检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
A证书”,“验证证书”以及“设备证书”时需要用到,请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件: 生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished Name,DN)信息,参数说明如下表1
物联网平台会对30天内即将过期的设备证书进行告警,请及时更新证书防止接入失败。 物联网平台提供的设备证书配额为设备数配额的1.5倍,请及时清理过期证书,防止新证书存储失败,导致无法在界面上查看该证书,但不影响设备接入平台。 设备与设备证书通过证书指纹关联,停用设备证书后其关联的所有设备将无法接入平台。 操作步骤
生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”,“验证证书”以及“设备证书”时需要用到,请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件: 生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished
成的CA证书(rootCA.pem)。 上传验证证书 如果上传的是调测证书,上传后证书状态显示为“未验证”,您需要上传验证证书,来证明您拥有该CA证书。 图9 设备CA证书-未验证证书 验证证书是由设备CA证书对应的私钥创建的,请参考如下操作制作验证证书。 获取验证证书的验证码 图10
String CA证书ID,在上传CA证书时由平台分配的唯一标识。 cn_name String CA证书CN名称。 owner String CA证书所有者。 status Boolean CA证书验证状态。true代表证书已通过验证,可进行设备证书认证接入。false代表证书未通过验证。
建链认证过程 AMQP客户端与物联网平台建立TCP连接,然后进行TLS握手校验。 为了保障安全,接收方必须使用TLS加密,且使用TLS1.2版本,不支持非加密的TCP传输。客户端的时间不能与标准时间差5分钟及以上,否则接入不进来。 客户端请求建立连接。 客户端向物联网平台发起请求,建立Receiver
CA证书,证书的上传可参考加载推送证书。 Token 3-32位长度英文或数字, 用于认证签名,平台推送数据到客户服务器时,将会使用Token进行签名并将签名信息组装到头域中进行推送。 证书ID 仅推送Https服务器有效,作为Truststore证书,用于客户端校验服务端合规商
cn_name String CA证书CN名称。 owner String CA证书所有者。 status Boolean CA证书验证状态。true代表证书已通过验证,可进行设备证书认证接入。false代表证书未通过验证。 verify_code String CA证书验证码。 provision_enable
求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见:
自己的服务器证书,例如用于签署证书的根证书颁发机构 (CA)、签名算法、以及证书的生命周期。 使用场景 自己管理服务器证书的根证书颁发机构 (CA)、签名算法、以及证书的生命周期等。 出于品牌推广目的向客户公开公司自己的域名。 迁移场景继承自己原有的域名和服务器证书。 使用限制 仅标准版和企业版支持该功能。
设备ID、设备身份标识类型、密码签名类型、时间戳,通过下划线“_”分隔。 设备ID:指设备在平台成功注册后生成的唯一设备标识,通常由设备的产品ID和设备的NodeId通过分隔符“_”拼装而来。 设备身份标识类型:固定值为0,表示设备ID。 密码签名类型:长度1字节,当前支持2种类型:
A证书”,“验证证书”以及“设备证书”时需要用到,请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件: 生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished Name,DN)信息,参数说明如下表1
> 设备证书”,进入设备证书页面选择对应CA证书,单击“OCSP验证”开启校验。 图2 设备CA证书-开启OCSP验证 返回设备接入控制台选择对应实例,单击“详情”进入实例详情页面,单击“更新证书”开启OCSP装订。 图3 实例管理-开启OCSP装订 开启OCSP装订签名证书链必须包含上层CA证书。
A证书”,“验证证书”以及“设备证书”时需要用到,请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件: 生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished Name,DN)信息,参数说明如下表1
效。 签名认证 是 启动签名认证后,不满足签名要求的鉴权信息将被拒绝,以减少无效的函数调用,默认为开启。 token值 否 签名校验的token值,开启签名校验时使用,用于认证设备携带的签名信息是否正确。 公钥 否 签名校验的公钥,开启签名校验时使用,用于认证设备携带的签名信息是否正确。
上传并验证CA证书 登录设备发放控制台,进入“证书”界面,单击右上角“上传CA证书”,填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书(rootCA.crt文件)”,单击“确定”。 图1 上传CA证书 验证步骤1中上传的CA证书,只有成功验证证书后该证书方可使用。 为验证证书生成密钥对。
该指令用于设置服务器或者客户端证书。 指令 参数 参数缺省处理 AT响应结果 使用示例 AT+HMPKS =type, para1,[para2] type=0,表示平台证书,证书在para1中。 type=1,表示设备公钥证书,证书在para1中。 type=2,表示设备私钥证书,证书在para1中,密码在para2中。
type String。 可能原因 AKSK签名算法与对应集群支持的签名算法不匹配导致 解决方法 访问IoTDA北京四基础版接入地址时,使用的是通用的AKSK签名算法。 访问IoTDA标准版或者企业版的接入地址时,使用的是衍生的AKSK签名算法,需要明确指定使用衍生算法,详情可参考集成应用侧SDK的注释说明。
生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”,“验证证书”以及“设备证书”时需要用到,请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件: 生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished
sni_enable 否 Boolean 参数说明:需要https服务端和客户端都支持此功能,默认为false,设成true表明Https的客户端在发起请求时,需要携带cn_name;https服务端根据cn_name返回对应的证书;设为false可关闭此功能。 signature_enable
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
