定义
X.509 Certificate(X.509 证书)是公钥基础设施 PKI 中的标准证书格式,用于设备身份认证。设备可使用 X.509 证书替代 ProductKey/DeviceSecret 进行 Device Authentication,配合 mTLS 实现双向认证,适用于高安全场景。
证书结构与生命周期
X.509 证书包含主体信息、公钥、颁发者、有效期、扩展字段等。设备证书通常将设备唯一标识(如 DeviceId、序列号)写入 Subject 或 SAN 扩展;私钥安全存储在设备安全元件(SE)或 TEE 中。证书生命周期包括签发、部署、续期、吊销。设备管理平台可集成 CA 或对接企业 PKI,支持证书批量签发、自动续期及 CRL/OCSP 吊销校验,满足 Device Credentials 凭证管理的合规要求。
与 mTLS 的配合
在 mTLS 双向认证中,设备与平台在 TLS 握手时互相验证对方证书。设备端使用预置的根 CA 证书验证平台证书,平台端验证设备证书的签名链与吊销状态。相比预共享密钥,证书认证支持细粒度身份绑定、不可抵赖性及密钥轮换,适用于工业控制、金融、医疗等高安全物联网场景。平台需支持证书与设备的一对一或一对多绑定策略。
实现考量
设备端需具备证书存储与 TLS 客户端能力;资源受限设备可考虑证书精简或使用 Raw Public Key。平台侧需建立证书签发、存储、吊销的完整流程,与 One Device One Secret 等策略协同,确保每台设备凭证唯一且可追溯。证书过期或吊销时,平台应支持告警与自动阻断连接,保障整体安全态势。