AWS IoT
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

X.509 证书

X.509 证书属于数字证书,它按照 X.509 公有密钥基础设施标准将公有密钥与证书所含的身份相关联。X.509 证书由一家名为证书颁发机构 (CA) 的可信实体颁发。CA 持有一个或多个名为 CA 证书的特殊证书,它使用这种证书来颁发 X.509 证书。只有证书颁发机构才有权访问 CA 证书。

注意

我们建议为每个设备提供一个唯一的证书,以便进行精细的管理,包括证书吊销。

设备必须支持轮换和更换证书,以确保证书过期时仍能顺畅运行。

AWS IoT 支持以下证书签名算法:

  • SHA256WITHRSA

  • SHA384WITHRSA

  • SHA384WITHRSA

  • SHA512WITHRSA

  • RSASSAPSS

  • DSA_WITH_SHA256

  • ECDSA-WITH-SHA256

  • ECDSA-WITH-SHA384

  • ECDSA-WITH-SHA512

与其他身份和身份验证机制相比,证书具有多项优势。证书可将非对称密钥用于设备。这意味着您可以将私有密钥融入到设备上的安全存储中。这样,敏感的加密材料就永远不会离开设备。证书可以通过用户名和密码或持有者令牌等其他方案提供更可靠的客户端身份验证,因为密钥永远不会离开设备。

AWS IoT 采用 TLS 协议的客户端身份验证模式对证书进行身份验证。TLS 适用于多种编程语言和操作系统并且通常用于为数据加密。在 TLS 客户端身份验证中,AWS IoT 将请求客户端 X.509 证书并依照证书注册表验证证书的状态和 AWS 账户。随后,将要求客户端提供与证书所含公有密钥相对应的私有密钥的所有权证明。

要使用 AWS IoT 证书,客户端必须支持在 TLS 实施中使用所有以下各项:

  • TLS 1.2.

  • SHA-256 RSA 证书签名验证。

  • 来自 TLS 密码包支持部门的密码包之一。