创建 CA 验证证书以在控制台中注册 CA 证书 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

创建 CA 验证证书以在控制台中注册 CA 证书

注意

此过程仅适用于从 Amazon IoT 控制台注册 CA 证书。

如果未从 Amazon IoT 控制台执行此过程,请在控制台中的 Register CA certificate(注册 CA 证书)处启动 CA 证书注册过程。

继续操作之前,请确保同一台电脑满足以下条件:

  • 根 CA 的证书文件(下文引用为 root_CA_cert_filename.pem

  • 根 CA 证书的私有密钥文件(下文引用为 root_CA_key_filename.key

  • OpenSSL v1.1.1i 或更高版本

使用命令行界面创建 CA 验证证书,以在控制台中注册 CA 证书

  1. verification_cert_key_filename.key 替换为要创建的验证证书密钥文件的名称,例如 verification_cert.key;然后运行此命令,为私有密钥验证证书生成密钥对:

    openssl genrsa -out verification_cert_key_filename.key 2048
  2. verification_cert_key_filename.key 替换为在步骤 1 中创建的密钥文件的名称。

    verification_cert_csr_filename.csr 替换为要创建的证书签名请求 (CSR) 文件的名称。例如:verification_cert.csr

    运行此命令以创建 CSR 文件。

    openssl req -new \ -key verification_cert_key_filename.key \ -out verification_cert_csr_filename.csr

    该命令会提示您输入其他信息(稍后说明)。

  3. 在 Amazon IoT 控制台的 Verification certificate(验证证书)容器中,复制注册码。

  4. openssl 命令提示您输入的信息显示在以下示例中。除了 Common Name 字段,您可以在其他字段中输入自己的值或将其留空。

    请将您在上一步骤中复制的注册码粘贴到 Common Name 字段中。

    You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) []: Locality Name (for example, city) []: Organization Name (for example, company) []: Organizational Unit Name (for example, section) []: Common Name (e.g. server FQDN or YOUR name) []:your_registration_code Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

    完成后,命令会创建 CSR 文件。

  5. verification_cert_csr_filename.csr 替换为在上一步骤中使用的 verification_cert_csr_filename.csr

    root_CA_cert_filename.pem 替换为要注册的 CA 证书的文件名。

    root_CA_key_filename.key 替换为 CA 证书的私有密钥文件的文件名。

    verification_cert_filename.pem 替换为要创建的验证证书的文件名。例如:verification_cert.pem

    openssl x509 -req \ -in verification_cert_csr_filename.csr \ -CA root_CA_cert_filename.pem \ -CAkey root_CA_key_filename.key \ -CAcreateserial \ -out verification_cert_filename.pem \ -days 500 -sha256
  6. 完成 openssl 命令后,您应该准备好这些文件,以便在返回控制台时使用。

    • 您的 CA 证书文件(上一条命令中使用的 root_CA_cert_filename.pem

    • 您在上一步骤中创建的验证证书(上一条命令中使用的 verification_cert_filename.pem