检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
生成CA证书验证码/验证设备CA证书 功能介绍 应用服务器可调用此接口在物联网平台生成CA证书验证码或验证设备的CA证书 URI POST /v5/iotps/{project_id}/certificates/{certificate_id}/action 表1 路径参数 参数
在上传验证证书页面,单击“生成验证码”,单击“复制图标”复制此CA证书的随机验证码。 图2 复制验证码 CA证书验证码有效期为一天,请及时使用验证码生成验证证书并完成验证。 验证码的生成为替换机制,即对于一个CA证书,即使此前的验证码未过期,也将被新生成的验证码替换。 使用OpenSSL工具为验证证书生成密钥对。
设备CA证书管理 上传设备CA证书 获取设备CA证书列表 删除设备CA证书 查询单个设备CA证书 更新单个设备CA证书 生成CA证书验证码/验证设备CA证书 父主题: API
更新CA证书 登录设备发放控制台。 在设备发放控制台,左侧导航窗格中,选择“证书”,单击“证书列表”条目的操作栏中的“更新”。 图1 更新CA证书 更新CA证书前,要求该证书未被设备、策略、注册组关联。 更新CA证书后,该证书状态将变为未验证,请重新完成验证CA证书过程。 父主题:
上传的CA证书初始状态为“未验证”,需要完成“验证CA证书”过程,方可正常使用该CA证书。 表1 证书状态列表 CA证书状态 说明 已验证 可正常使用。 未验证 不可正常使用,待验证通过后,方可正常使用。 已过期 CA证书已过期,需更新,但不影响平台使用该CA证书验证对应的设备证书。 即将过期
设备 CA证书 CA证书(设备CA证书/客户端CA证书) 步骤5中,设备发放设备侧使用该CA证书验证来自设备的客户端证书。用户通过应用侧上传该证书到设备发放平台。 用户 通常为自签发 样例中各类证书常用文件名: 表2 证书 文件名 MQTT.fx中的字段名 服务端证书 - - 服务端CA证书
上传CA证书 验证步骤1中上传的CA证书,只有成功验证证书后该证书方可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 获取随机验证码。 图2 上传CA证书完成页 图3 复制验证码 利用此验证码生成证书签名请求文件CSR。
制作CA证书 本文以Windows环境为例,介绍通过Openssl工具制作CA证书和验证证书的方法。 以下“生成密钥对(rootCA.key)”和“生成CA证书(rootCA.crt)”为操作过程中需要使用到的两个文件。 制作CA证书 在浏览器中访问这里,下载并进行安装OpenSSL工具,安装完成后配置环境变量。
签发设备证书 已上传并验证CA证书后,就可以使用此CA证书签发设备证书供设备使用。 操作步骤 使用OpenSSL工具为设备证书生成密钥对,即”设备证书(客户端证书)私钥”。 openssl genrsa -out deviceCert.key 2048 使用密钥对生成证书签名请求文件:
在业务中的用途 在证书认证方式中,平台存储设备CA证书,不存储设备证书完整内容,但会存储、计算和校验设备证书指纹。 为确保设备与平台通信的安全性,在双向认证过程中,平台不仅使用设备CA对设备证书进行验证,还会校验【设备关联的证书指纹】与【双向认证使用的设备证书的指纹】的一致性。
可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 获取随机验证码。 图2 上传CA证书完成页 图3 复制验证码 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert
在证书管理服务创建根CA证书 根据云证书管理服务的指导说明,在云证书管理服务控制台创建根CA证书。 添加自定义策略 图1 添加自定义策略 新增注册组 图2 新增注册组 图3 添加云证书自定义策略注册组 创建并下载设备证书 图4 创建云证书注册组设备证书 图5 创建云证书注册组设备证书详情
整体流程 在证书管理服务创建根CA证书 根据云证书管理服务的指导说明,在云证书管理服务控制台创建根CA证书。 添加证书策略 采用华为云证书认证的设备,三种策略都支持引导,以“证书策略”为例,在“设备发放”创建对应“华为云证书”的证书策略。 图1 添加证书策略 图2 添加云证书策略详情
在平台上传设备CA证书并完成验证(或使用华为云证书服务的私有CA); 2. 创建设备或注册组时,认证方式选择X.509证书认证,并关联已认证的设备CA证书; 3. 开发设备端,将X.509证书及其私钥烧录到设备上; 4. 设备在与平台双向认证过程中,设备验证平台证书,平台使用设备CA证书验证设备证书并验证设备证书与设备的关联关系。
可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 获取随机验证码。 图2 上传CA证书完成页 图3 复制验证码 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert
可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 获取随机验证码。 图2 上传CA证书完成页 图3 复制验证码 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert
台间的MQTT连接。 设备发放平台目前只支持MQTTS接入,设备通过connect消息接口和平台建立MQTT连接时,需要使用服务端CA证书验证服务端证书。服务端CA证书单击huaweicloud-iot-root-ca-list获取证书文件压缩包。 根据您使用的工具或语言取用压缩包内的证书文件:
509证书进行认证鉴权。使用X.509认证技术时,设备无法被仿冒,避免了密钥被泄露的风险。 设备CA证书管理 本章节介绍设备CA证书的制作,以及如何在物联网平台上传、验证和管理设备CA证书。 图1 设备CA证书制作 本章节样例中的各类证书常用文件名: 表1 常用文件名列表 证书 文件名 MQTT.fx中的字段名
owner String Ca证书所有者。 最小长度:0 最大长度:128 status Boolean CA证书验证状态。 verify_code String CA证书验证码。 最小长度:0 最大长度:256 create_date String 创建证书日期。 最小长度:0 最大长度:128
每个设备的设备代码应该只包含该设备的相应派生设备密钥。 不要在设备代码中包含你的注册组密钥。 泄露的注册组密钥可能会危及所有使用该密钥进行身份验证的设备的安全。 整体流程 添加静态策略 “关键字”为“设备名称”中的关键字。设备发放时,“设备名称”为“注册组名称”+“设备ID”。 使用