Beheben Sie AWS Private CA Matter-konforme Zertifikatsfehler - AWS Private Certificate Authority

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beheben Sie AWS Private CA Matter-konforme Zertifikatsfehler

Der Matter-Konnektivitätsstandard spezifiziert Zertifikatskonfigurationen, die die Sicherheit und Konsistenz von IoT-Geräten (Internet of Things) verbessern. Java-Beispiele für die Erstellung von Matter-konformen Root-CA-, Zwischen-CA- und Entity-Zertifikaten finden Sie unter. Wird AWS Private CA zur Implementierung von Matter-Zertifikaten verwendet

Zur Unterstützung bei der Fehlerbehebung stellen die Matter-Entwickler ein Tool zur Überprüfung von Zertifikaten namens chip-cert zur Verfügung. Fehler, die das Tool meldet, sind in der folgenden Tabelle mit Abhilfemaßnahmen aufgeführt.

Fehlercode Bedeutung Abhilfe

0x00000305

BasicConstraints,KeyUsage, und ExtensionKeyUsage Erweiterungen müssen als kritisch markiert werden.

 Stellen Sie sicher, dass Sie die richtige Vorlage für Ihren Anwendungsfall ausgewählt haben.

0x00000050

Die Erweiterung zur Identifizierung des Autoritätsschlüssels muss vorhanden sein.

 AWS Private CA legt die Erweiterung zur Identifizierung des Autoritätsschlüssels für Stammzertifikate nicht fest. Sie müssen mit dem einen Base64-codierten AuthorityKeyIdentifier Wert generieren CSR und ihn dann durch a übergeben. CustomExtension Weitere Informationen erhalten Sie unter Aktivieren Sie eine Root-CA für Node-Betriebszertifikate (NOC). und Aktivieren Sie eine Produktbescheinigungsstelle () PAA.
0x0000004E Das Zertifikat ist abgelaufen. Stellen Sie sicher, dass das von Ihnen verwendete Zertifikat noch nicht abgelaufen ist.
0x00000014 Fehler bei der Validierung der Zertifikatskette.

Dieser Fehler kann auftreten, wenn Sie versuchen, ein Matter-kompatibles Endentitätszertifikat zu erstellen, ohne die bereitgestellten Java-Beispiele zu verwenden, die das verwenden, um ein ordnungsgemäß konfiguriertes Zertifikat AWS Private CA API zu übergeben. KeyUsage

AWS Private CA Generiert standardmäßig KeyUsage Neun-Bit-Erweiterungswerte, wobei das neunte Bit zu einem zusätzlichen Byte führt. Matter ignoriert das zusätzliche Byte bei Formatkonvertierungen, was zu Fehlern bei der Kettenvalidierung führt. Ein Wert CustomExtensionin der APIPassthrough Vorlage kann jedoch verwendet werden, um die genaue Anzahl der Byte im KeyUsage Wert festzulegen. Ein Beispiel finden Sie unter Erstellen Sie ein Node-Betriebszertifikat (NOC).

Wenn Sie den Beispielcode ändern oder ein alternatives X.509-Hilfsprogramm wie Open verwendenSSL, müssen Sie eine manuelle Überprüfung durchführen, um Fehler bei der Kettenvalidierung zu vermeiden.

Um zu überprüfen, ob Konvertierungen verlustfrei sind

  1. Verwenden Sie openssl, um zu überprüfen, ob ein Zertifikat, ein Knotenzertifikat (Endentitätszertifikat), eine gültige Kette enthält. In diesem Beispiel rcac.pem ist es das Stammzertifizierungsstellenzertifikat, icac.pem das Zwischenzertifikat der Zertifizierungsstelle und noc.pem das Knotenzertifikat.

    openssl verify -verbose -CAfile <(cat rcac.pem icac.pem) noc.pem

  2. Verwenden Sie chip-cert, um das mit PEM -formatierte Knotenzertifikat in das Format TLV (Tag, Länge, Wert) und wieder zurück zu konvertieren.

    ./chip-cert convert-cert noc.pem noc.chip -c
./chip-cert convert-cert noc.chip noc_converted.pem -p

    Die Dateien noc.pem und noc_converted.pem sollten genau die gleichen sein, wie sie durch ein Tool zum Vergleich von Zeichenketten bestätigt wurden.