检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
签发设备证书 已上传并验证CA证书后,就可以使用此CA证书签发设备证书供设备使用。 操作步骤 使用OpenSSL工具为设备证书生成密钥对,即”设备证书(客户端证书)私钥”。 openssl genrsa -out deviceCert.key 2048 使用密钥对生成证书签名请求文件:
删除CA证书 登录设备发放控制台。 在设备发放控制台,左侧导航窗格中,选择“证书”,单击“证书列表”条目的操作栏中的“删除”。 图1 删除CA证书 关联了至少一个设备、策略或注册组的CA证书,不允许删除。 请谨慎操作,删除后的CA证书的所有数据将被删除且不可恢复。 父主题: 证书
设备证书名称,CA证书选择云证书管理服务的CA证书接入需要填写该字段。此名称会也即设备证书使用者的CommanName device_cert_validity Integer 生成设备证书的有效期。CA证书选择云证书管理服务的CA证书可填写该字段。 最小值:1 最大值:10 device_cert_id String
设备CA证书管理 本章节介绍设备CA证书的制作,以及如何在物联网平台上传、验证和管理设备CA证书。 图1 设备CA证书制作 本章节样例中的各类证书常用文件名: 表1 常用文件名列表 证书 文件名 MQTT.fx中的字段名 服务端证书 - - 服务端CA证书 如下其中之一: huawei
cn_name String CA证书CN名称。 最小长度:0 最大长度:128 owner String Ca证书所有者。 最小长度:0 最大长度:128 status Boolean CA证书验证状态。 verify_code String CA证书验证码。 最小长度:0 最大长度:256
本场景涉及的功能也适用于多个商用环境间的迁移。 提供在线签发设备证书能力 设备发放能提供在线签发设备证书能力,设备厂商无需加密管理设备的CA证书和设备证书,或者具备PKI证书颁发能力,通过设备发放在线签发设备证书,实现设备的安全认证。 具体使用示例参考MQTT 华为云证书注册组发放示例。 注册组极简接入 设
设备证书名称,CA证书选择云证书管理服务的CA证书接入需要填写该字段。此名称会也即设备证书使用者的CommanName device_cert_validity Integer 生成设备证书的有效期。CA证书选择云证书管理服务的CA证书可填写该字段。 最小值:1 最大值:10 device_cert_id String
file,CA Certificate File指定为物联网平台根证书(请先下载物联网平台的根证书,解压后,选择其中c或java目录下PEM后缀的文件)的本地路径。 完成以上步骤后,单击“Apply”和“OK”保存,并在配置文件框中选择刚才创建的文件名,单击“Connect”,当右上角
509证书认证且同时指定了认证设备的设备CA证书,当设备关联的设备CA证书与证书策略实例关联的证书为同一个证书时,即被认为该设备匹配上该条策略实例; 一个设备最多匹配一条证书策略实例;一个CA证书最多被一条证书策略关联。 操作步骤 进入“策略”界面,单击展开“证书策略”,单击“添加实例”。
subjectCnName String 证书使用者CN NAME。 caCertName String 证书名。 fingerprint String 证书指纹。 表9 DeviceCertPara 名称 类型 说明 subjectCnName String 证书使用者CN NAME。 issuerCnName
file,CA Certificate File指定为物联网平台根证书(请先下载物联网平台的根证书,解压后,选择其中c或java目录下PEM后缀的文件)的本地路径。 完成以上步骤后,单击“Apply”和“OK”保存,并在配置文件框中选择刚才创建的文件名,单击“Connect”,当右上角
exist 证书名已存在 请确认证书信息是否正确 400 IoTDP.100216 certificate parsing error 证书解析失败 请确认证书内容是否正确 400 IoTDP.100217 certificate already exists 证书已存在 请更换证书
相匹配,方能触发该静态策略。 设备引导 下载并修改华为SDK示例代码进行设备引导(这里以java sdk代码为示例)。 用IDEA/Eclipse打开SDK代码工程,修改DEMO示例BootstrapSample中的参数,其中deviceId和secret替换为步骤3中生成的设备
添加文件”,上传此前“制作CA证书”步骤中生成的“CA证书(rootCA.crt文件)”,单击“确定”。 图4 上传CA证书详情页 上传的CA证书初始状态为“未验证”,需要完成“验证CA证书”过程,方可正常使用该CA证书。 表3 证书状态表 CA证书状态 说明 已验证 可正常使用。
策略类型。目前支持静态策略(base),证书策略(certificates)和自定义策略(functions) 缺省值:functions certificate_id 否 String 证书id。使用第三方上传CA,证书ID为设备发放服务生成的证书id,使用云证书CA,证书ID为云证书服务生成的证书ID。 最小长度:0
设备出厂时预置设备发放平台地址,设备上电后,设备发放服务通过使用标准 X.509证书验证或者根据设备密钥验证设备的标识,把设备发放到对应的设备接入平台。 设备发放将设备接入平台连接信息返回给设备。 设备通过收到的设备接入平台连接信息连接到设备接入平台。
常见问题2:证书指纹是什么?如何获取?在业务中有何作用? 证书指纹 证书指纹,即证书哈希值,是用于标识较长公共密钥字节的短序列。通过使用哈希算法对证书内容进行计算获取指纹。 证书指纹通常使用sha1或sha256算法计算,算法不同,证书指纹的长度也不同。sha1算法得到40位长度
策略类型。目前支持静态策略(base),证书策略(certificates)和自定义策略(functions) 缺省值:functions certificate_id 否 String 证书id。使用第三方上传CA,证书ID为设备发放服务生成的证书id,使用云证书CA,证书ID为云证书服务生成的证书ID。 最小长度:0
设备 CA证书 CA证书(设备CA证书/客户端CA证书) 步骤5中,设备发放设备侧使用该CA证书验证来自设备的客户端证书。用户通过应用侧上传该证书到设备发放平台。 用户 通常为自签发 样例中各类证书常用文件名: 表2 证书 文件名 MQTT.fx中的字段名 服务端证书 - - 服务端CA证书
509双向证书认证 X.509证书双向认证过程,涉及到设备发放(平台)和设备两端,过程如下图所示。 图1 X.509双向证书认证 双向证书认证过程中使用到了如下几类证书: 表1 证书类型列表 证书 说明 证书及其私钥持有者 签发者 服务端证书 步骤2中,设备发放设备侧将该证书返回设备。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
