重点
此服务涵盖什么
- 兩層 X.509 CA 阶層:離线 root CA 与线上 issuing CA,負責装置凭证簽发
- 每台装置在製造或首次启用时取得並绑定硬体身分的專属凭证
- 所有装置对云端連线都使用 mutual TLS,雙向验证 X.509 凭证
- 凭证生命週期作业包含簽发、更新、輪替与撤销,並支援 OCSP 与 CRL
以 X.509 凭证与受管理的 PKI 阶層維繫装置身分与云端信任。
安全与 PKI
安全与 PKI 说明 Realtek Connect+ 如何以建立在 X.509 凭证上的公开金鑰基础架構來验证装置身分、保護云端通讯,並在不自訂通讯协定的前提下支援大規模撤销。每台装置在布建时都会取得由平台 CA 阶層簽发的唯一凭证。云端連线一律透过该凭证进行 mutual TLS 验证,让平台可以確認硬体身分、套用装置端点政策,並以标準工具在大規模装置群中輪替或撤销凭证;装置凭证不定義 human user roles,也不宣告产品 ACL 已可用。
能力
平台基础能力
- 維持兩層 CA 阶層,让 root CA 保持離线,並由 issuing CA 在布建流程中按需簽发装置凭证
- 将每張装置凭证绑定序号、MAC 位址与型号,让云端无需共享密鑰即可验证硬体身分
- 在 MQTT 与 HTTPS 端点強制 mutual TLS,让未通过验证的装置无法存取平台 API 或讯息代理
- 将硬体身分政策与 human role assignment、产品 ACL 可用性清楚分开
- 依凭证到期排程或安全事件支援更新与輪替,而不必完整重新布建装置
- 发布 CRL 端点並執行 OCSP responder,让依賴方可即时查验凭证状态
- 可透过装置群管理主控台撤销单一装置凭证,或批次撤销遭入侵的製造批次
成果
产品团队为何使用
- 以个别 X.509 凭证作为每台装置的身分基础,降低共享密鑰風險
- 用标準 PKI 产物滿足企业与营运团队的安全審查
- 让撤销保持快速且范圍明確,单一受損装置不会暴露整个装置群
- 保留可追蹤的簽发与撤销记录,方便審計与支援追溯
下一步
评估 安全与 PKI 如何支援你的产品路线圖。
分享你的产品类别、目标部署与云端需求,让 Realtek Connect+ 团队协助评估。