기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 클라이언트 인증서 등록
클라이언트와 간의 통신을 활성화 AWS IoT 하려면 클라이언트 인증서를에 등록해야 합니다 AWS IoT. 각 클라이언트 인증서를 수동으로 등록하거나 클라이언트가 AWS IoT 에 처음 연결할 때 자동으로 등록하도록 클라이언트 인증서를 구성할 수 있습니다.
처음 연결할 때 클라이언트 및 디바이스가 클라이언트 인증서를 등록하도록 하려면 [CA 인증서 등록](manage-your-CA-certs.md#register-CA-cert)을(를) 사용하여 해당 클라이언트 인증서를 사용하려는 리전에서 AWS IoT (으)로 클라이언트 인증서에 서명해야 합니다. Amazon Root CA는에 자동으로 등록됩니다 AWS IoT.
클라이언트 인증서는 AWS 계정 및 리전에서 공유할 수 있습니다. 이 주제의 절차는 클라이언트 인증서를 사용할 각 계정 및 리전에서 수행해야 합니다. 한 계정 또는 리전에서 등록된 클라이언트 인증서는 다른 계정 또는 리전에서 자동으로 인식되지 않습니다.
**참고**
전송 계층 보안(TLS) 프로토콜을 사용하여 AWS IoT 에 연결하는 클라이언트는 TLS에 대한 [SNI(서버 이름 표시) 확장](https://tools.ietf.org/html/rfc3546#section-3.1)을 지원해야 합니다. 자세한 내용은 [의 전송 보안 AWS IoT Core](transport-security.md) 단원을 참조하세요.
**Topics**
+ [수동으로 클라이언트 인증서 등록](manual-cert-registration.md)
+ [클라이언트가 JITR( AWS IoT just-in-time Registration)에 연결할 때 클라이언트 인증서 등록](auto-register-device-cert.md)
# 수동으로 클라이언트 인증서 등록
AWS IoT 콘솔 및를 사용하여 클라이언트 인증서를 수동으로 등록할 수 있습니다 AWS CLI.
사용할 등록 절차는 인증서가 AWS 계정및 리전에서 공유되는지 여부에 따라 달라집니다. 한 계정 또는 리전에서 등록된 클라이언트 인증서는 다른 계정 또는 리전에서 자동으로 인식되지 않습니다.
이 주제의 절차는 클라이언트 인증서를 사용할 각 계정 및 리전에서 수행해야 합니다. 클라이언트 인증서는 AWS 계정및 리전에서 공유할 수 있습니다.
## 등록된 CA로 서명된 클라이언트 인증서 등록(콘솔)
**참고**
이 절차를 수행하기 전에 클라이언트 인증서의 .pem 파일이 있고 클라이언트 인증서가 [등록한 AWS IoT](manage-your-CA-certs.md#register-CA-cert) CA에 의해 서명되었는지 확인합니다.
**콘솔을 AWS IoT 사용하여에 기존 인증서를 등록하려면**
1. AWS Management Console에 로그인하고 [AWS IoT 콘솔](https://console.aws.amazon.com/iot/home)을 엽니다.
1. 탐색 창의 **관리(Manage)** 섹션에서 **보안(Security)**을 선택한 다음 **인증서(Certificates)**를 선택합니다.
1. **인증서(Certificates)** 대화 상자의 **인증서(Certificates)** 페이지에서 **인증서 추가(Add certificate)**를 선택한 다음 **인증서 등록(Register certificates)**을 선택합니다.
1. **업로드할 인증서(Certificates to upload)** 대화 상자의 **인증서 등록(Register certificate)** 페이지에서 다음을 수행합니다.
+ **CA가 AWS IoT에 등록됨**을 선택합니다.
+ **CA 인증서 선택(Choose a CA certificate)**에서 **인증 기관(Certification authority)**을 선택합니다.
+ AWS IoT에 등록되지 않은 새 **인증 기관(Certification authority)**을 등록하려면 **새 CA 등록(Register a new CA)**을 선택합니다.
+ **Amazon 루트 인증 기관(Amazon Root certificate authority)**이 해당 인증 기관인 경우 **CA 인증서 선택(Choose a CA certificate)**을 비워 둡니다.
+ 업로드하고 등록할 인증서를 최대 10개까지 선택합니다 AWS IoT.
+ [AWS IoT 클라이언트 인증서 생성](device-certs-create.md) 및 [CA 인증서를 사용하여 클라이언트 인증서 생성](create-device-cert.md)에서 생성한 인증서 파일을 사용합니다.
+ **활성화(Activate)** 또는 **비활성화(Deactivate)**를 선택합니다. **비활성화(Deactivate)**를 선택한 경우 인증서 등록 후 인증서를 활성화하는 방법이 [클라이언트 인증서 활성화 또는 비활성화](activate-or-deactivate-device-cert.md)에 설명되어 있습니다.
+ **등록**을 선택합니다.
이제 **인증서(Certificates)** 대화 상자의 **인증서(Certificates)** 페이지에 등록된 인증서가 나타납니다.
## 등록되지 않은 CA로 서명된 클라이언트 인증서 등록(콘솔)
**참고**
이 절차를 수행하기 전에 클라이언트 인증서의 .pem 파일이 있는지 확인해야 합니다.
**콘솔을 AWS IoT 사용하여에 기존 인증서를 등록하려면**
1. AWS Management Console에 로그인하고 [AWS IoT 콘솔](https://console.aws.amazon.com/iot/home)을 엽니다.
1. 왼쪽 탐색 창에서 **보안**, **인증서**, **생성**을 차례대로 선택합니다.
1. **인증서 생성**에서 **내 인증서 사용** 항목을 찾아 **시작하기**를 선택합니다.
1. **CA 선택**에서 **다음**을 선택합니다.
1. **기존 디바이스 인증서 등록**에서 **인증서 선택**을 선택하고 등록할 인증서 파일을 최대 10개까지 선택합니다.
1. 파일 대화 상자를 닫은 후 클라이언트 인증서를 등록할 때 클라이언트 인증서를 활성화할지 또는 취소할지 선택합니다.
인증서를 등록할 때 인증서를 활성화하지 않으면 [클라이언트 인증서 활성화(콘솔)](activate-or-deactivate-device-cert.md#activate-device-cert-console)에서 나중에 인증서를 활성화하는 방법에 대해 설명합니다.
인증서를 등록할 때 인증서가 취소되면 나중에 활성화할 수 없습니다.
등록할 인증서 파일을 선택하고 등록 후 수행할 작업을 선택한 후 **인증서 등록**을 선택합니다.
성공적으로 등록된 클라이언트 인증서가 인증서 목록에 나타납니다.
## 등록된 CA로 서명된 클라이언트 인증서 등록(CLI)
**참고**
이 절차를 수행하기 전에 인증 기관(CA) .pem 및 클라이언트 인증서의 .pem 파일이 있는지 확인해야 합니다. 클라이언트 인증서는 [등록한 AWS IoT](manage-your-CA-certs.md#register-CA-cert) 인증 기관(CA)에서 서명해야 합니다.
[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate.html) 명령을 사용하여 클라이언트 인증서를 활성화하지 않고 등록합니다.
```
aws iot register-certificate \
--certificate-pem file://device_cert_filename.pem \
--ca-certificate-pem file://ca_cert_filename.pem
```
클라이언트 인증서가에 등록 AWS IoT되었지만 아직 활성화되지 않았습니다. 나중에 활성화하는 방법에 대한 자세한 내용은 [클라이언트 인증서 활성화(CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) 단원을 참조하세요.
이 명령을 사용하여 클라이언트 인증서를 등록할 때 클라이언트 인증서를 활성화할 수도 있습니다.
```
aws iot register-certificate \
--set-as-active \
--certificate-pem file://device_cert_filename.pem \
--ca-certificate-pem file://ca_cert_filename.pem
```
연결에 사용할 수 있도록 인증서를 활성화하는 방법에 대한 자세한 내용은 섹션을 AWS IoT참조하세요. [클라이언트 인증서 활성화 또는 비활성화](activate-or-deactivate-device-cert.md)
## 등록되지 않은 CA로 서명된 클라이언트 인증서 등록(CLI)
**참고**
이 절차를 수행하기 전에 인증서의 .pem 파일이 있는지 확인해야 합니다.
[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-certificate-without-ca.html) 명령을 사용하여 클라이언트 인증서를 활성화하지 않고 등록합니다.
```
aws iot register-certificate-without-ca \
--certificate-pem file://device_cert_filename.pem
```
클라이언트 인증서가에 등록 AWS IoT되었지만 아직 활성화되지 않았습니다. 나중에 활성화하는 방법에 대한 자세한 내용은 [클라이언트 인증서 활성화(CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) 단원을 참조하세요.
이 명령을 사용하여 클라이언트 인증서를 등록할 때 클라이언트 인증서를 활성화할 수도 있습니다.
```
aws iot register-certificate-without-ca \
--status ACTIVE \
--certificate-pem file://device_cert_filename.pem
```
연결에 사용할 수 있도록 인증서를 활성화하는 방법에 대한 자세한 내용은 섹션을 AWS IoT참조하세요[클라이언트 인증서 활성화 또는 비활성화](activate-or-deactivate-device-cert.md).
# 클라이언트가 JITR( AWS IoT just-in-time Registration)에 연결할 때 클라이언트 인증서 등록
클라이언트가 처음 연결할 때에 AWS IoT 자동으로 등록하도록 서명된 클라이언트 인증서를 활성화하도록 CA 인증서를 구성할 수 있습니다 AWS IoT.
클라이언트가 AWS IoT 에 처음 연결할 때 클라이언트 인증서를 등록하려면 자동 등록을 위해 CA 인증서를 활성화하고 필요한 인증서를 제공하도록 클라이언트의 첫 번째 연결을 구성해야 합니다.
## 자동 등록을 지원하도록 CA 인증서 구성(콘솔)
**AWS IoT 콘솔을 사용하여 자동 클라이언트 인증서 등록을 지원하도록 CA 인증서를 구성하려면**
1. AWS Management Console에 로그인하고 [AWS IoT 콘솔](https://console.aws.amazon.com/iot/home)을 엽니다.
1. 왼쪽 탐색 창에서 **보안**을 선택한 후 **CA**를 선택합니다.
1. 인증 기관 목록에서 자동 등록을 활성화할 인증 기관을 찾은 다음 줄임표 아이콘을 사용하여 옵션 메뉴를 엽니다.
1. 옵션 메뉴에서 **자동 등록 활성화**를 선택합니다.
**참고**
인증 기관 목록에 자동 등록 상태가 표시되지 않습니다. 인증 기관의 자동 등록 상태를 보려면 인증 기관의 **세부 정보** 페이지를 열어야 합니다.
## 자동 등록을 지원하도록 CA 인증서 구성(CLI)
CA 인증서를에 이미 등록한 경우 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html) 명령을 AWS IoT사용하여 `autoRegistrationStatus` CA 인증서를 로 설정합니다`ENABLE`.
```
aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE
```
CA 인증서를 등록할 때 `autoRegistrationStatus`를 활성화하려면 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) 명령을 사용합니다.
```
aws iot register-ca-certificate \
--allow-auto-registration \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```
[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) 명령을 사용하여 CA 인증서의 상태를 확인합니다.
## 자동 등록을 위해 클라이언트에 의한 첫 번째 연결 구성
클라이언트가 처음으로 AWS IoT 에 연결하려고 하면 전송 계층 보안(TLS) 핸드셰이크 중에 CA 인증서로 서명된 클라이언트 인증서가 클라이언트에 있어야 합니다.
클라이언트가 연결되면 [AWS IoT 클라이언트 인증서 생성](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-create.html) 또는 [자체 클라이언트 인증서 생성](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html)에서 생성한 클라이언트 인증서를 AWS IoT사용합니다.는 CA 인증서를 등록된 CA 인증서로 AWS IoT 인식하고, 클라이언트 인증서를 등록하고, 상태를 로 설정합니다`PENDING_ACTIVATION`. 이는 클라이언트 인증서가 자동으로 등록되었고 활성화를 기다리는 중임을 의미합니다. 클라이언트 인증서를 사용하여 AWS IoT에 연결하려면 먼저 클라이언트 인증서가 `ACTIVE` 상태여야 합니다. 클라이언트 인증서 활성화에 대한 자세한 내용은 [클라이언트 인증서 활성화 또는 비활성화](activate-or-deactivate-device-cert.md) 섹션을 참조하세요.
**참고**
디바이스의 첫 번째 연결에서 전체 신뢰 체인을 보낼 필요 없이 JITR( AWS IoT Core just-in-time Registration) 기능을 사용하여 디바이스를 프로비저닝할 수 있습니다 AWS IoT Core. CA 인증서를 제시하는 것은 선택 사항이지만 디바이스가 연결할 때 [서버 이름 표시(SNI)](https://datatracker.ietf.org/doc/html/rfc3546#section-3.1) 확장을 전송해야 합니다.
가 인증서를 AWS IoT 자동으로 등록하거나 클라이언트가 `PENDING_ACTIVATION` 상태의 인증서를 제시하면는 다음 MQTT 주제에 메시지를 AWS IoT 게시합니다.
`$aws/events/certificates/registered/caCertificateId`
여기서 `caCertificateId`는 디바이스 인증서를 발행한 CA 인증서의 ID입니다.
이 주제에 게시된 메시지는 구조가 다음과 같습니다.
```
{
"certificateId": "certificateId",
"caCertificateId": "caCertificateId",
"timestamp": timestamp,
"certificateStatus": "PENDING_ACTIVATION",
"awsAccountId": "awsAccountId",
"certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}
```
이 주제를 수신 대기하고 일부 작업을 수행하는 규칙을 생성할 수 있습니다. 클라이언트 인증서가 인증서 취소 목록(CRL)에 포함되지 않음을 확인하고, 인증서를 활성화하고, 정책을 생성하여 인증서에 연결하는 Lambda 규칙을 생성하는 것이 좋습니다. 이 정책은 클라이언트가 어떤 리소스에 액세스할 수 있는지를 결정합니다. 생성 중인 정책에 연결되어 있는 디바이스의 클라이언트 ID가 필요한 경우, 규칙의 clientid() 함수를 사용하여 클라이언트 ID를 검색할 수 있습니다. 규칙 정의 예제는 다음과 같습니다.
```
SELECT *,
clientid() as clientid
from $aws/events/certificates/registered/caCertificateId
```
이 예제에서 규칙은 JITR 주제 `$aws/events/certificates/registered/caCertificateID`를 구독하고 clientid() 함수를 사용하여 클라이언트 ID를 검색합니다. 그런 다음 규칙은 클라이언트 ID를 JITR 페이로드에 추가합니다. 규칙의 clientid() 함수에 대한 자세한 내용은 [clientid()](https://docs.aws.amazon.com//iot/latest/developerguide/iot-sql-functions.html#iot-sql-function-clientid)를 참조하세요.
`$aws/events/certificates/registered/caCertificateID` 주제를 수신 대기하고 이러한 작업을 수행하는 Lambda 규칙을 생성하는 방법에 대한 자세한 내용은[Just-in-Time Registration of Device Certificates on AWS IoT](https://aws.amazon.com/blogs/iot/just-in-time-registration-of-device-certificates-on-aws-iot/)을 참조하세요.
클라이언트 인증서의 자동 등록 중에 오류 또는 예외가 발생하면는 CloudWatch Logs의 로그에 이벤트 또는 메시지를 AWS IoT 전송합니다. 계정에 대한 로그 설정에 대한 자세한 내용은 [Amazon CloudWatch 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/)를 참조하세요.