伺服器驗證

當您的裝置或其他用戶端嘗試連線到 AWS IoT Core，該 AWS IoT Core 服務器將發送 X.509 證書，您的設備用於驗證服務器。驗證會透過驗證 X.509 憑證鏈結的TLS層級進行。這與瀏覽器使用的方法相同，當您訪問 HTTPSURL. 如果您要使用自己的憑證授權單位的憑證，請參閱 管理您的憑證授權機構憑證。

當您的裝置或其他用戶TLS端建立與 AWS IoT Core 端點， AWS IoT Core 顯示一個憑證鏈結，供裝置用來驗證裝置是否正在通訊 AWS IoT Core 而不是另一台模擬服務器 AWS IoT Core。 顯示的鏈結取決於裝置連線到的端點類型以及用戶端和加密套件的組合 AWS IoT Core TLS握手期間談判。

端點類型

AWS IoT Core 支持iot:Data-ATS。 iot:Data-ATS端點顯示由 Amazon 信任服務 CA 簽署的伺服器憑證。

由ATS端點提供的證書是由星空交叉簽名。某些TLS用戶端實作需要驗證信任根目錄，並要求 Starfield CA 憑證安裝在用戶端的信任存放區中。

警告

不建議使用可雜湊整個憑證 (包括發行者名稱等) 的憑證釘選方法，因為這會導致憑證驗證失敗，因為我們提供的ATS憑證是由 Starfield 交叉簽署，且具有不同的發行者名稱。

重要

使用iot:Data-ATS端點。賽門鐵克和 Verisign 憑證已被淘汰，不再受支援 AWS IoT Core.

您可以使用describe-endpoint指令建立ATS端點。

aws iot describe-endpoint --endpoint-type iot:Data-ATS

describe-endpoint 命令會傳回下列格式的端點。

account-specific-prefix.iot.your-region.amazonaws.com

注意

第一次呼叫 describe-endpoint 時，會建立一個端點。所有後續呼叫 describe-endpoint 會傳回相同的端點。

注意

若要在中查看您的iot:Data-ATS端點 AWS IoT Core 控制台，選擇設置。主控台只會顯示 iot:Data-ATS 端點。

IotDataPlaneClient使用建立 AWS SDK對於爪哇

若要建立使IotDataPlaneClient用iot:Data-ATS端點的端點，您必須執行下列動作。

• 使用建立iot:Data-ATS端點DescribeEndpointAPI。

• 在建立 IotDataPlaneClient 時指定該端點。

下列範例會同時執行這些操作。

public void setup() throws Exception {
        IotClient client = IotClient.builder().credentialsProvider(CREDENTIALS_PROVIDER_CHAIN).region(Region.US_EAST_1).build();
        String endpoint = client.describeEndpoint(r -> r.endpointType("iot:Data-ATS")).endpointAddress();
        iot = IotDataPlaneClient.builder()
                                .credentialsProvider(CREDENTIALS_PROVIDER_CHAIN)
                                .endpointOverride(URI.create("https://" + endpoint))
                                .region(Region.US_EAST_1)
                                .build();
}

伺服器身分驗證的憑證授權機構憑證

根據您使用的資料端點類型以及您已經協商的加密套件而定， AWS IoT Core 伺服器驗證憑證是由下列其中一個根 CA 憑證所簽署：

Amazon Trust Services 端點 (首選)

注意

您可能需要在這些連結上按一下滑鼠右鍵，然後選取 Save link as... (另存連結為...) 以將這些憑證儲存為檔案。

• RSA位元金鑰：Amazon Root CA 1.

• RSA4096 位元金鑰：Amazon Root CA 2。 保留供 future 使用。

• ECC256 位元金鑰：Amazon Root CA 3.

• ECC384 位元金鑰：Amazon Root CA 4。 保留供 future 使用。

這些憑證都是由 Starfield 根憑證授權機構憑證交叉簽署的。全新 AWS IoT Core 地區，從 2018 年 5 月 9 日推出的開始 AWS IoT Core 在亞太區域（孟買）地區，僅提供ATS證書。

VeriSign 端點 (舊版)

• RSA2048 位元金鑰：VeriSign 類別 3 公用主要 G5 根 CA 憑證

伺服器身分驗證準則

有許多變量可能會影響設備驗證 AWS IoT Core 伺服器驗證憑證。例如，裝置的記憶體可能受限，無法保存所有可能的根憑證授權機構憑證，或者裝置可能實作非標準的憑證驗證方法。基於這些原因，我們建議您遵循以下準則：

• 我們建議您使用ATS端點並安裝所有支援的端點 Amazon Root CA 證書。

• 如果您無法將所有這些憑證儲存在裝置上，而且您的裝置不使用ECC基礎驗證，則可以省略 Amazon Root CA 3 和 Amazon Root CA 4ECC證書。如果您的裝置未實作RSA基於憑證的驗證，您可以省略 Amazon Root CA 1 和 Amazon Root CA 2RSA證書。您可能需要在這些連結上按一下滑鼠右鍵，然後選取 Save link as... (另存連結為...) 以將這些憑證儲存為檔案。

• 如果您在連線到ATS端點時遇到伺服器憑證驗證問題，請嘗試將相關的交叉簽署 Amazon 根 CA 憑證新增至您的信任存放區。您可能需要在這些連結上按一下滑鼠右鍵，然後選取 Save link as... (另存連結為...) 以將這些憑證儲存為檔案。

  • 交叉簽署 Amazon Root CA 1

  • 交叉簽署 Amazon Root CA 2-保留供 future 使用。

  • 交叉簽署 Amazon Root CA 3

  • 交叉簽署 Amazon Root CA 4 -保留供 future 使用。

• 如果您遇到伺服器憑證驗證問題，則您的裝置可能需要明確地信任根 CA。嘗試添加 Starfield Root CA Certificate到您的信任商店。

• 如果您在執行上述步驟後仍然遇到問題，請聯繫 AWS 開發人員 Sup port。

注意

憑證授權機構憑證在過期日期之後，即無法用於驗證伺服器的憑證。憑證授權機構憑證過期日期之前，可能需要進行替代。請確認您能夠於所有裝置或用戶端更新根憑證授權機構憑證，以維持連線能力並取得最新的安全最佳實務。

注意

連接到 AWS IoT Core 在您的設備代碼中，將證書傳遞到API您用於連接的證書中。API您使用的將因而異SDK。如需詳細資訊，請參閱 AWS IoT Core 裝置SDKs。