Solucione los errores de los AWS Private CA certificados compatibles con Matter - AWS Private Certificate Authority

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solucione los errores de los AWS Private CA certificados compatibles con Matter

El estándar de conectividad Matter especifica las configuraciones de certificados que mejoran la seguridad y la coherencia de los dispositivos de Internet de las cosas (IoT). Puede encontrar ejemplos de Java para crear certificados de CA raíz, CA intermedia y entidad final compatibles con Matter en Úselo Autoridad de certificación privada de AWS para implementar certificados Matter.

Para facilitar la solución de problemas, los desarrolladores de Matter proporcionan una herramienta de verificación de certificados llamada chip-cert. Los errores de los que informa la herramienta se enumeran en la tabla siguiente con las correcciones.

Código de error Significado Corrección

0x00000305

Las extensiones BasicConstraints, KeyUsage y ExtensionKeyUsage deben marcarse como críticas.

Asegúrese de haber seleccionado la plantilla correcta para su caso de uso.

0x00000050

La extensión del identificador de clave de autoridad debe estar presente.

Autoridad de certificación privada de AWS no establece la extensión del identificador de la clave de autoridad en los certificados raíz. Debe generar un AuthorityKeyIdentifier valor codificado en base64 mediante el CSR y, a continuación, pasarlo por un. CustomExtension Para obtener más información, consulte Active una CA raíz para los certificados operativos de los nodos (NOC). y Activar una autoridad de certificación de productos () PAA.
0x0000004E El certificado ha caducado. Asegúrese de que el certificado que utiliza no haya caducado.
0x00000014 Error en la validación de la cadena de certificados.

Este error se puede producir si intenta crear un certificado de entidad final compatible con Matter sin utilizar los ejemplos de Java proporcionados, que utilizan el Autoridad de certificación privada de AWS API para pasar un certificado configurado correctamente. KeyUsage

De forma predeterminada, Autoridad de certificación privada de AWS genera valores de KeyUsage extensión de nueve bits, y el noveno bit genera un byte adicional. Matter ignora el byte adicional durante las conversiones de formato, lo que provoca errores en la validación de la cadena. Sin embargo, se puede usar a CustomExtensionen la APIPassthrough plantilla para establecer el número exacto de bytes del valor. KeyUsage Para ver un ejemplo, consulte Crear un certificado operativo de nodo (NOC).

Si modifica el código de ejemplo o utiliza una utilidad X.509 alternativa, como OpenSSL, tendrá que realizar una verificación manual para evitar errores de validación en cadena.

Para comprobar que las conversiones no tienen pérdidas
  1. Utilice openssl para comprobar que un certificado de nodo (entidad final) contiene una cadena válida. En este ejemplo, rcac.pem es el certificado de CA raíz, icac.pem es el certificado de CA intermedio y noc.pem es el certificado de nodo.

    openssl verify -verbose -CAfile <(cat rcac.pem icac.pem) noc.pem
  2. Utilice chip-cert para convertir el certificado PEM de nodo con formato TLV (etiqueta, longitud, valor) y viceversa.

    ./chip-cert convert-cert noc.pem noc.chip -c ./chip-cert convert-cert noc.chip noc_converted.pem -p

    Los archivos noc.pem y noc_converted.pem deben ser exactamente los mismos que los confirmados por una herramienta de comparación de cadenas.