X.509 证书
通过 Internet 进行安全通信时,客户端(IoT 设备)和服务器
必须先提供身份证明,才能建立相互验证的 TLS 连接。在
公钥
基础架构中,交换数字(或身份)证书以验证每个实体的身份。此文件中定义的常量
X.509 证书
是最常见的数字证书格式,广泛应用于互联网和 IoT 用例。X.509 证书
在 TLS 握手过程期间交换,
因此成为建立 TLS 连接的关键部分。在 IoT 用例中,只有在建立 TLS 连接后,才能通过 HTTPS
或 MQTT 等通信协议传输数据。
在 PKI 中,签名的真实性通过密钥对(公钥和私钥)建立。公钥是
可能会广泛传播,而私钥仅为所有者所知;这样做是为了维护整个系统的安全。
当使用私钥对数据进行签名或加密时,数据的任何接收者都可以
使用匹配的公钥对数据进行认证和/或解密。使用公钥加密的数据只能由私钥持有人解密。
生成密钥对后,客户端将使用
证书签名请求 (CSR) 向证书颁发机构申请 X.509 证书。X.509 证书要么由 CA
(证书
颁发机构)签名,要么自签名。在大多数情况下,X.509 证书仅在为
根 CA 的证书
时,才是自签名。在 IoT 用例中,中间 CA (而不是根 CA )签名
更常见(也是更好的实践! )这样可防止暴露根证书的风险。使用中间证书
创建一个可以从根 CA 跟踪到每个最终实体的
信任链。
如需了解详情,请点击此处: X.509 RFC5280。
Copyright (C) Amazon Web Services, Inc. or its affiliates. All rights reserved.