本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建您自己的客户端证书 Amazon IoT 支持由任何根证书颁发机构或中间证书颁发机构 (CA) 签署的客户端证书。 Amazon IoT 使用 CA 证书验证证书的所有权。要使用由非亚马逊 CA 的 CA 签名的设备证书,必须注册 CA 的证书, Amazon IoT 这样我们才能验证设备证书的所有权。 Amazon IoT 支持多种自带证书的方式 (BYOC): + 首先,注册用于签署客户端证书的 CA,然后注册各个客户端证书。如果要在设备或客户端首次连接时将其注册到其客户端证书 Amazon IoT (也称为[即时配置),则必须向注册签名 CA Amazon IoT 并激活自动](https://docs.amazonaws.cn//iot/latest/developerguide/jit-provisioning.html)注册。 + 如果您无法注册签名 CA,则可以选择在没有 CA 的情况下注册客户端证书。对于未使用 CA 注册的设备,当您将它们连接到 Amazon IoT时,您需要出示[服务器名称指示(SNI)](https://www.rfc-editor.org/rfc/rfc3546#section-3.1)。 **注意** 要使用 CA 注册客户端证书,必须向注册签名 CA Amazon IoT,而不是向层次结构 CAs 中的任何其他证书注册。 **注意** 在 `DEFAULT` 模式下,一个 CA 证书只能由一个区域中的一个账户注册。在 `SNI_ONLY` 模式下,一个 CA 证书可以由一个区域中的多个账户注册。 有关使用 X.509 证书支持多个设备的更多信息,请参阅 [设备预调配](iot-provision.md) 以查看 Amazon IoT 支持的不同证书管理和预调配选项。 **Topics** + [管理 CA 证书](manage-your-CA-certs.md) + [使用您的 CA 证书创建客户端证书](create-device-cert.md)