AWS IoT Core entfernt die TLS-ALPN-Anforderung und fügt benutzerdefinierte Autorisierungsfunktionen hinzu
Ab sofort bietet AWS IoT Core drei neue Funktionen für Domänenkonfigurationen an. Geräte müssen sich nicht mehr auf die Transport Layer Security (TLS) Application Layer Protocol Negotiation (ALPN)-Erweiterung verlassen, um den Authentifizierungstyp und das Protokoll zu bestimmen. Darüber hinaus können Entwickler dem benutzerdefinierten Authentifizierungsworkflow eine zusätzliche Validierung von X.509-Clientzertifikaten hinzufügen. Bisher wählten Geräte den Authentifizierungstyp aus, indem sie eine Verbindung zu einem definierten Port herstellten und TLS ALPN das gewählte Protokoll zur Verfügung stellten. Die neue Möglichkeit, Authentifizierungstyp und -protokoll ausschließlich auf der Grundlage der TLS Server Name Indication (SNI)-Erweiterung zu konfigurieren, macht es einfacher, Geräte mit der Cloud zu verbinden, ohne dass TLS ALPN erforderlich ist. Auf diese Weise können Entwickler bestehende Geräteflotten ohne Firmware-Updates oder Amazon-spezifische TLS-ALPN-Strings auf AWS IoT Core migrieren. Die Kombination aus Authentifizierungstyp und Protokoll wird einem Endpunkt für alle unterstützten TCP-Ports dieser benutzerdefinierten Domäne zugewiesen.
Aufbauend auf dem oben genannten Feature fügte AWS IoT Core zwei zusätzliche Authentifizierungsfunktionen hinzu. Die benutzerdefinierte Authentifizierung mit X.509-Clientzertifikaten ermöglicht es Kunden, IoT-Geräte mithilfe von X.509-Zertifikaten zu authentifizieren und dann benutzerdefinierte Authentifizierungslogiken als zusätzliche Sicherheitsebene hinzuzufügen. Zweitens ermöglicht die benutzerdefinierte Client-Zertifikatsvalidierung Kunden, das X.509-Clientzertifikat auf der Grundlage einer benutzerdefinierten Lambda-Funktion zu validieren. Entwickler können beispielsweise benutzerdefinierte Zertifikatssperrprüfungen wie das Online Certificate Status Protocol und die Certificate Revocation List erstellen, bevor sie einem Client erlauben, eine Verbindung herzustellen.
Alle drei Funktionen sind in allen AWS-Regionen verfügbar, in denen AWS IoT Core verfügbar ist, mit Ausnahme von AWS GovCloud (USA). Weitere Informationen zu diesem Feature finden Sie im Entwicklerhandbuch.