If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.
Starfield Class 2认证机构根 CA 认证位于根 CA 认证目录中。 它已添加到 CC32xx SDK 的 v.3.10.00.04版本中。 您可以在 CC32xx SDK 的 tools/cc32xx_tools/certificate-catalog/readme.html 文件中找到目录中包含的根 CA 的完整列表。
需要注意的是,根 CA 证书目录没有每个证书的完整内容,因为这将占用大量的外部闪存。 相反,目录中只存储每个根 CA 证书的哈希值。 因此、要求您在证书链验证需要 CC32xx 时向其提供完整证书。 这种情况不仅适用于 AWS-ATS 连接所需的 Starfield 证书、而且适用于任何 TLS 连接、而不考虑服务器证书链使用的根 CA 证书。
如果您需要更多地说明为什么需要 Starfield 根 CA 证书,或者您对此主题有任何其他问题,请告诉我。
需要使用 Starfield 2类证书颁发机构的 CC3220有点不寻常。 将服务器证书链提交给客户端设备以进行验证时、有几种方法可以完成此操作。 通常,客户端将遍历证书链,直到它遇到其受信任 CA 证书目录中存在的证书。 因此、如果客户信任亚马逊 CA 证书、则只需在本地提供该证书、因为使用亚马逊 CA 证书足以验证证书链。
但是、CC3220的运行方式稍有不同。 所发生的情况是、即使其中一个中间证书碰巧是存在于其受信任根 CA 存储中的证书、它将遍历链、直至到达顶级证书。 通常,与第一种方法相比,此行为不会产生不同的结果,因为通常只有证书链中的最后一个证书是受信任根 CA 证书 如果亚马逊根 CA 未进行交叉签名、则仅提供亚马逊根 CA 认证就不会出现问题
但是、由于亚马逊根 CA 认证是交叉签名的、因此 CC3220的情况似乎是亚马逊根 CA 不是顶级认证 相反、TLS 堆栈会发现 Starfield 2类证书颁发机构证书是顶层根 CA 证书 这就是 Starfield Class 2证书颁发机构证书是证书链验证所需的根 CA 证书的原因。
由于 CC3220的这种行为并不常见、亚马逊未强调或指出需要什么证书是可以理解的、因为在大多数情况下、拥有亚马逊根 CA 证书是正确的。
