AWS IoT
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

X.509 证书和 AWS IoT

AWS IoT 可以使用 AWS IoT 生成的证书或 CA 证书签发的证书执行设备身份验证。由 AWS IoT 生成的证书是长期有效的 (但将在 2049-12-31T23:59:59Z 到期,即格林威治标准时间 2049 年 12 月 31 日午夜。)对于 CA 证书签发的证书的过期日期和时间,将在创建 CA 证书时设置。

注意

我们建议为每个设备提供一个唯一的证书,以便进行精细的管理,包括证书吊销。

设备必须支持轮换和更换证书,以确保证书过期时仍能顺畅运行。

要使用并非由 AWS IoT 创建的证书,您必须注册一个 CA 证书。所有设备证书都必须由您注册的 CA 证书签发。

您可以使用 AWS IoT 控制台或 CLI 执行以下操作:

  • 创建并注册 AWS IoT 证书。

  • 注册 CA 证书。

  • 注册设备证书。

  • 激活或停用设备证书。

  • 撤销设备证书。

  • 将设备证书转移到其他 AWS 账户。

  • 列出注册到您的 AWS 账户的所有 CA 证书。

  • 列出注册到您的 AWS 账户的所有设备证书。

有关用于执行这些操作的 CLI 命令的详细信息,请参阅 AWS IoT CLI 参考.

有关使用 AWS IoT 控制台创建证书的更多信息,请参阅创建和激活设备证书

服务器身份验证

服务器证书可让您的设备验证其是否正在与 AWS IoT 而非其他假冒 AWS IoT 的服务器进行通信。AWS IoT 服务器证书由下列 CA 证书之一签署:

要使您的设备能够验证 AWS IoT 服务器证书,我们建议在您的设备上安装上面列出的所有 CA 证书。

在您的设备上存储所有这些证书会占用宝贵的内存空间。如果您的设备实施基于 RSA 的验证,则可以省略 Amazon Root CA 3Amazon Root CA 4 ECC 证书。如果您的设备实施基于 ECC 的证书验证,则可以省略 Amazon Root CA 1Amazon Root CA 2 RSA 证书。

无论您的设备使用的证书验证的类型如何,均需要包括 VeriSign Class 3 Public Primary G5 根 CA 证书

注意

CA 证书具有一个过期日期,在该日期后,这些证书将无法用于验证服务器的证书。可能需要在 CA 证书的过期日期前替换这些证书。您应该确保可以更新所有设备上的根 CA 证书,以确保持续的连接并保持最新的安全最佳实践。

在连接到 AWS IoT 时,请参考您的设备代码中的 CA 根证书。有关更多信息,请参阅 AWS IoT 设备软件开发工具包

本页内容: