本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 创建 AWS IoT 客户证书
AWS IoT 提供由 Amazon 根证书颁发机构 (CA) 签署的客户证书。
本主题介绍如何创建由 Amazon Root 证书颁发机构签发的客户端证书,以及如何下载证书文件。创建客户端证书文件后,您必须在客户端上安装这些文件。
**注意**
提供的每个 X.509 客户端证书都 AWS IoT 包含您在创建证书时设置的颁发者和主题属性。只有在创建证书后,证书属性才是不可改变的。
您可以使用 AWS IoT 控制台或创建由 Amazon 根 AWS IoT 证书颁发机构签名的证书。 AWS CLI
## 创建 AWS IoT 证书(控制台)
**使用 AWS IoT 控制台创建 AWS IoT 证书**
1. 登录 AWS 管理控制台 并打开[AWS IoT 控制台](https://console.aws.amazon.com/iot/home)。
1. 在导航窗格中,依次选择**安全**、**证书**和**创建**。
1. 选择**一键式创建证书(建议)**,然后选择**创建证书**。
1. 从**已创建证书**页面,将事物、公有密钥和私有密钥的客户端证书文件下载到安全位置。由 AWS IoT 生成的这些证书只能用于 AWS IoT 服务。
如果您还需要 Amazon Root CA 证书文件,此页面也包含指向可用于下载此文件的页面的链接。
1. 此时客户端证书已创建并注册到 AWS IoT。在客户端中使用证书之前,您必须激活证书。
要立即激活客户端证书,请选择**激活**。如果您不想立即激活证书,请参阅 [激活客户端证书(控制台)](activate-or-deactivate-device-cert.md#activate-device-cert-console) 以了解如何在以后激活证书。
1. 如果要将策略附加到证书,请选择 **Attach a policy**(附加策略)。
如果您不希望立即附加策略,请选择 **Done**(完成)以完成操作。您可以在以后附加策略。
完成此流程后,在客户端上安装证书文件。
## 创建 AWS IoT 证书 (CLI)
AWS CLI 提供了创建由 Amazon 根证书颁发机构签名的客户证书的**[create-keys-and-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/create-keys-and-certificate.html)**命令。但是,此命令不会下载 Amazon Root CA 证书文件。您可以从下载 Amazon Root CA 证书文件 [用于服务器身份验证的 CA 证书](server-authentication.md#server-authentication-certs)。
此命令创建私钥、公钥和 X.509 证书文件,并使用注册和激活证书。 AWS IoT
```
aws iot create-keys-and-certificate \
--set-as-active \
--certificate-pem-outfile certificate_filename.pem \
--public-key-outfile public_filename.key \
--private-key-outfile private_filename.key
```
如果您不想在创建和注册证书时激活证书,则此命令会创建私有密钥、公有密钥和 X.509 证书文件并注册证书,但不会激活它。[激活客户端证书(CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) 介绍了以后如何激活证书。
```
aws iot create-keys-and-certificate \
--no-set-as-active \
--certificate-pem-outfile certificate_filename.pem \
--public-key-outfile public_filename.key \
--private-key-outfile private_filename.key
```
在客户端上安装证书文件。