기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 클라이언트가 JITR( AWS IoT just-in-time Registration)에 연결할 때 클라이언트 인증서 등록
<a name="auto-register-device-cert"></a>

클라이언트가 처음 연결할 때에 AWS IoT 자동으로 등록하도록 서명된 클라이언트 인증서를 활성화하도록 CA 인증서를 구성할 수 있습니다 AWS IoT.

클라이언트가 AWS IoT 에 처음 연결할 때 클라이언트 인증서를 등록하려면 자동 등록을 위해 CA 인증서를 활성화하고 필요한 인증서를 제공하도록 클라이언트의 첫 번째 연결을 구성해야 합니다.

## 자동 등록을 지원하도록 CA 인증서 구성(콘솔)
<a name="enable-auto-registration-console"></a>

**AWS IoT 콘솔을 사용하여 자동 클라이언트 인증서 등록을 지원하도록 CA 인증서를 구성하려면**

1.  AWS Management Console에 로그인하고 [AWS IoT 콘솔](https://console.aws.amazon.com/iot/home)을 엽니다.

1. 왼쪽 탐색 창에서 **보안**을 선택한 후 **CA**를 선택합니다.

1. 인증 기관 목록에서 자동 등록을 활성화할 인증 기관을 찾은 다음 줄임표 아이콘을 사용하여 옵션 메뉴를 엽니다.

1. 옵션 메뉴에서 **자동 등록 활성화**를 선택합니다.

**참고**  
인증 기관 목록에 자동 등록 상태가 표시되지 않습니다. 인증 기관의 자동 등록 상태를 보려면 인증 기관의 **세부 정보** 페이지를 열어야 합니다.

## 자동 등록을 지원하도록 CA 인증서 구성(CLI)
<a name="enable-auto-registration-cli"></a>

CA 인증서를에 이미 등록한 경우 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html) 명령을 AWS IoT사용하여 `autoRegistrationStatus` CA 인증서를 로 설정합니다`ENABLE`.

```
aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE
```

CA 인증서를 등록할 때 `autoRegistrationStatus`를 활성화하려면 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) 명령을 사용합니다.

```
aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```

[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) 명령을 사용하여 CA 인증서의 상태를 확인합니다.

## 자동 등록을 위해 클라이언트에 의한 첫 번째 연결 구성
<a name="configure-auto-reg-first-connect"></a>

클라이언트가 처음으로 AWS IoT 에 연결하려고 하면 전송 계층 보안(TLS) 핸드셰이크 중에 CA 인증서로 서명된 클라이언트 인증서가 클라이언트에 있어야 합니다.

클라이언트가 연결되면 [AWS IoT 클라이언트 인증서 생성](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-create.html) 또는 [자체 클라이언트 인증서 생성](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html)에서 생성한 클라이언트 인증서를 AWS IoT사용합니다.는 CA 인증서를 등록된 CA 인증서로 AWS IoT 인식하고, 클라이언트 인증서를 등록하고, 상태를 로 설정합니다`PENDING_ACTIVATION`. 이는 클라이언트 인증서가 자동으로 등록되었고 활성화를 기다리는 중임을 의미합니다. 클라이언트 인증서를 사용하여 AWS IoT에 연결하려면 먼저 클라이언트 인증서가 `ACTIVE` 상태여야 합니다. 클라이언트 인증서 활성화에 대한 자세한 내용은 [클라이언트 인증서 활성화 또는 비활성화](activate-or-deactivate-device-cert.md) 섹션을 참조하세요.

**참고**  
디바이스의 첫 번째 연결에서 전체 신뢰 체인을 보낼 필요 없이 JITR( AWS IoT Core just-in-time Registration) 기능을 사용하여 디바이스를 프로비저닝할 수 있습니다 AWS IoT Core. CA 인증서를 제시하는 것은 선택 사항이지만 디바이스가 연결할 때 [서버 이름 표시(SNI)](https://datatracker.ietf.org/doc/html/rfc3546#section-3.1) 확장을 전송해야 합니다.

가 인증서를 AWS IoT 자동으로 등록하거나 클라이언트가 `PENDING_ACTIVATION` 상태의 인증서를 제시하면는 다음 MQTT 주제에 메시지를 AWS IoT 게시합니다.

`$aws/events/certificates/registered/caCertificateId`

여기서 `caCertificateId`는 디바이스 인증서를 발행한 CA 인증서의 ID입니다.

이 주제에 게시된 메시지는 구조가 다음과 같습니다.

```
{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}
```

이 주제를 수신 대기하고 일부 작업을 수행하는 규칙을 생성할 수 있습니다. 클라이언트 인증서가 인증서 취소 목록(CRL)에 포함되지 않음을 확인하고, 인증서를 활성화하고, 정책을 생성하여 인증서에 연결하는 Lambda 규칙을 생성하는 것이 좋습니다. 이 정책은 클라이언트가 어떤 리소스에 액세스할 수 있는지를 결정합니다. 생성 중인 정책에 연결되어 있는 디바이스의 클라이언트 ID가 필요한 경우, 규칙의 clientid() 함수를 사용하여 클라이언트 ID를 검색할 수 있습니다. 규칙 정의 예제는 다음과 같습니다.

```
SELECT *,
   clientid() as clientid
from $aws/events/certificates/registered/caCertificateId
```

이 예제에서 규칙은 JITR 주제 `$aws/events/certificates/registered/caCertificateID`를 구독하고 clientid() 함수를 사용하여 클라이언트 ID를 검색합니다. 그런 다음 규칙은 클라이언트 ID를 JITR 페이로드에 추가합니다. 규칙의 clientid() 함수에 대한 자세한 내용은 [clientid()](https://docs.aws.amazon.com//iot/latest/developerguide/iot-sql-functions.html#iot-sql-function-clientid)를 참조하세요.

`$aws/events/certificates/registered/caCertificateID` 주제를 수신 대기하고 이러한 작업을 수행하는 Lambda 규칙을 생성하는 방법에 대한 자세한 내용은[Just-in-Time Registration of Device Certificates on AWS IoT](https://aws.amazon.com/blogs/iot/just-in-time-registration-of-device-certificates-on-aws-iot/)을 참조하세요.

클라이언트 인증서의 자동 등록 중에 오류 또는 예외가 발생하면는 CloudWatch Logs의 로그에 이벤트 또는 메시지를 AWS IoT 전송합니다. 계정에 대한 로그 설정에 대한 자세한 내용은 [Amazon CloudWatch 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/)를 참조하세요.