创建 Amazon IoT 客户证书 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 Amazon IoT 客户证书

Amazon IoT 提供由 Amazon 根证书颁发机构 (CA) 签署的客户证书。

本主题介绍如何创建由 Amazon Root 证书颁发机构签发的客户端证书,以及如何下载证书文件。创建客户端证书文件后,您必须在客户端上安装这些文件。

注意

提供的每个 X.509 客户端证书都 Amazon IoT 包含您在创建证书时设置的颁发者和主题属性。只有在创建证书后,证书属性才是不可改变的。

您可以使用 Amazon IoT 控制台或创建由 Amazon 根 Amazon IoT 证书颁发机构签名的证书。 Amazon CLI

创建 Amazon IoT 证书(控制台)

使用 Amazon IoT 控制台创建 Amazon IoT 证书
  1. 登录 Amazon Web Services Management Console 并打开Amazon IoT 控制台

  2. 在导航窗格中,依次选择安全证书创建

  3. 选择一键式创建证书 (建议),然后选择创建证书

  4. 已创建证书页面,将事物、公有密钥和私有密钥的客户端证书文件下载到安全位置。由 Amazon IoT 生成的这些证书只能用于 Amazon IoT 服务。

    如果您还需要 Amazon Root CA 证书文件,此页面也包含指向可用于下载此文件的页面的链接。

  5. 此时客户端证书已创建并注册到 Amazon IoT。在客户端中使用证书之前,您必须激活证书。

    要立即激活客户端证书,请选择激活。如果您不想立即激活证书,请参阅激活客户端证书(控制台)以了解如何在以后激活证书。

  6. 如果要将策略附加到证书,请选择 Attach a policy(附加策略)。

    如果您不希望立即附加策略,请选择 Done(完成)以完成操作。您可以在以后附加策略。

完成此流程后,在客户端上安装证书文件。

创建 Amazon IoT 证书 (CLI)

Amazon CLI 提供了创建由 Amazon 根证书颁发机构签名的客户证书的create-keys-and-certificate命令。但是,此命令不会下载 Amazon Root CA 证书文件。您可以从用于服务器身份验证的 CA 证书下载 Amazon Root CA 证书文件。

此命令创建私钥、公钥和 X.509 证书文件,并使用注册和激活证书。 Amazon IoT

aws iot create-keys-and-certificate \ --set-as-active \ --certificate-pem-outfile certificate_filename.pem \ --public-key-outfile public_filename.key \ --private-key-outfile private_filename.key

如果您不想在创建和注册证书时激活证书,则此命令会创建私有密钥、公有密钥和 X.509 证书文件并注册证书,但不会激活它。激活客户端证书 (CLI) 介绍了以后如何激活证书。

aws iot create-keys-and-certificate \ --no-set-as-active \ --certificate-pem-outfile certificate_filename.pem \ --public-key-outfile public_filename.key \ --private-key-outfile private_filename.key

在客户端上安装证书文件。