检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
整体流程 在证书管理服务创建根CA证书 根据云证书管理服务的指导说明,在云证书管理服务控制台创建根CA证书。 添加证书策略 采用华为云证书认证的设备,三种策略都支持引导,以“证书策略”为例,在“设备发放”创建对应“华为云证书”的证书策略。 图1 添加证书策略 图2 添加云证书策略详情
上传CA证书”,填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书(rootCA.crt文件)”,单击“确定”。 图1 上传CA证书 验证步骤1中上传的CA证书,只有成功验证证书后该证书方可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert
可选公司名称,如您不设置,可以直接回车 / 使用CA证书、CA证书私钥和上一步骤中生成的CSR文件创建设备证书(deviceCert.crt)。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key
CA File 设备证书(客户端证书) deviceCert.crt Client Certificate File 设备证书(客户端证书)私钥 deviceCert.key Client Key File CA证书(设备CA证书/客户端CA证书) rootCA.crt - 制作CA证书
径,Client Certificate File和Client Key File填写使用已上传并验证了的CA证书签发的设备证书和设备证书私钥路径。如证书为PEM格式,请勾选“PEM Formatted”。 具体配置请参见下图: “User Credentials”的“User
常见问题1:设备发放流程中使用到的证书都有哪些,它们有何区别? 设备发放提供证书认证方式,证书认证为双向认证过程,涉及到设备发放(平台)和设备两端,过程如下图所示。 双向证书认证过程使用到了如下几类证书: 表1 证书 说明 证书及其私钥持有者 签发者 服务端证书 步骤2中,设备发放设备侧将该证书返回设备。
验证CA证书 对于已上传的CA证书,平台要求用户完成“验证CA证书”过程,以验证用户具备该CA证书的签发能力。 操作步骤 登录设备发放控制台。 在设备发放控制台,左侧导航窗格中,选择“证书”,单击“证书列表”条目的操作栏中的“验证证书”。 图1 上传CA证书完成页 在上传验证证书页面
在证书管理服务创建根CA证书 根据云证书管理服务的指导说明,在云证书管理服务控制台创建根CA证书。 添加自定义策略 图1 添加自定义策略 新增注册组 图2 新增注册组 图3 添加云证书自定义策略注册组 创建并下载设备证书 图4 创建云证书注册组设备证书 图5 创建云证书注册组设备证书详情
常见问题2:证书指纹是什么?如何获取?在业务中有何作用? 证书指纹 证书指纹,即证书哈希值,是用于标识较长公共密钥字节的短序列。通过使用哈希算法对证书内容进行计算获取指纹。 证书指纹通常使用sha1或sha256算法计算,算法不同,证书指纹的长度也不同。sha1算法得到40位长度
更新CA证书 登录设备发放控制台。 在设备发放控制台,左侧导航窗格中,选择“证书”,单击“证书列表”条目的操作栏中的“更新”。 图1 更新CA证书 更新CA证书前,要求该证书未被设备、策略、注册组关联。 更新CA证书后,该证书状态将变为未验证,请重新完成验证CA证书过程。 父主题:
req -new -key rootCA.key -out rootCA.csr 生成CA证书(rootCA.crt): openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt
上传CA证书完成页 图3 复制验证码 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN
设备CA证书管理 上传设备CA证书 获取设备CA证书列表 删除设备CA证书 查询单个设备CA证书 更新单个设备CA证书 生成CA证书验证码/验证设备CA证书 父主题: API
生成CA证书验证码/验证设备CA证书 功能介绍 应用服务器可调用此接口在物联网平台生成CA证书验证码或验证设备的CA证书 URI POST /v5/iotps/{project_id}/certificates/{certificate_id}/action 表1 路径参数 参数
上传CA证书完成页 图3 复制验证码 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN
上传CA证书完成页 图3 复制验证码 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN
在设备发放控制台,左侧导航窗格中,选择“证书”,单击右上方的“上传CA证书”。 图3 上传CA证书 在“上传CA证书”页面,填写“证书名称”,单击“添加文件”,上传此前“制作CA证书”步骤中生成的“CA证书(rootCA.crt文件)”,单击“确定”。 图4 上传CA证书详情页 上传的CA证书初始状态为“未
设备证书名称,CA证书选择云证书管理服务的CA证书接入需要填写该字段。此名称会也即设备证书使用者的CommanName device_cert_validity Integer 生成设备证书的有效期。CA证书选择云证书管理服务的CA证书可填写该字段。 最小值:1 最大值:10 device_cert_id String
有CA); 2. 创建设备或注册组时,认证方式选择X.509证书认证,并关联已认证的设备CA证书; 3. 开发设备端,将X.509证书及其私钥烧录到设备上; 4. 设备在与平台双向认证过程中,设备验证平台证书,平台使用设备CA证书验证设备证书并验证设备证书与设备的关联关系。 X.509双向证书认证
设备证书名称,CA证书选择云证书管理服务的CA证书接入需要填写该字段。此名称会也即设备证书使用者的CommanName device_cert_validity 否 Integer 生成设备证书的有效期。CA证书选择云证书管理服务的CA证书可填写该字段。 最小值:1 最大值:10 device_cert_id
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
