疑難排解 AWS Private CA 符合 Matter 標準的憑證錯誤

Matter 連線標準指定憑證組態，可改善物聯網 IoT） 裝置的安全性和一致性。用於建立符合事項的根 CA、中繼 CA 和結束實體憑證的 Java 範例可在 找到使用 AWS 私有 CA 實作 Matter 憑證。

為了協助疑難排解，Matter 開發人員提供名為 chip-cert 的憑證驗證工具。工具報告的錯誤會列出在下表中，並包含修復。

錯誤代碼	意義	修補
0x00000305	BasicConstraints、 KeyUsage和 ExtensionKeyUsage擴充功能必須標記為重大。	請確定您已為使用案例選取正確的範本。
0x00000050	必須存在授權金鑰識別符延伸。	AWS 私有 CA 不會在根憑證上設定授權金鑰識別符延伸。您必須使用 產生 Base64-encodedAuthorityKeyIdentifier 值，CSR然後透過 傳遞CustomExtension。如需詳細資訊，請參閱 啟動節點作業憑證的根 CA (NOC)。 和 啟動產品驗證授權單位 () PAA。
0x0000004E	憑證已過期。	確保您使用的憑證未過期。
0x00000014	憑證鏈驗證失敗。	如果您嘗試不使用提供的 Java 範例 來建立符合事項的終端實體憑證，而該憑證使用 AWS 私有 CA API傳遞正確設定的 ，則可能會發生此錯誤 KeyUsage。 根據預設， AWS 私有 CA 會產生九位元 KeyUsage 延伸值，第九位元會產生額外的位元組。Matter 會在格式轉換期間忽略額外的位元組，導致鏈驗證失敗。不過，APIPassthrough範本CustomExtension中的 可用來設定KeyUsage值中的確切位元組數。如需範例，請參閱建立節點作業憑證 (NOC)。 如果您修改範例程式碼或使用其他 X.509 公用程式，例如 Open SSL，則需要執行手動驗證，以避免鏈驗證錯誤。 驗證轉換是否無失真 使用 openssl 來驗證節點 （端點實體） 憑證是否包含有效的鏈。在此分支中， rcac.pem是根 CA 憑證， icac.pem是中繼 CA 憑證， noc.pem是節點憑證。 openssl verify -verbose -CAfile <(cat rcac.pem icac.pem) noc.pem 使用 chip-cert 將PEM格式化節點憑證轉換為 TLV（標籤、長度、值） 格式，然後再次傳回。 ./chip-cert convert-cert noc.pem noc.chip -c ./chip-cert convert-cert noc.chip noc_converted.pem -p 檔案 noc.pem和 noc_converted.pem應該與字串比較工具確認的完全相同。