Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# X.509 certificati client
<a name="x509-client-certs"></a>

X.509 i certificati offrono AWS IoT la possibilità di autenticare le connessioni di client e dispositivi. I certificati client devono essere registrati presso AWS IoT prima che un client possa comunicare con AWS IoT. Un certificato client può essere registrato in più Account AWS file contemporaneamente Regione AWS per facilitare lo spostamento di dispositivi tra Account AWS i server della stessa regione. Per ulteriori informazioni, consulta [Utilizzo di certificati X.509 client in più Account AWS s con registrazione su più account](#multiple-account-cert). 

Consigliamo che a ogni dispositivo o client sia assegnato un certificato univoco per permettere operazioni di gestione granulare del client, inclusa la revoca di certificati. I dispositivi e i client devono anche supportare la rotazione e la sostituzione dei certificati per garantire un funzionamento corretto allo scadere dei certificati.

Per informazioni sull'utilizzo X.509 dei certificati per supportare più di pochi dispositivi, consulta la sezione [Provisioning dei dispositivi](iot-provision.md) dedicata alle diverse opzioni di gestione e provisioning dei certificati AWS IoT supportate.

**AWS IoT supporta questi tipi di certificati X.509 client:**
+  X.509 certificati generati da AWS IoT
+  X.509 certificati firmati da una CA registrata con AWS IoT.
+  X.509 certificati firmati da una CA non registrata presso AWS IoT.

Questa sezione descrive come gestire i X.509 certificati in AWS IoT. È possibile utilizzare la AWS IoT console o AWS CLI eseguire queste operazioni sui certificati:
+ [Crea AWS IoT certificati client](device-certs-create.md)
+ [Creare certificati client personali](device-certs-your-own.md)
+ [Registrare un certificato client](register-device-cert.md)
+ [Attivare o disattivare un certificato client](activate-or-deactivate-device-cert.md)
+ [Revocare un certificato client](revoke-ca-cert.md)

Per ulteriori informazioni sui AWS CLI comandi che eseguono queste operazioni, consulta [AWS IoT CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/index.html) Reference.

## Utilizzo dei certificati X.509 client
<a name="x509-client-cert-basics"></a>

X.509 i certificati autenticano le connessioni di client e dispositivi a AWS IoT. X.509i certificati offrono diversi vantaggi rispetto ad altri meccanismi di identificazione e autenticazione. X.509 i certificati consentono l'utilizzo di chiavi asimmetriche con i dispositivi. Ad esempio, è possibile masterizzare le chiavi private in uno spazio di archiviazione sicuro su un dispositivo in modo che il materiale crittografico sensibile non lasci mai il dispositivo. X.509i certificati forniscono un'autenticazione client più efficace rispetto ad altri schemi, ad esempio nome utente e password o token al portatore, perché la chiave privata non lascia mai il dispositivo.

AWS IoT autentica i certificati client utilizzando la modalità di autenticazione client del protocollo TLS. Il supporto TLS è disponibile in molti linguaggi di programmazione e sistemi operativi e viene usato in genere per crittografare i dati. Nell'autenticazione client TLS, AWS IoT richiede un certificato X.509 client e convalida lo stato del certificato e Account AWS rispetto a un registro di certificati. Quindi richiede al client la prova della proprietà della chiave privata che corrisponde alla chiave pubblica contenuta nel certificato. AWS IoT richiede ai client di inviare l'[estensione SNI (Server Name Indication)](https://tools.ietf.org/html/rfc3546#section-3.1) al protocollo Transport Layer Security (TLS). Per ulteriori informazioni sulla configurazione dell'estensione SNI, consulta [Sicurezza dei trasporti in AWS IoT Core](transport-security.md).

Per facilitare una connessione client sicura e coerente al AWS IoT core, un certificato X.509 client deve possedere quanto segue:
+ Registrato in AWS IoT Core. Per ulteriori informazioni, consulta [Registrare un certificato client](register-device-cert.md).
+ Avere uno stato di `ACTIVE`. Per ulteriori informazioni, consulta [Attivare o disattivare un certificato client](activate-or-deactivate-device-cert.md).
+ La data di scadenza del certificato non è ancora stata raggiunta.

Puoi creare certificati client che utilizzano l'autorità di certificazione root Amazon e puoi utilizzare i tuoi certificati client firmati da un'altra CA. Per ulteriori informazioni sull'utilizzo della AWS IoT console per creare certificati che utilizzano Amazon Root CA, consulta[Crea AWS IoT certificati client](device-certs-create.md). Per ulteriori informazioni sull'utilizzo X.509 dei tuoi certificati, consulta[Creare certificati client personali](device-certs-your-own.md).

La data e l'ora di scadenza dei certificati firmati da un certificato CA vengono impostate al momento della creazione del certificato. X.509 i certificati generati da AWS IoT scadono alla mezzanotte UTC del 31 dicembre 2049 (2049-12-31). T23:59:59Z

AWS IoT Device Defender può eseguire audit su te Account AWS e sui dispositivi che supportano le migliori pratiche di sicurezza IoT comuni. Ciò include la gestione delle date di scadenza dei X.509 certificati firmati dalla tua CA o da Amazon Root CA. Per ulteriori informazioni sulla gestione della data di scadenza di un certificato, consulta Scadenza [del certificato del dispositivo e Scadenza del](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-approaching-expiration.html) [certificato CA](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-ca-cert-approaching-expiration.html).

Nel AWS IoT blog ufficiale, un approfondimento sulla gestione della rotazione dei certificati dei dispositivi e sulle migliori pratiche di sicurezza è esplorato in [Come gestire la rotazione dei certificati dei dispositivi IoT utilizzando AWS IoT](https://aws.amazon.com/blogs/iot/how-to-manage-iot-device-certificate-rotation-using-aws-iot/).

## Utilizzo di certificati X.509 client in più Account AWS s con registrazione su più account
<a name="multiple-account-cert"></a>

Multi-account la registrazione consente di spostare dispositivi tra Account AWS i tuoi utenti nella stessa regione o in regioni diverse. In questo modo puoi registrare, testare e configurare un dispositivo in un account di pre-produzione, quindi registrare e utilizzare lo stesso dispositivo e certificato del dispositivo in un account di produzione. È inoltre possibile registrare il certificato client sul dispositivo o i certificati del dispositivo senza una CA registrata con AWS IoT. Per ulteriori informazioni, consulta [Registrazione di un certificato client firmato da una CA non registrata (CLI)](manual-cert-registration.md#manual-cert-registration-noca-cli).

**Nota**  
I certificati utilizzati per la registrazione con più account sono supportati in `iot:Data-ATS`, `iot:Data` (legacy), `iot:Jobs` e nei tipi di endpoint `iot:CredentialProvider`. Per ulteriori informazioni sugli endpoint dei AWS IoT dispositivi, consulta[AWS IoT dati del dispositivo e endpoint di servizio](iot-connect-devices.md#iot-connect-device-endpoints).

I dispositivi che utilizzano la registrazione multiaccount devono inviare l'[estensione SNI (Server Name Indication)](https://tools.ietf.org/html/rfc3546#section-3.1) al protocollo Transport Layer Security (TLS) e fornire l'indirizzo completo dell'endpoint sul `host_name` campo, quando si connettono. AWS IoT AWS IoT utilizza l'indirizzo dell'endpoint in `host_name` per indirizzare la connessione all'account corretto. AWS IoT I dispositivi esistenti che non inviano un indirizzo endpoint valido in `host_name` continueranno a funzionare, ma non saranno in grado di utilizzare le funzionalità che richiedono queste informazioni. Per ulteriori informazioni sull'estensione SNI e per informazioni su come identificare l'indirizzo endpoint per il campo `host_name`, vedere [Sicurezza dei trasporti in AWS IoT Core](transport-security.md). 

**Per utilizzare la registrazione con più account**

1. Puoi registrare i certificati del dispositivo con una CA. Puoi registrare la CA di firma in più account in modalità `SNI_ONLY` e utilizzare tale CA per registrare lo stesso certificato client su più account. Per ulteriori informazioni, consulta [Registrazione di un certificato CA in modalità SNI\_ONLY (CLI) - Consigliato](manage-your-CA-certs.md#register-CA-cert-SNI-cli).

1. Puoi registrare i certificati del dispositivo senza una CA. Per informazioni, consulta [Registra un certificato client firmato da una CA (CLI) non registrata](manual-cert-registration.md#manual-cert-registration-noca-cli). La registrazione di una CA è facoltativa. Non è necessario registrare la CA con AWS IoT cui ha firmato i certificati del dispositivo.

## Algoritmi di firma dei certificati supportati da AWS IoT
<a name="x509-cert-algorithms"></a>

AWS IoT supporta i seguenti algoritmi di firma dei certificati:
+ SHA256WITHRSA
+ SHA384WITHRSA
+ SHA512WITHRSA
+ SHA256 RSASSA-PSS CON RSA E MGF1 ()
+ SHA384 CON RSA E MGF1 () RSASSA-PSS
+ SHA512 CON RSA E MGF1 () RSASSA-PSS
+ DSA\_WITH\_SHA256
+ ECDSA-WITH-SHA256
+ ECDSA-WITH-SHA384
+ ECDSA-WITH-SHA512

[Per ulteriori informazioni sull'autenticazione e la sicurezza dei certificati, consulta Device certificate key quality.](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-key-quality.html)

**Nota**  
La richiesta di firma del certificato (CSR) deve includere una chiave pubblica. La chiave può essere una chiave RSA con una lunghezza di almeno 2.048 bit o una chiave ECC ricavata dalle curve NIST P-256, NIST o NIST. P-384 P-521 Per ulteriori informazioni, consulta [CreateCertificateFromCsr](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateCertificateFromCsr.html) nella *guida di riferimento delle API AWS IoT *.

## Algoritmi chiave supportati da AWS IoT
<a name="x509-cert-key-algorithms"></a>

La tabella seguente mostra come sono supportati gli algoritmi chiave:


****  

| Algoritmo chiave | Algoritmo di firma dei certificati | Versione TLS | Supportato? Sì o No | 
| --- | --- | --- | --- | 
| RSA con una dimensione della chiave di almeno 2048 bit | Tutti | TLS 1.2 TLS 1.3 | Sì | 
| ECC NIST P-256/P-384/P-521 | Tutti | TLS 1.2 TLS 1.3 | Sì | 
| RSA-PSS con una dimensione della chiave di almeno 2048 bit | Tutti | TLS 1.2 | No | 
| RSA-PSS con una dimensione della chiave di almeno 2048 bit | Tutti | TLS 1.3 | Sì | 

Per creare un certificato utilizzando [CreateCertificateFromCSR](https://docs.aws.amazon.com//iot/latest/apireference/API_CreateCertificateFromCsr.html), puoi utilizzare un algoritmo a chiave supportato per generare una chiave pubblica per la tua CSR. Per registrare il proprio certificato utilizzando [RegisterCertificate](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificate.html)oppure [RegisterCertificateWithoutCA](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificateWithoutCA.html), è possibile utilizzare un algoritmo a chiave supportato per generare una chiave pubblica per il certificato.

Per ulteriori informazioni, consulta [Politiche di sicurezza](https://docs.aws.amazon.com//iot/latest/developerguide/transport-security.html#tls-policy-table).