重點
此服務涵蓋什麼
- 兩層 X.509 CA 階層:離線 root CA 與線上 issuing CA,負責裝置憑證簽發
- 每台裝置在製造或首次啟用時取得並綁定硬體身分的專屬憑證
- 所有裝置對雲端連線都使用 mutual TLS,雙向驗證 X.509 憑證
- 憑證生命週期作業包含簽發、更新、輪替與撤銷,並支援 OCSP 與 CRL
以 X.509 憑證與受管理的 PKI 階層維繫裝置身分與雲端信任。
安全與 PKI
安全與 PKI 說明 Realtek Connect+ 如何以建立在 X.509 憑證上的公開金鑰基礎架構來驗證裝置身分、保護雲端通訊,並在不自訂通訊協定的前提下支援大規模撤銷。每台裝置在佈建時都會取得由平台 CA 階層簽發的唯一憑證。雲端連線一律透過該憑證進行 mutual TLS 驗證,讓平台可以確認硬體身分、套用裝置端點政策,並以標準工具在大規模裝置群中輪替或撤銷憑證;裝置憑證不定義 human user roles,也不宣告產品 ACL 已可用。
能力
平台基礎能力
- 維持兩層 CA 階層,讓 root CA 保持離線,並由 issuing CA 在佈建流程中按需簽發裝置憑證
- 將每張裝置憑證綁定序號、MAC 位址與型號,讓雲端無需共享密鑰即可驗證硬體身分
- 在 MQTT 與 HTTPS 端點強制 mutual TLS,讓未通過驗證的裝置無法存取平台 API 或訊息代理
- 將硬體身分政策與 human role assignment、產品 ACL 可用性清楚分開
- 依憑證到期排程或安全事件支援更新與輪替,而不必完整重新佈建裝置
- 發布 CRL 端點並執行 OCSP responder,讓依賴方可即時查驗憑證狀態
- 可透過裝置群管理主控台撤銷單一裝置憑證,或批次撤銷遭入侵的製造批次
成果
產品團隊為何使用
- 以個別 X.509 憑證作為每台裝置的身分基礎,降低共享密鑰風險
- 用標準 PKI 產物滿足企業與營運團隊的安全審查
- 讓撤銷保持快速且範圍明確,單一受損裝置不會暴露整個裝置群
- 保留可追蹤的簽發與撤銷記錄,方便審計與支援追溯
下一步
評估 安全與 PKI 如何支援你的產品路線圖。
分享你的產品類別、目標部署與雲端需求,讓 Realtek Connect+ 團隊協助評估。