本文介绍您在使用PCA证书时可能遇到的问题及解决方案。
Matter使用什么类型的证书?
Matter是一个新型智能家居自动化标准,并由Connectivity Standards Alliance(CSA联盟)管理。Matter为智能家居设备(例如电灯开关、门锁、媒体设备等)提供无缝且安全的跨供应商连接,即所有支持Matter的App或硬件设备都可以轻松无缝互联和协同工作。为了确保安全性和互操作性,在Matter执行设备认证和真实性检查后,智能家居设备才能加入Matter智能家居网络(也称为fabric)并与其他Matter设备通信。
Matter的设备认证基于公钥基础设施(PKI),并使用X.509格式标准数字证书来识别设备并保护设备之间的通信。Matter使用两种类型的设备证书:
设备认证证书(DAC)是由设备制造商提供的,用于唯一标识设备供应商和产品类型的证书。用户可以通过跟踪设备DAC证书的证书链来确认手中的Matter设备是否真正来自于设备包装上标明的生产厂家。
DAC由受信任的证书颁发机构(CA) 或产品认证机构(PAA)签发。对于开发人员来说,如需上市Matter认证设备,首先需要为每个设备取得Matter的DAC。而阿里云数字证书PCA服务可以帮助您构建符合Matter要求的PKI证书体系,从而加快Matter认证产品的推出。
节点操作证书(NOC)是由Matter管理员在调试期间颁发的,用于验证其他设备的身份,并确保Matter数据通信的隐私性和完整性。
如何在谷歌浏览器安装PCA证书信任链
下面以导入阿里云PCA服务根证书为例介绍。
按照下述步骤,复制根证书内容,并保存至本地文件,命名为root.crt。
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA页签,定位到目标根证书,在操作列,选择
> 详情。在详情面板,复制根CA证书内容,在本地保存为root.crt。
在浏览器中安装根CA证书。不同的浏览器证书安装位置不同,下面以谷歌浏览器为例说明。
打开谷歌浏览器,在顶部菜单栏右侧选择
> 设置。在设置页面,单击隐私和安全,并选择安全。
在安全页面的高级区域,单击管理证书。
在受信任的根证书颁发机构,单击导入,并按照页面证书导入向导,导入根证书root.crt。
如何理解私有证书有效期和私有CA有效期?
私有证书有效期:
如果购买的PCA服务时长<1年,则私有证书有效期不能超过您购买的PCA服务的时长。例如,您购买了1个月的PCA服务,则可以签发的证书的最长有效期不超过31天。如果您需要更长的证书有效期,建议您通过续费,延长PCA的服务的时长。续费操作,请参见私有证书计费说明。
如果购买的子CA服务时长≥1年,则签发的私有证书有效期可以设置为1~100年。
私有CA有效期:
如果私有根CA购买时长<1年,则根CA有效期最大可设置为20年。
如果私有根CA购买时长≥1年,则根CA有效期最大可设置为100年。
如果私有CA过期,则不能签发私有证书,对于未过期的私有证书则不影响正常使用。