使用AWS re:Post即您表示您同意 AWS re:Post 使用条款
AWS re:Postre:Post

AWS IoT - 使用设备批量配置(Fleet Provsioning)为没有证书的设备提供配置

0

【以下的问题经过翻译处理】 您好,

我有几个关于受信任用户(trusted user)或配置声明(provisioning claim)进行的配置过程的问题:

  1. 如果不想有过多信任供应商,您将如何为其提供配置声明(provisioning claim)证书的能力,以在制造过程中将证书安装到设备上?
  2. 如果设备已交付并被重置为出厂设置 - 如果配置声明证书已过期/被吊销,设备如何恢复?
  3. 如果您选择使用受信任用户方法,您将如何连接到设备的本地Web服务器?具体来说,您将如何安全地为设备的本地Web服务器安装TLS证书?
  4. 如果IoT设备是Greengrass(V2),是否更合理使用HSM密钥(例如[USB A Yubico](https://www.yubico.com/ll/works-with-yubikey/catalog/aws-iot-greengrass/))以支持设备的安全重新引导(以便它可以加载所有初始密钥/证书/ ssm激活代码)?
主题
物联网 (IoT)AWS 架构完善的框架
标签
AWS IoT GreengrassAWS IoT Core安全
语言
中文 (简体)
profile picture
专家
rePost Polyglot
已提问 5 个月前17 查看次数
1 回答
0

【以下的回答经过翻译处理】

  1. 第一个问题可以采用“即时配置”(JITP),在AWS IoT注册企业自己CA,这样可以控制AWS IoT受信任的企业的数量。参考https://docs.aws.amazon.com/iot/latest/developerguide/jit-provisioning.html。
  2. 配置声明证书默认过期时间到2050年1月1日,并且该证书不要轻易吊销,吊销后无法恢复。配置声明证书除非发现被滥用,可以在AWS IoT上进行停用。待滥用被缓解后,停用的证书后可以再重新激活。
  3. 设备连接到本地Web服务器,以及本地Web服务器的TLS证书和AWS IoT 基于可信任用户的批量配置没有关系。 4.第四个问题的回答:我们不支持 HSM 进行车队配备。使用我们的 PKCS11 模块,你可以使用“即时注册”(“JITR”)。希望这对你的使用情况有所帮助。

以下可能会有所帮助:

profile picture
专家
rePost Polyglot
已回答 5 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则

相关内容