AWS IoT 设备证书即时注册
实现步骤如下:
- 创建 CA 证书并在 AWS IoT Core 上注册和激活。
- 使用该 CA 证书签发设备证书并安装在 IoT 设备上。
- 创建 Lambda 函数实现设备证书在 AWS IoT Core 上的自动注册。
- IoT 设备与 AWS IoT Core 的第一次连接。
<span id="first">1.创建 CA 证书并在 AWS IoT Core 上注册和激活。</span>
a) 我们需要将 CA 证书注册到 AWS IOT Core。 为了安全,AWS IOT Core 提供了相应的审核流程确保你同时持有 CA 证书和对应的私钥。因此,在最终注册 CA 证书之前,我们还需要按照流程生成一份用于验证 CA 证书和私钥持有者身份的中间证书(请注意这份证书并不是上面创建的 CA 证书)。从控制台获取一个随机生成的认证码,这个认证码(红框内的字符串)会和你的账户绑定。记录下这个认证码,很快我们就会用到。
b) 创建私钥和对应的 CA 证书:
$ mkdir cert
$ cd cert
$ openssl genrsa -out CA_Private.key 2048
$ openssl req -x509 -new -nodes -key CA_Private.key -sha256 -days 365 -out CA_Certificate.pem
在创建 CA 证书的过程中,你会被提示输入如下一些内容,将前一步记录下的认证码填入到 Common Name 中:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section)
Common Name (e.g. server FQDN or YOUR name) []: 5204677abdb93df2e70b247510c263f320351eca18e658d7f435224f6bc0309d
c) 再次使用 OpenSSL 生成用于验证身份的私钥和证书请求文件(CSR – Certificate Signing Request):
$ openssl genrsa -out Verification_Private.key 2048
$ openssl req -new -key Verification_Private.key -out Verification.csr
在创建 CSR 的过程中,你会被提示输入如下一些内容,将前一步记录下的认证码填入到 Common Name 中,密码设置为空:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section)
Common Name (e.g. server FQDN or YOUR name) []: 5204677abdb93df2e70b247510c263f320351eca18e658d7f435224f6bc0309d
d) 接下来,使用 CA 证书和私钥,以及上面创建的 CSR 来生成一份用于验证身份的中间证书:
$ openssl x509 -req -in Verification.csr -CA CA_Certificate.pem -CAkey CA_Private.key -CAcreateserial -out Verification.crt -days 365 -sha256
e) 最后,完成 CA 证书的注册和激活。同时,开启设备连接 IoT Core 时设备证书的自动注册。
<span id="second">2. 使用该 CA 证书签发设备证书并安装在 IoT 设备上。</span>
当我们创建并注册好 CA 证书之后,就可以开始用这个 CA 证书来签发设备证书了,步骤如下。
a) 创建一个设备证书的私钥 Device.key 和对应的证书请求文件 Device_Certificate.csr:
$ openssl genrsa -out Device.key 2048
$ openssl req -new -key Device.key -out Device_Certificate.csr
b) 使用 CA 证书,CA 证书私钥和证书请求文件签发设备证书 Device_Certificate.crt:
$ openssl x509 -req -in Device_Certificate.csr -CA CA_Certificate.pem -CAkey CA_Private.key -CAcreateserial -out Device_Certificate.crt -days 365 -sha256
在创建设备证书的过程中,你会被提示输入如下一些内容,将前一步记录下的认证码填入到 Common Name 中,密码设置为空:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section)
Common Name (e.g. server FQDN or YOUR name) []: 5204677abdb93df2e70b247510c263f320351eca18e658d7f435224f6bc0309d
<span id="third">3. 创建 Lambda 函数实现设备证书在 AWS IoT Core 上的自动注册。</span>
a) 创建 Lambda 函数,并确保执行的角色有IOT所有权限
输入以下代码:
var AWS = require('aws-sdk');
exports.handler = function (event, context, callback) {
// 根据实际部署区域写入,在certificateARN一处也是。
var region = "us-east-1";
var accountId = event.awsAccountId.toString().trim();
var iot = new AWS.Iot({
'region': region,
apiVersion: '2015-05-28'
});
var certificateId = event.certificateId.toString().trim();
//这里你可以替换成你想要的topic名称
var topicName = `JITR/test`;
var certificateARN = `arn:aws:iot:${region}:${accountId}:cert/${certificateId}`;
var policyName = `Policy_${certificateId}`;
//定义Policy并赋予权限,允许IoT设备连接,发布,订阅和接受消息
var policy = {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"iot:Publish",
"iot:Subscribe",
"iot:Connect",
"iot:Receive"
],
"Effect": "Allow",
"Resource": [
"*"
]
}
]
};
/*
创建Policy
*/
iot.createPolicy({
policyDocument: JSON.stringify(policy),
policyName: policyName
}, (err, data) => {
//Ignore if the policy already exists
if (err && (!err.code || err.code !== 'ResourceAlreadyExistsException')) {
console.log(err);
callback(err, data);
return;
}
console.log(data);
/*
附加Policy到设备证书上
*/
iot.attachPrincipalPolicy({
policyName: policyName,
principal: certificateARN
}, (err, data) => {
//Ignore if the policy is already attached
if (err && (!err.code || err.code !== 'ResourceAlreadyExistsException')) {
console.log(err);
callback(err, data);
return;
}
console.log(data);
/*
激活证书
*/
iot.updateCertificate({
certificateId: certificateId,
newStatus: 'ACTIVE'
}, (err, data) => {
if (err) {
console.log(err, err.stack);
callback(err, data);
} else {
console.log(data);
callback(null, "Success, created, attached policy and activated the certificate " + certificateId);
}
});
});
});
}
b) 创建IOT规则触发Lambda函数
查询语句如下:
SELECT * FROM '$aws/events/certificates/registered/#'
<span id="fouth">4. IoT 设备与 AWS IoT Core 的第一次连接。</span>
进入到之前创建的 cert 目录
$ cd cert
合并 CA 证书和设备证书到一个新的证书形成有效的证书链:
$ cat Device_Certificate.crt CA_Certificate.pem > Device_CA_Certificate.crt
下载 IoT Core 的 CA 证书,保存到cert文件夹,重命名为root-CA.crt,用于设备去验证 AWS IoT Core 的身份
AmazonRootCA1
执行 mosquitto_pub 命令去发布一个消息到对应的 topic 上面,这也是设备与 IoT Core 的第一次连接。如果你回想一下之前的步骤,到目前为止我们的设备证书还只存在于设备上面,并没有在 IoT Core 上注册,那么接下来见证奇迹的时刻就要到啦!
$ mosquitto_pub --cafile root-CA.crt --cert Device_CA_Certificate.crt --key Device.key -h xxxxxxxxxxxxxx.iot.us-east-1.amazonaws.com -p 8883 -q 1 -t JITR/test -i anyclientID --tls-version tlsv1.2 -m "Hello" -d
在第一次执行这个命令后,你会看到如下的报错,那么这是为什么呢?
Client anyclientID sending CONNECT
Error: The connection was lost.
实际上设备在第一次连接 IoT Core 的时候,设备证书还没有注册,所以 TLS 认证会失败。这个连接动作会发布一条注册消息到 "$aws/events/certificates/registered/<caCertificateID>"上面,接下来 Lambda 函数接收到这个消息后,会完成设备证书的注册,附加 Policy,那么我们再次执行这个命令就可以成功了。
$ mosquitto_pub --cafile root-CA.crt --cert Device_CA_Certificate.crt --key Device.key -h xxxxxxxxxxxxxx.iot.us-east-1.amazonaws.com -p 8883 -q 1 -t JITR/test -i anyclientID --tls-version tlsv1.2 -m "Hello" -d
输出如下:
Client anyclientID sending CONNECT
Client anyclientID received CONNACK
Client anyclientID sending PUBLISH (d0, q1, r0, m1, 'JITR/test', ... (5 bytes))
Client anyclientID received PUBACK (Mid: 1)
Client anyclientID sending DISCONNECT
参考资料
https://aws.amazon.com/cn/blogs/iot/just-in-time-registration-of-device-certificates-on-aws-iot/
https://docs.aws.amazon.com/zh_cn/iot/latest/developerguide/what-is-aws-iot.html
