Verwenden Sie den Matter-Standard - AWS Private Certificate Authority

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie den Matter-Standard

Der Matter-Konnektivitätsstandard spezifiziert Zertifikatskonfigurationen, die die Sicherheit und Konsistenz von IoT-Geräten (Internet of Things) verbessern. Java-Beispiele für die Erstellung von Matter-konformen Root-CA-, Zwischen-CA- und Entity-Zertifikaten finden Sie unter. Verwenden der AWS Private CA API zur Implementierung des Boler-Standards (Java-Beispiele)

Zur Unterstützung bei der Fehlerbehebung stellen die Matter-Entwickler ein Tool zur Überprüfung von Zertifikaten namens chip-cert zur Verfügung. Fehler, die das Tool meldet, sind in der folgenden Tabelle mit Abhilfemaßnahmen aufgeführt.

Fehlercode Bedeutung Abhilfe

0x00000305

BasicConstraints,KeyUsage, und ExtensionKeyUsage Erweiterungen müssen als kritisch markiert werden.

 Stellen Sie sicher, dass Sie die richtige Vorlage für Ihren Anwendungsfall ausgewählt haben.

0x00000050

Die Erweiterung zur Identifizierung des Autoritätsschlüssels muss vorhanden sein.

 AWS Private CA legt die Erweiterung zur Identifizierung des Autoritätsschlüssels für Stammzertifikate nicht fest. Sie müssen mit dem einen Base64-codierten AuthorityKeyIdentifier Wert generieren CSR und ihn dann durch a übergeben. CustomExtension Weitere Informationen erhalten Sie unter Aktivieren Sie eine Root CA für Node Operational Certificates (NOC). und Aktivieren einer Product Attestation Authority (PAA).
0x0000004E Das Zertifikat ist abgelaufen. Stellen Sie sicher, dass das von Ihnen verwendete Zertifikat noch nicht abgelaufen ist.
0x00000014 Fehler bei der Validierung der Zertifikatskette.

Dieser Fehler kann auftreten, wenn Sie versuchen, ein Matter-konformes Endentitätszertifikat zu erstellen, ohne die bereitgestellten Java-Beispiele zu verwenden, die das verwenden, um ein ordnungsgemäß konfiguriertes Zertifikat AWS Private CA API zu übergeben. KeyUsage

AWS Private CA Generiert standardmäßig KeyUsage Neun-Bit-Erweiterungswerte, wobei das neunte Bit zu einem zusätzlichen Byte führt. Matter ignoriert das zusätzliche Byte bei Formatkonvertierungen, was zu Fehlern bei der Kettenvalidierung führt. Ein Wert CustomExtensionin der APIPassthrough Vorlage kann jedoch verwendet werden, um die genaue Anzahl der Byte im KeyUsage Wert festzulegen. Ein Beispiel finden Sie unter Erstellen eines Node Operational Certificate (NOC).

Wenn Sie den Beispielcode ändern oder ein alternatives X.509-Hilfsprogramm wie Open verwendenSSL, müssen Sie eine manuelle Überprüfung durchführen, um Fehler bei der Kettenvalidierung zu vermeiden.

Um zu überprüfen, ob Konvertierungen verlustfrei sind

  1. Verwenden Sie openssl, um zu überprüfen, ob ein Zertifikat, ein Knotenzertifikat (Endentitätszertifikat), eine gültige Kette enthält. In diesem Beispiel rcac.pem ist es das Stammzertifizierungsstellenzertifikat, icac.pem das Zwischenzertifikat der Zertifizierungsstelle und noc.pem das Knotenzertifikat.

    openssl verify -verbose -CAfile <(cat rcac.pem icac.pem) noc.pem

  2. Verwenden Sie chip-cert, um das mit PEM -formatierte Knotenzertifikat in das Format TLV (Tag, Länge, Wert) und wieder zurück zu konvertieren.

    ./chip-cert convert-cert noc.pem noc.chip -c
./chip-cert convert-cert noc.chip noc_converted.pem -p

    Die Dateien noc.pem und noc_converted.pem sollten genau die gleichen sein, wie sie durch ein Tool zum Vergleich von Zeichenketten bestätigt wurden.