Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

在客户端连接到注册时 Amazon IoT just-in-time 注册客户端证书 (JITR)

您可以将 CA 证书配置为启用已签名的客户端证书，以便在客户端首次连接时 Amazon IoT 自动注册该证书 Amazon IoT。

要在客户端首次连接时注册客户端证书，必须启用 CA 证书进行自动注册，并将客户端的第一个连接配置为提供所需的证书。 Amazon IoT

配置 CA 证书以支持自动注册（控制台）

配置 CA 证书以支持自动注册 (CLI)

如果您已经向注册了 CA 证书 Amazon IoT，请使用update-ca-certificate命令将 CA 证书设置为autoRegistrationStatusENABLE。

aws iot update-ca-certificate \
--certificate-id caCertificateId \
--new-auto-registration-status ENABLE

如果您要在注册 CA 证书时启用 autoRegistrationStatus，请使用 register-ca-certificate 命令。

aws iot register-ca-certificate \
--allow-auto-registration  \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem

使用 describe-ca-certificate 命令查看 CA 证书的状态。

配置客户端的首次连接以进行自动注册

当客户端首次尝试 Amazon IoT 连接时，在传输层安全 (TLS) 握手期间，由您的 CA 证书签名的客户端证书必须存在于客户端上。

当客户端连接到时 Amazon IoT，使用您在创建客户端证书或创建自己的 Amazon IoT 客户端证书中创建的客户端证书。 Amazon IoT 将 CA 证书识别为已注册的 CA 证书，注册客户端证书，并将其状态设置为PENDING_ACTIVATION。这意味着，已自动注册客户端证书，该证书正在等待激活。客户端证书的状态必须为 ACTIVE，然后才能将其用于连接到 Amazon IoT。有关激活客户端证书的信息，请参阅激活或停用客户端证书。

当 Amazon IoT 自动注册证书或客户端提供PENDING_ACTIVATION状态为证书时，会向以下 MQTT 主题 Amazon IoT 发布消息：

$aws/events/certificates/registered/caCertificateId

其中 caCertificateId 是颁发客户端证书的 CA 证书的 ID。

发布到该主题的消息具有以下结构：

{
        "certificateId": "certificateId",
        "caCertificateId": "caCertificateId",
        "timestamp": timestamp,
        "certificateStatus": "PENDING_ACTIVATION",
        "awsAccountId": "awsAccountId",
        "certificateRegistrationTimestamp": "certificateRegistrationTimestamp"
}

您可以创建一项规则，以侦听此主题并执行一些操作。我们建议您创建一项 Lambda 规则，以验证客户端证书不在证书吊销列表 (CRL) 中，激活该证书，创建策略并将其附加到证书中。该策略将确定客户端能够访问的资源。有关如何创建监听$aws/events/certificates/registered/caCertificateID主题并执行这些操作的 Lambda 规则的更多信息，请参阅just-in-time 注册客户证书。 Amazon IoT

如果在自动注册客户端证书的过程中出现任何错误或异常，则会在日志中 Amazon IoT 将事件或消息发送到您的日 CloudWatch 志。有关为您的账户设置日志的更多信息，请参阅 Amazon CloudWatch 文档。