检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
添加证书策略,发放CA证书到指定的IoTDA,并且由此CA签发的设备证书都会发放到指定的IoTDA。 图5 添加证书策略 图6 添加证书策略详情 注册设备 在设备发放控制台,注册MQTT设备,其中安全模式选择X.509认证模式,选择对应的CA证书,填写证书指纹,注册X.509认证设备。
结合函数服务通过自定义策略发放证书认证的设备 场景说明 本文以MQTT.fx的设备模拟器替代真实的设备,结合函数工作流服务(FunctionGraph),带您快速体验结合函数服务使用设备发放服务,通过自定义策略将设备发放到指定的物联网平台(设备接入实例)上。 整体流程 使用证书认证的设备采用自定义策略发放设备操作流程如下图所示。
在openssl安装目录的bin文件夹下,获取生成的CA证书(rootCA.pem)。 上传验证证书 如果上传的是调测证书,上传后证书状态显示为“未验证”,您需要上传验证证书,来证明您拥有该CA证书。 图9 设备CA证书-未验证证书 验证证书是由设备CA证书对应的私钥创建的,请参考如下操作制作验证证书。
生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”,“验证证书”以及“设备证书”时需要用到,请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件: 生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished
在openssl安装目录的bin文件夹下,获取生成的CA证书(rootCA.pem)。 上传验证证书 如果上传的是调测证书,上传后证书状态显示为“未验证”,您需要上传验证证书,来证明您拥有该CA证书。 图2 设备CA证书-未验证证书 验证证书是由设备CA证书对应的私钥创建的,请参考如下操作制作验证证书。
自定义域名允许设备指定要连接到 IoTDA 的自定义完全限定域名 (FQDN)。使用自定义域名,用户可以管理自己的服务器证书,例如用于签署证书的根证书颁发机构 (CA)、签名算法、以及证书的生命周期。 使用场景 自己管理服务器证书的根证书颁发机构 (CA)、签名算法、以及证书的生命周期等。 出于品牌推广目的向客户公开公司自己的域名。
crt “-days”后的参数值指定了该证书的有效天数,此处示例为50000天,您可根据实际业务场景和需要进行调整。 上传并验证CA证书 登录设备发放控制台,进入“证书”界面,单击右上角“上传CA证书”,填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书(rootCA.crt文件)”,单击“确定”。
建议携带该参数指定创建的证书归属到哪个资源空间下,否则创建的证书将会归属到默认资源空间下。 响应参数 状态码: 201 表4 响应Body参数 参数 参数类型 描述 certificate_id String CA证书ID,在上传CA证书时由平台分配的唯一标识。 cn_name
签名校验的token值,开启签名校验时使用,用于认证设备携带的签名信息是否正确。 公钥 否 签名校验的公钥,开启签名校验时使用,用于认证设备携带的签名信息是否正确。 是否默认自定义鉴权器 是 开启后,如果设备发起鉴权时的username没有携带authorizer_name参数,则默认使用此鉴权器。此处默认为不开启。
资源空间ID。此参数为非必选参数,存在多资源空间的用户需要使用该接口时,可以携带该参数查询指定资源空间下的证书列表,不携带该参数则会查询该用户下所有证书列表。 limit 否 Integer 分页查询时每页显示的记录数,默认值为10,取值范围为1-50的整数。 最小值:1 最大值:50 缺省值:10
求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见:
3-32位长度英文或数字, 用于认证签名,平台推送数据到客户服务器时,将会使用Token进行签名并将签名信息组装到头域中进行推送。 证书ID 仅推送Https服务器有效,作为Truststore证书,用于客户端校验服务端合规商用证书,如自签名证书、证书链不完整证书等不合规证书该配置不可用。 证书域名 启用
Name),唯一标识函数,即自定义鉴权器对应的处理函数地址。 signing_enable Boolean 参数说明:是否启动签名校验,启动签名校验后不满足签名要求的鉴权信息将被拒绝,以减少无效的函数调用。推荐用户进行安全的签名校验,默认开启。 signing_token String 参数说明:签名校验的Key值,开启签名校验时使用。
st获取证书文件压缩包。 根据您使用的工具或语言取用压缩包内的证书文件: IoT Device SDK(C/C#)、MQTT.fx工具:使用压缩包中c目录下以pem或crt为后缀的文件; IoT Device SDK(Java):使用压缩包中java目录下以jks为后缀的文件; IoT
crt “-days”后的参数值指定了该证书的有效天数,此处示例为50000天,您可根据实际业务场景和需要进行调整。 上传并验证CA证书 登录设备发放控制台,进入“证书”界面,单击右上角“上传CA证书”,填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书(rootCA.crt文件)”,单击“确定”。
上传并验证CA证书 登录设备发放控制台,进入“证书”界面,单击右上角“上传CA证书”,填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书(rootCA.crt文件)”,单击“确定”。 图1 上传CA证书 验证步骤1中上传的CA证书,只有成功验证证书后该证书方可使用。 为验证证书生成密钥对。
OCSP校验:本文统一指定为物联网平台对设备侧证书的有效性校验。 OCSP装订(OCSP Stapling):也称服务端OCSP,是TLS证书状态查询扩展,作为在线证书状态协议的替代方法对X.509证书状态进行查询,服务器主动检查自身证书状态,在TLS握手时发送已缓存的OCSP响应,用户只需验证该响应的时效性而不用
使用token签名验证消息是否来自平台。 token 否 String 参数说明:用作生成签名的Token,客户端可以使用该token按照规则生成签名并与推送消息中携带的签名做对比, 从而验证安全性。取值范围: 长度不超过32, 不小于3, 只允许字母、数字的组合。请参见HTT
e,使用token签名验证消息是否来自平台。 token String 参数说明:用作生成签名的Token,客户端可以使用该token按照规则生成签名并与推送消息中携带的签名做对比, 从而验证安全性。取值范围: 长度不超过32, 不小于3, 只允许字母、数字的组合。请参见HTTP
双向认证,即双向证书认证,与单向认证中不同的是,不仅包含单向认证中的设备对平台的证书验证步骤,还包含了平台对设备的证书验证步骤。 证书指纹是什么?如何获取?在业务中有何作用? 证书指纹 证书指纹,即证书哈希值,是用于标识较长公共密钥字节的短序列。通过使用哈希算法对证书内容进行计算获取指纹。 证书指纹通常使用s
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
