1.前言
IoT物聯網平台支援使用私有數字證書進行裝置接入身份認證。使用私有數字證書,需要完成如下操作:
①在物聯網平台注冊CA憑證,
②将數字裝置證書與裝置身份相綁定。
本文介紹如何在物聯網平台注冊私有CA憑證并給裝置綁定裝置證書。
限制說明
- 僅MQTT協定直連的裝置可使用私有CA憑證。
- 目前僅華東2(上海)地域支援使用私有CA憑證。
- 使用私有CA憑證時,隻支援RSA算法簽名的裝置證書。
- 一個阿裡雲賬号最多可注冊10個私有CA憑證。
2.注冊私有CA憑證
2.1 制作私有CA憑證
我們在Mac電腦上使用OpenSSL工具制作私有CA憑證。
指令如下:
# 生成私有CA和key ,有效期10年
openssl req -new -x509 -days 3650 -keyout myIoTCARoot.key -out myIoTCARoot.crt
# 檢視CA憑證
openssl x509 -noout -text -in myIoTCARoot.crt 私有CA憑證内容:
2.2 制作驗證證書
當我們注冊私有CA憑證時,IoT物聯網平台要求我們同時上傳使用私有CA憑證對應的私鑰建立的驗證證書,用來證明我們擁有該私有CA憑證。
檢視私有證書注冊碼
- 登入IoT物聯網平台控制台。
- 在左側導航欄,選擇裝置管理 > CA憑證。
- 在CA憑證管理頁,單擊注冊CA憑證。
- 在注冊CA憑證對話框中,擷取注冊碼。
驗證證書制作
我們同樣以OpenSSL為例,制作驗證證書,操作步驟如下:
- 生成驗證證書Key
# 生成驗證證書
openssl genrsa -out verificationCert.key 2048 - 生成驗證證書CSR,其中Common Name 需填入IoT控制台擷取的私有CA憑證注冊碼
# 生成驗證證書CSR
openssl req -new -key verificationCert.key -out verificationCert.csr
……
Common Name (e.g. server FQDN or YOUR name) []: *****7dc9a483ebbf7e6997b7b****
…… - 使用由私有CA憑證私鑰簽名的CSR建立驗證證書
# 用私有CA和key簽發驗證證書
openssl x509 -req -in verificationCert.csr -CA myIoTCARoot.crt -CAkey myIoTCARoot.key -CAcreateserial -out verificationCert.crt -days 300 -sha512
# 檢視驗證證書内容
openssl x509 -noout -text -in verificationCert.crt 檢視驗證證書:
2.3 上傳并驗證私有CA憑證
當我們準備完成私有CA憑證和對應驗證證書,就可以在IoT物聯網平台的控制台上傳證書了。
上傳證書頁面如下:
驗證通過後,在私有CA憑證詳情頁面,可以檢視證書資訊,參考如下:
至此,我們完成了私有CA憑證的制作和在IoT物聯網平台的注冊。後續,就可以用此CA憑證來簽發裝置證書了。