适用于安卓设备的AWS物联网核心

Question

【以下的问题经过翻译处理】 我们计划使用AWS IOT核心对我们的Android设备进行设备管理。我们的设备已经安装了我们定制的应用程序，我们的计划是利用该应用程序来提供设备。因此，我们决定将通用证书和启动脚本（代码）捆绑在应用程序中。在设备启动时，将调用该脚本，并通过连接到IoT核心来提供设备。

请问，我们的方案是否可行，因为：

1. 我们将为所有设备使用通用证书。如果我们使用fleet provisioning，那么我的理解是aws iot核心将在第一次连接时在设备上安装唯一的证书。在我们的情况下，证书已经安装在应用程序中。那么我们能否使用fleet provisioning呢？
2. 在提供设备时，我们是否必须为每个设备使用唯一的证书？
3. 我们是否可以使用BKS（Bouncy Castle KeyStore）而不是X509证书？

Answer

【以下的回答经过翻译处理】 嗨，Smr。一般来说，移动应用程序使用[Cognito identities](https://docs.aws.amazon.com/iot/latest/developerguide/cognito-identities.html)比使用X.509证书更常见。使用我们的[移动SDK](https://docs.amplify.aws/sdk/pubsub/getting-started/q/platform/android/)或[Amplify](https://docs.amplify.aws/lib/pubsub/getting-started/q/platform/js/)发布和订阅AWS IoT Core。

尽管如此，车队配备有两种形式：[Fleet provisioning by claim](https://docs.aws.amazon.com/iot/latest/developerguide/provision-wo-cert.html)和[fleet provisioning by trusted user](https://docs.aws.amazon.com/iot/latest/developerguide/provision-wo-cert.html#trusted-user)。

车队配备依赖于常用证书。“声明证书”。这非常适合您所描述的内容。

受信任用户的车队配备在用户登录后动态生成一个限时的声明证书。这比在应用程序中分发声明证书更安全，移动应用程序通常需要用户创建帐户并登录作为设置的一部分。因此，受信任用户的车队配备通常更适合移动应用程序。

要使用车队配备，您的应用程序/设备需要实现[Device provisioning API](https://docs.aws.amazon.com/iot/latest/developerguide/fleet-provision-api.html)。我们的一些SDK[部分实现了此内容](https://github.com/aws/aws-iot-device-sdk-java-v2/tree/main/samples#fleet-provisioning)，但是您在设备上存储唯一设备证书的位置由您决定。

博客：

白皮书（见第15-19页）：

适用于安卓设备的AWS物联网核心

相关内容