X.509 证书

通过 Internet 进行安全通信时，客户端（IoT 设备）和服务器 必须先提供身份证明，才能建立相互验证的 TLS 连接。在 公钥 基础架构中，交换数字（或身份）证书以验证每个实体的身份。此文件中定义的常量 X.509 证书 是最常见的数字证书格式，广泛应用于互联网和 IoT 用例。X.509 证书 在 TLS 握手过程期间交换， 因此成为建立 TLS 连接的关键部分。在 IoT 用例中，只有在建立 TLS 连接后，才能通过 HTTPS 或 MQTT 等通信协议传输数据。

在 PKI 中，签名的真实性通过密钥对（公钥和私钥）建立。公钥是 可能会广泛传播，而私钥仅为所有者所知；这样做是为了维护整个系统的安全。 当使用私钥对数据进行签名或加密时，数据的任何接收者都可以 使用匹配的公钥对数据进行认证和/或解密。使用公钥加密的数据只能由私钥持有人解密。

生成密钥对后，客户端将使用 证书签名请求 (CSR) 向证书颁发机构申请 X.509 证书。X.509 证书要么由 CA （证书 颁发机构）签名，要么自签名。在大多数情况下，X.509 证书仅在为 根 CA 的证书 时，才是自签名。在 IoT 用例中，中间 CA （而不是根 CA ）签名 更常见（也是更好的实践！ ）这样可防止暴露根证书的风险。使用中间证书 创建一个可以从根 CA 跟踪到每个最终实体的 信任链。

如需了解详情，请点击此处： X.509 RFC5280。