione di sinistra, scegliere **Secure (Sicurezza)**, quindi **Certificates (Certificati)**.
Scegli il certificato con lo stato **Pending transfer (Trasferimento in sospeso)** per accettare o rifiutare e aprirne la pagina dettagli.
1. Sulla pagina **Details (Dettagli)** del certificato, nel menu **Actions (Operazioni)**,
+ Per accettare il certificato, scegli **Accept transfer (Accetta il trasferimento)**.
+ Per non accettare il certificato, scegli **Reject transfer (Rifiuta del trasferimento)**.
### Accettare o rifiutare un trasferimento di certificato (CLI)
Per completare questa procedura, è necessario il trasferimento *certificateId* del certificato che si desidera accettare o rifiutare.
Eseguire questa procedura dall'account che riceve il certificato trasferito.
**Per accettare o rifiutare un certificato che è stato trasferito al tuo Account AWS**
1. Per accettare il certificato, utilizza il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/accept-certificate-transfer.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/accept-certificate-transfer.html).
```
aws iot accept-certificate-transfer --certificate-id certificateId
```
1. Per rifiutare il certificato, utilizza il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/reject-certificate-transfer.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/reject-certificate-transfer.html).
```
aws iot reject-certificate-transfer --certificate-id certificateId
```
## Annullamento di un trasferimento di certificato
È possibile annullare un trasferimento di certificato prima che sia stato accettato utilizzando la [console AWS IoT](https://console.aws.amazon.com/iot/home) o l' AWS CLI.
### Annullamento di un trasferimento di certificato (console)
Per completare questa procedura, è necessario l'ID del certificato che vuoi cancellare.
Esegui questa procedura dall'account che ha avviato il trasferimento del certificato.
**Annullamento di un trasferimento di certificato**
1. Accedi alla console di AWS gestione e apri la [AWS IoT console](https://console.aws.amazon.com/iot/home).
1. Nel riquadro di navigazione di sinistra, scegliere **Secure (Sicurezza)**, quindi **Certificates (Certificati)**.
Scegli il certificato con lo stato **Transferred (Trasferimento)** di cui si desidera annullare il trasferimento e apri il menu delle opzioni.
1. Nel menu delle opzioni del certificato, scegli l'opzione **Revoke transfer (Revoca del trasferimento)** per annullare il trasferimento del certificato.
**Importante**
Fai attenzione a non confondere **Revoke transfer (Revoca del trasferimento)** con l'opzione **Revoke (Revoca)**.
La **Revoke transfer (Revoca del trasferimento)** annulla il trasferimento del certificato, mentre l'opzione **Revoke (Revoca)** rende il certificato irreversibilmente inutilizzabile da AWS IoT.
### Annullamento di un trasferimento di certificato (CLI)
Per completare questa procedura, avrai bisogno *certificateId* del trasferimento del certificato che desideri annullare.
Esegui questa procedura dall'account che ha avviato il trasferimento del certificato.
Utilizza il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/cancel-certificate-transfer.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/cancel-certificate-transfer.html) per annullare il trasferimento del certificato.
```
aws iot cancel-certificate-transfer --certificate-id certificateId
```
# Convalida personalizzata del certificato del cliente
AWS IoT Core supporta la convalida personalizzata dei certificati client per i certificati client X.509, che migliora la gestione dell'autenticazione dei client. Questo metodo di convalida dei certificati è noto anche come controllo dei certificati di preautenticazione, in cui si valutano i certificati client in base a criteri personalizzati (definiti in una funzione Lambda) e si revocano i certificati client o il certificato dell'autorità di certificazione (CA) di firma dei certificati per impedire ai client di connettersi. AWS IoT Core Ad esempio, è possibile creare controlli di revoca dei certificati personalizzati che convalidano lo stato dei certificati rispetto alle autorità di convalida che supportano gli endpoint [OCSP (Online Certificate Status Protocol)](https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol) o [Certificate Revocation Lists (CRL)](https://en.wikipedia.org/wiki/Certificate_revocation_list) e impediscono le connessioni per i client con certificati revocati. I criteri utilizzati per valutare i certificati client sono definiti in una funzione Lambda (nota anche come Lambda di preautenticazione). È necessario utilizzare gli endpoint impostati nelle configurazioni di dominio e il [tipo di autenticazione](protocols.md#connection-protocol-auth-mode) deve essere un certificato X.509. Inoltre, i client devono fornire l'estensione [SNI (Server Name Indication)](https://www.rfc-editor.org/rfc/rfc3546#section-3.1) durante la connessione a. AWS IoT Core
**Nota**
Questa funzionalità non è supportata nelle AWS GovCloud (US) regioni.
**Topics**
+ [
## Fase 1: Registrare i certificati client X.509 con AWS IoT Core
](#client-auth-cert-verification)
+ [
## Passaggio 2: creazione di una funzione Lambda
](#customize-client-auth-lambda)
+ [
## Fase 3: AWS IoT Autorizza a richiamare la funzione Lambda
](#customize-client-configuration-grant-permission)
+ [
## Fase 4: Impostare la configurazione di autenticazione per un dominio
](#customize-client-configuration)
## Fase 1: Registrare i certificati client X.509 con AWS IoT Core
Se non l'hai già fatto, registra e attiva i certificati client [X.509](https://docs.aws.amazon.com//iot/latest/developerguide/x509-client-certs.html) con. AWS IoT Core Altrimenti, passare alla fase successiva.
Per registrare e attivare i certificati client con AWS IoT Core, procedi nel seguente modo:
1. Se [crei certificati client direttamente con AWS IoT](https://docs.aws.amazon.com//iot/latest/developerguide/device-certs-create.html). Questi certificati client verranno registrati automaticamente con AWS IoT Core.
1. Se [crei i tuoi certificati client](https://docs.aws.amazon.com//iot/latest/developerguide/device-certs-your-own.html), segui [queste istruzioni per registrarli AWS IoT Core](https://docs.aws.amazon.com//iot/latest/developerguide/register-device-cert.html).
1. Per attivare i certificati client, segui [queste istruzioni](https://docs.aws.amazon.com//iot/latest/developerguide/activate-or-deactivate-device-cert.html).
## Passaggio 2: creazione di una funzione Lambda
È necessario creare una funzione Lambda che esegua la verifica del certificato e venga chiamata per ogni tentativo di connessione del client per l'endpoint configurato. Quando crei questa funzione Lambda, segui le indicazioni generali di [Crea la tua prima funzione Lambda](https://docs.aws.amazon.com//lambda/latest/dg/getting-started.html). Inoltre, assicurati che la funzione Lambda aderisca ai formati di richiesta e risposta previsti come segue:
**Esempio di evento della funzione Lambda**
```
{
"connectionMetadata": {
"id": "string"
},
"principalId": "string",
"serverName": "string",
"clientCertificateChain": [
"string",
"string"
]
}
```
`connectionMetadata`
Metadati o informazioni aggiuntive relative alla connessione del client a. AWS IoT Core
`principalId`
L'identificatore principale associato al client nella connessione TLS.
`serverName`
La stringa del [nome host SNI (Server Name Indication).](https://www.rfc-editor.org/rfc/rfc3546#section-3.1) AWS IoT Core richiede che i dispositivi inviino l'[estensione SNI](https://www.rfc-editor.org/rfc/rfc3546#section-3.1) al protocollo Transport Layer Security (TLS) e forniscano l'indirizzo completo dell'endpoint sul campo. `host_name`
`clientCertificateChain`
L'array di stringhe che rappresenta la catena di certificati X.509 del client.
**Esempio di risposta alla funzione Lambda**
```
{
"isAuthenticated": "boolean"
}
```
`isAuthenticated`
Un valore booleano che indica se la richiesta è autenticata.
**Nota**
Nella risposta Lambda, `isAuthenticated` deve essere necessario procedere `true` all'ulteriore autenticazione e autorizzazione. In caso contrario, il certificato client IoT può essere disabilitato e l'autenticazione personalizzata con certificati client X.509 può essere bloccata per ulteriori autenticazioni e autorizzazioni.
## Fase 3: AWS IoT Autorizza a richiamare la funzione Lambda
[Dopo aver creato la funzione Lambda, è necessario concedere l'autorizzazione AWS IoT per richiamarla utilizzando il comando CLI add-permission.](https://docs.aws.amazon.com//cli/latest/reference/lambda/add-permission.html) Nota che questa funzione Lambda verrà richiamata per ogni tentativo di connessione all'endpoint configurato. Per ulteriori informazioni, consulta [Autorizzazione AWS IoT a richiamare la funzione Lambda](custom-auth-authorize.md).
## Fase 4: Impostare la configurazione di autenticazione per un dominio
La sezione seguente descrive come impostare la configurazione di autenticazione per un dominio personalizzato utilizzando AWS CLI.
### Imposta la configurazione del certificato client per un dominio (CLI)
Se non disponi di una configurazione di dominio, usa il comando [https://docs.aws.amazon.com//cli/latest/reference/iot/create-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/create-domain-configuration.html)CLI per crearne una. Se disponi già di una configurazione di dominio, utilizza il comando [https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html)CLI per aggiornare la configurazione del certificato client per un dominio. È necessario aggiungere l'ARN della funzione Lambda creata nel passaggio precedente.
```
aws iot create-domain-configuration \
--domain-configuration-name domainConfigurationName \
--authentication-type AWS_X509|CUSTOM_AUTH_X509 \
--application-protocol SECURE_MQTT|HTTPS \
--client-certificate-config 'clientCertificateCallbackArn":"arn:aws:lambda:us-east-2:123456789012:function:my-function:1"}'
```
```
aws iot update-domain-configuration \
--domain-configuration-name domainConfigurationName \
--authentication-type AWS_X509|CUSTOM_AUTH_X509 \
--application-protocol SECURE_MQTT|HTTPS \
--client-certificate-config '{"clientCertificateCallbackArn":"arn:aws:lambda:us-east-2:123456789012:function:my-function:1"}'
```
`domain-configuration-name`
Il nome della configurazione di dominio.
`authentication-type`
Il tipo di autenticazione della configurazione del dominio. Per ulteriori informazioni, vedi [Scelta del tipo di autenticazione](protocols.md#connection-protocol-auth-mode).
`application-protocol`
Il protocollo applicativo con cui i dispositivi comunicano AWS IoT Core. Per ulteriori informazioni, vedere [Scelta di un protocollo applicativo](protocols.md#protocol-selection).
`client-certificate-config`
Un oggetto che specifica la configurazione di autenticazione del client per un dominio.
`clientCertificateCallbackArn`
L'Amazon Resource Name (ARN) della funzione Lambda che AWS IoT richiama il livello TLS quando viene stabilita una nuova connessione. Per personalizzare l'autenticazione client per eseguire la convalida personalizzata del certificato client, devi aggiungere l'ARN della funzione Lambda che hai creato nel passaggio precedente.
*Per ulteriori informazioni, consulta [CreateDomainConfiguration](https://docs.aws.amazon.com//iot/latest/apireference/API_CreateDomainConfiguration.html)e utilizza l'AWS IoT API [UpdateDomainConfiguration](https://docs.aws.amazon.com//iot/latest/apireference/API_UpdateDomainConfiguration.html)Reference.* Per ulteriori informazioni sulle configurazioni dei domini, consulta Configurazioni dei [domini](https://docs.aws.amazon.com//iot/latest/developerguide/iot-custom-endpoints-configurable.html).