View a markdown version of this page

Create AWS IoT 客户端证书 - AWS IoT Core
创建一个 AWS IoT 证书(控制台)创建一个 AWS IoT 证书 (CLI)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Create AWS IoT 客户端证书

AWS IoT 提供由 Amazon 根证书颁发机构 (CA) 签署的客户证书。

本主题介绍如何创建由 Amazon Root 证书颁发机构签发的客户端证书,以及如何下载证书文件。创建客户端证书文件后,您必须在客户端上安装这些文件。

注意

提供的每个 X.509 客户证书都 AWS IoT 包含您在创建证书时设置的颁发者和主题属性。只有在创建证书后,证书属性才是不可改变的。

您可以使用 AWS IoT 控制台或创建由 Amazon 根 AWS IoT 证书颁发机构签名的证书。 AWS CLI

创建一个 AWS IoT 证书(控制台)

要创建 AWS IoT 使用证书的 AWS IoT 控制台

  1. 登录 AWS 管理控制台 并打开AWS IoT 控制台

  2. 在导航窗格中,依次选择安全证书创建

  3. 选择创建One-click 证书(推荐)-创建证书

  4. 已创建证书页面,将事物、公有密钥和私有密钥的客户端证书文件下载到安全位置。由 AWS IoT 生成的这些证书只能用于 AWS IoT 服务。

    如果您还需要 Amazon Root CA 证书文件,此页面也包含指向可用于下载此文件的页面的链接。

  5. 此时客户端证书已创建并注册到 AWS IoT。在客户端中使用证书之前,您必须激活证书。

    要立即激活客户端证书,请选择激活。如果您不想立即激活证书,请参阅 激活客户端证书(控制台) 以了解如何在以后激活证书。

  6. 如果要将策略附加到证书,请选择 Attach a policy(附加策略)。

    如果您不希望立即附加策略,请选择 Done(完成)以完成操作。您可以在以后附加策略。

完成此流程后,在客户端上安装证书文件。

创建一个 AWS IoT 证书 (CLI)

AWS CLI 提供了创建由 Amazon 根证书颁发机构签名的客户证书的create-keys-and-certificate命令。但是,此命令不会下载 Amazon Root CA 证书文件。您可以从下载 Amazon Root CA 证书文件 用于服务器身份验证的 CA 证书

此命令创建私钥、公钥和 X.509 证书文件,并使用 AWS IoT注册和激活证书。

aws iot create-keys-and-certificate \
    --set-as-active \
    --certificate-pem-outfile certificate_filename.pem \
    --public-key-outfile public_filename.key \
    --private-key-outfile private_filename.key

如果您不想在创建和注册证书时激活证书,则此命令会创建私钥、公钥和 X.509 证书文件并注册证书,但它不会激活它。 激活客户端证书(CLI)描述了以后如何激活证书。

aws iot create-keys-and-certificate \
    --no-set-as-active \
    --certificate-pem-outfile certificate_filename.pem \
    --public-key-outfile public_filename.key \
    --private-key-outfile private_filename.key

在客户端上安装证书文件。