检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
3-32位长度英文或数字, 用于认证签名,平台推送数据到客户服务器时,将会使用Token进行签名并将签名信息组装到头域中进行推送。 证书ID 仅推送Https服务器有效,作为Truststore证书,用于客户端校验服务端合规商用证书,如自签名证书、证书链不完整证书等不合规证书该配置不可用。 证书域名 启用
number:序列号 制作设备证书,参考 X.509证书认证的设备,上传CA证书到平台并通过验证,绑定2所创建的“自注册模板”并且“开启自注册能力”。 图3 设备CA证书-绑定模板 注册设备所在的资源空间即为设备CA证书所在资源空间,请确保CA证书与模板中的产品ID在同一个资源空间下。
在证书管理服务创建根CA证书 根据云证书管理服务的指导说明,在云证书管理服务控制台创建根CA证书。 添加自定义策略 图1 添加自定义策略 新增注册组 图2 新增注册组 图3 添加云证书自定义策略注册组 创建并下载设备证书 图4 创建云证书注册组设备证书 图5 创建云证书注册组设备证书详情
获取到的对端证书为含有两个证书的证书链,证书链中: 第0个证书为标识平台身份的平台证书, 第1个证书为签发平台证书的中级CA。 设备验证平台身份时,需要使用中级CA的颁发者验证该证书链。 您需要查看设备端填写的平台侧根CA的使用者信息与上述中级CA的颁发者信息是否一致。若一致,则更进一步地,需要将命令行窗
nnect消息接口和平台建立MQTT连接时,需要使用服务端CA证书验证服务端证书。服务端CA证书单击huaweicloud-iot-root-ca-list获取证书文件压缩包。 根据您使用的工具或语言取用压缩包内的证书文件: IoT Device SDK(C/C#)、MQTT.f
201 表4 响应Body参数 参数 参数类型 描述 access_key String 接入名,随机生成8位字符串 access_code String 接入凭证。 请求示例 生成接入凭证,接入凭证类型为amqp。 POST https://{endpoint}/v5/iot/{
效。 签名认证 是 启动签名认证后,不满足签名要求的鉴权信息将被拒绝,以减少无效的函数调用,默认为开启。 token值 否 签名校验的token值,开启签名校验时使用,用于认证设备携带的签名信息是否正确。 公钥 否 签名校验的公钥,开启签名校验时使用,用于认证设备携带的签名信息是否正确。
图3 实例管理-配置接入域名 您可以根据业务情况单击进入更新证书页面,配置自定义的服务器证书。自签名证书存在安全隐患,建议使用云证书管理服务购买证书、或购买其他权威机构颁发的证书。证书更新后可以通过浏览器访问公网地址或第三方工具校验证书是否更新成功。 图4 实例管理-更新证书 在支持
步骤4中,设备将该证书发送给设备发放设备侧。 设备 CA证书 CA证书(设备CA证书/客户端CA证书) 步骤5中,设备发放设备侧使用该CA证书验证来自设备的客户端证书。用户通过应用侧上传该证书到设备发放平台。 用户 通常为自签发 样例中各类证书常用文件名: 表2 证书常用文件名 证书 文件名
生成密钥对(rootCA.key): 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”,“验证证书”以及“设备证书”时需要用到,请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件: 生成证书签名请求文件时,要
token 否 String 参数说明:用作生成签名的Token,客户端可以使用该token按照规则生成签名并与推送消息中携带的签名做对比, 从而验证安全性。取值范围: 长度不超过32, 不小于3, 只允许字母、数字的组合。请参见HTTP/HTTPS推送基于Token认证物联网平台
自定义模板示例 示例1 证书认证设备,不限制UserName与ClientId参数取值,从设备证书通用名称(Common Name)中取值设备ID。 表1 鉴权参数 参数 说明 Client ID 任意值 User Name 任意值 Password 空值 鉴权模板: { "template_name":
该指令用于设置服务器或者客户端证书。 指令 参数 参数缺省处理 AT响应结果 使用示例 AT+HMPKS =type, para1,[para2] type=0,表示平台证书,证书在para1中。 type=1,表示设备公钥证书,证书在para1中。 type=2,表示设备私钥证书,证书在para1中,密码在para2中。
图2 总览-获取接入信息 进行MQTT连接的时候,是否需要服务端CA证书验证? 使用TLS进行MQTT接入,需要加载服务端CA证书。参考设备侧demo MQTTS接入中证书的使用方式,或访问资源获取下载平台的CA证书。 如何排查设备鉴权失败问题? 检查是否网络问题。使用常用的网络检
token String 参数说明:用作生成签名的Token,客户端可以使用该token按照规则生成签名并与推送消息中携带的签名做对比, 从而验证安全性。取值范围: 长度不超过32, 不小于3, 只允许字母、数字的组合。请参见HTTP/HTTPS推送基于Token认证物联网平台
和Password 参数参考MQTT CONNECT连接鉴权参数说明。 选择开启 SSL/TLS,勾选CA Certificate file,CA Certificate File指定为物联网平台根证书(请先下载物联网平台的根证书,解压后,选择其中c或java目录下PEM后缀的文件)的本地路径。
填写数据库实例的密码。 SSL 选择是否通过SSL加密方式连接数据库。推荐使用SSL方式连接,不开启SSL方式连接可能存在数据传输安全风险。选择通过SSL方式连接时,需要先在数据库实例中设置SSL数据加密。 证书ID Truststore证书,用于客户端校验服务端证书。不填默认使用云数据库
token String 参数说明:用作生成签名的Token,客户端可以使用该token按照规则生成签名并与推送消息中携带的签名做对比, 从而验证安全性。取值范围: 长度不超过32, 不小于3, 只允许字母、数字的组合。请参见HTTP/HTTPS推送基于Token认证物联网平台
使用证书策略,带您快速体验设备批量自注册场景,并成功发放到指定的设备接入区域(本文以“华南-广州-友好用户环境”为例)。 整体流程 图1 整体流程图 如上图所示,用户可以在设备发放里设置证书策略,不同的证书策略可以将设备发放到不同的设备接入服务实例中,当设备携带了对应证书并成功
type String。 可能原因 AKSK签名算法与对应集群支持的签名算法不匹配导致 解决方法 访问IoTDA北京四基础版接入地址时,使用的是通用的AKSK签名算法。 访问IoTDA标准版或者企业版的接入地址时,使用的是衍生的AKSK签名算法,需要明确指定使用衍生算法,详情可参考集成应用侧SDK的注释说明。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
