创建您自己的客户端证书 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建您自己的客户端证书

Amazon IoT 支持由任何根或中间证书颁发机构(CA)签署的客户端证书。Amazon IoT 使用 CA 证书来验证证书的所有权。要使用由非 Amazon CA 的 CA 签署的设备证书,此 CA 的证书必须向 Amazon IoT 注册,以便我们可以验证设备证书的所有权。

Amazon IoT 支持多种自带证书(BYOC)的方式:

  • 首先,注册用于签署客户端证书的 CA,然后注册各个客户端证书。如果要在设备或客户端首次连接到 Amazon IoT 时将设备或客户端注册到其客户端证书(也称为即时预调配),您必须向 Amazon IoT 注册签名 CA 并激活自动注册。

  • 如果您无法注册签名 CA,则可以选择在没有 CA 的情况下注册客户端证书。对于未使用 CA 注册的设备,当您将它们连接到 Amazon IoT 时,您需要出示服务器名称指示(SNI)

注意

要使用 CA 注册客户端证书,必须将签名 CA(而不是层次结构中的任何其他 CA)注册到 Amazon IoT。

注意

DEFAULT 模式下,一个 CA 证书只能由一个区域中的一个账户注册。在 SNI_ONLY 模式下,一个 CA 证书可以由一个区域中的多个账户注册。

有关使用 X.509 证书支持多个设备的更多信息,请参阅 设备预调配 以查看 Amazon IoT 支持的不同证书管理和预调配选项。