本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立 AWS IoT 用戶端憑證
AWS IoT 提供由 Amazon 根憑證授權機構 (CA) 簽署的用戶端憑證。
本主題說明如何建立由 Amazon 根憑證授權機構簽署的用戶端憑證,以及憑證檔案的下載方式。建立用戶端憑證檔案之後,您必須將它們安裝在用戶端上。
**注意**
提供的每個 X.509 用戶端憑證都會 AWS IoT 保留您在憑證建立時設定的發行者和主體屬性。只在建立憑證之後,憑證屬性才是不可變的。
您可以使用 AWS IoT 主控台或 AWS CLI 來建立由 Amazon 根 AWS IoT 憑證授權單位簽署的憑證。
## 建立 AWS IoT 憑證 (主控台)
**使用 AWS IoT 主控台建立 AWS IoT 憑證**
1. 登入 AWS 管理主控台 並開啟 [AWS IoT 主控台](https://console.aws.amazon.com/iot/home)。
1. 在導覽窗格中,依序選擇**安全**、**憑證**,然後選擇**建立**。
1. 選擇 **One-click certificate creation (一鍵建立憑證)** - **Create certificate (建立憑證)**。
1. 從**已建立的憑證**頁面上,將該物件的用戶端憑證檔案、公開金鑰和私密金鑰下載到安全的位置。產生的這些憑證只能與 AWS IoT AWS IoT 服務搭配使用。
如果您還需要 Amazon 根 CA 憑證檔案,此頁面上也有可下載該憑證的頁面連結。
1. 現在已建立用戶端憑證,並已註冊 AWS IoT。您必須先啟動憑證,才能在用戶端中使用憑證。
若要立即啟用用戶端憑證,請選擇**啟用**。如果您不想立即啟用憑證,請參閱 [啟動用戶端憑證 (主控台)](activate-or-deactivate-device-cert.md#activate-device-cert-console) 以了解如何稍後再啟用憑證。
1. 如果您要將政策連接至憑證,請選擇 **Attach a policy** (連接政策)。
如果您不想立即連接政策,請選擇 **Done** (完成) 來完成。您可以稍後附加政策。
完成程序之後,請在用戶端上安裝憑證檔案。
## 建立 AWS IoT 憑證 (CLI)
AWS CLI 提供 **[create-keys-and-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/create-keys-and-certificate.html)**命令來建立由 Amazon 根憑證授權單位簽署的用戶端憑證。但是,此命令不會下載 Amazon 根憑證授權機構憑證檔案。您可以從 [伺服器身分驗證的憑證授權機構憑證](server-authentication.md#server-authentication-certs) 下載 Amazon 根 CA 憑證檔案。
此命令會建立私有金鑰、公有金鑰和 X.509 憑證檔案,並使用 註冊和啟用憑證。 AWS IoT
```
aws iot create-keys-and-certificate \
--set-as-active \
--certificate-pem-outfile certificate_filename.pem \
--public-key-outfile public_filename.key \
--private-key-outfile private_filename.key
```
如果您不想在建立並註冊憑證時啟動憑證,此命令會建立私有金鑰、公有金鑰和 X.509 憑證檔案並註冊憑證,但不會啟動憑證。[啟動用戶端憑證 (CLI)](activate-or-deactivate-device-cert.md#activate-device-cert-cli) 描述稍後如何啟用憑證。
```
aws iot create-keys-and-certificate \
--no-set-as-active \
--certificate-pem-outfile certificate_filename.pem \
--public-key-outfile public_filename.key \
--private-key-outfile private_filename.key
```
在用戶端上安裝憑證檔案。