Utilisation de la norme Matter - AWS Private Certificate Authority

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de la norme Matter

La norme de connectivité Matter spécifie les configurations de certificats qui améliorent la sécurité et la cohérence des appareils de l'Internet des objets (IoT). Des exemples Java permettant de créer des certificats d'autorité de certification racine, d'autorité de certification intermédiaire et d'entité finale conformes à Matter sont disponibles sur. Utilisation de l'Autorité de certification privée AWSAPI pour implémenter le standard Matter (exemples Java)

Pour faciliter le dépannage, les développeurs de Matter fournissent un outil de vérification des certificats appelé chip-cert. Les erreurs signalées par l'outil sont répertoriées dans le tableau suivant avec les correctifs.

Code d’erreur Signification Correction

0x00000305

BasicConstraintsKeyUsage, et les ExtensionKeyUsage extensions doivent être marquées comme critiques.

 Assurez-vous d'avoir sélectionné le bon modèle pour votre cas d'utilisation.

0x00000050

L'extension de l'identifiant de clé d'autorité doit être présente.

 Autorité de certification privée AWS ne définit pas l'extension de l'identifiant de clé d'autorité sur les certificats racine. Vous devez générer une AuthorityKeyIdentifier valeur codée en Base64 à l'aide du CSR, puis la transmettre à un. CustomExtension Pour plus d’informations, consultez Activez une autorité de certification racine pour les certificats opérationnels des nœuds (NOC). et Activer une autorité d'attestation de produit (PAA).
0x0000004E Le certificat est expiré. Assurez-vous que le certificat que vous utilisez n'est pas expiré.
0x00000014 Échec de validation de la chaîne de certificats.

Cette erreur peut se produire si vous tentez de créer un certificat d'entité finale conforme à Matter sans utiliser les exemples Java fournis, qui utilisent l' Autorité de certification privée AWS API pour transmettre un certificat correctement configuré. KeyUsage

Par défaut, Autorité de certification privée AWS génère des valeurs d' KeyUsage extension de neuf bits, le neuvième bit générant un octet supplémentaire. Matter ignore l'octet supplémentaire lors des conversions de format, ce qui entraîne des échecs de validation en chaîne. Cependant, un CustomExtensiondans le APIPassthrough modèle peut être utilisé pour définir le nombre exact d'octets de la KeyUsage valeur. Pour obtenir un exemple, consultez Création d'un certificat opérationnel de nœud (NOC).

Si vous modifiez l'exemple de code ou utilisez un autre utilitaire X.509 tel qu'OpenSSL, vous devez effectuer une vérification manuelle afin d'éviter les erreurs de validation de chaîne.

Pour vérifier que les conversions sont sans perte

  1. Utilisez openssl pour vérifier qu'un certificat, un certificat de nœud (entité finale), contient une chaîne valide. Dans cet exemple, rcac.pem il s'agit du certificat de l'autorité de certification racine, icac.pem du certificat de l'autorité de certification intermédiaire et noc.pem du certificat de nœud.

    openssl verify -verbose -CAfile <(cat rcac.pem icac.pem) noc.pem

  2. Utilisez chip-cert pour convertir le certificat de nœud au format PEM au format TLV (tag, length, value) et vice versa.

    ./chip-cert convert-cert noc.pem noc.chip -c
./chip-cert convert-cert noc.chip noc_converted.pem -p

    Les fichiers noc.pem noc_converted.pem doivent être exactement les mêmes que ceux confirmés par un outil de comparaison de chaînes.