AWS IoT
开发人员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

X.509 证书和 AWS IoT

AWS IoT 可以使用 AWS IoT 生成的证书或 CA 证书签发的证书执行设备身份验证。AWS IoT 生成的证书不会过期。对于 CA 证书签发的证书的过期日期和时间,将在创建 CA 证书时设置。

注意

我们建议为每个设备提供一个唯一的证书,以便进行精细的管理,包括证书吊销。

设备必须支持轮换和更换证书,以确保证书过期时仍能顺畅运行。

要使用并非由 AWS IoT 创建的证书,您必须注册一个 CA 证书。所有设备证书都必须由您注册的 CA 证书签发。

您可以使用 AWS IoT 控制台或 CLI 执行以下操作:

  • 创建并注册 AWS IoT 证书。

  • 注册 CA 证书。

  • 注册设备证书。

  • 激活或停用设备证书。

  • 撤销设备证书。

  • 将设备证书转移到其他 AWS 账户。

  • 列出注册到您的 AWS 账户的所有 CA 证书。

  • 列出注册到您的 AWS 账户的所有设备证书。

有关用于执行这些操作的 CLI 命令的详细信息,请参阅 AWS IoT CLI 参考.

有关使用 AWS IoT 控制台创建证书的更多信息,请参阅创建和激活设备证书

服务器身份验证

服务器证书可让您的设备验证其是否正在与 AWS IoT 而非其他假冒 AWS IoT 的服务器进行通信。AWS IoT 服务器证书由下列 CA 证书之一签署:

要使您的设备能够验证 AWS IoT 服务器证书,我们建议在您的设备上安装上面列出的所有 CA 证书。

在您的设备上存储所有这些证书会占用宝贵的内存空间。如果您的设备实施基于 RSA 的验证,则可以省略 Amazon Root CA 3Amazon Root CA 4 ECC 证书。如果您的设备实施基于 ECC 的证书验证,则可以省略 Amazon Root CA 1Amazon Root CA 2 RSA 证书。

无论您的设备使用的证书验证的类型如何,均需要包括 VeriSign Class 3 Public Primary G5 根 CA 证书

注意

CA 证书具有一个过期日期,在该日期后,这些证书将无法用于验证服务器的证书。可能需要在 CA 证书的过期日期前替换这些证书。您应该确保可以更新所有设备上的根 CA 证书,以确保持续的连接并保持最新的安全最佳实践。

在连接到 AWS IoT 时,请参考您的设备代码中的 CA 根证书。有关更多信息,请参阅 AWS IoT 设备软件开发工具包

本页内容: