AWS IoT
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

X.509 证书

X.509 证书是一个数字证书,它使用 X.509 公有密钥基础设施标准将公有密钥与证书中包含的身份相关联。X.509 证书由一家名为证书颁发机构 (CA) 的可信实体颁发。CA 持有一个或多个名为 CA 证书的特殊证书,它使用这种证书来颁发 X.509 证书。只有证书颁发机构才有权访问 CA 证书。

注意

要进行精细管理(包括证书吊销),我们建议您为每个设备提供唯一的证书。

设备必须支持证书轮换和更换,以确保在证书过期时平稳运行。

AWS IoT 支持以下证书签名算法:

  • SHA256WITHRSA

  • SHA384WITHRSA

  • SHA384WITHRSA

  • SHA512WITHRSA

  • RSASSAPSS

  • ECDSA-WITH-SHA256

  • ECDSA-WITH-SHA384

  • ECDSA-WITH-SHA512

X.509 证书比其他身份验证机制更安全,如用户名和密码或持有者令牌。X.509 证书使用非对称加密,因此,您可以将私有密钥融入到设备上的安全存储中。敏感的加密材料永远不会离开设备。

AWS IoT 使用 TLS 协议的客户端身份验证模式对 X.509 证书进行身份验证。TLS 库通常用于加密数据。它们适用于很多编程语言和操作系统。在 TLS 客户端身份验证期间,AWS IoT 请求客户端 X.509 证书,并根据证书注册表验证证书的状态和 AWS 账户。随后,将要求客户端提供与证书所含公有密钥相对应的私有密钥的所有权证明。

要使用 AWS IoT 证书,客户端必须支持在 TLS 实施中使用所有以下各项:

  • TLS 1.2.

  • SHA-256 RSA 证书签名验证。

  • 来自 TLS 密码包支持部门的密码包之一。