- 最新动态
- 功能总览
- 服务公告
- 计费说明
- 产品介绍
- 快速入门
- 用户指南
- 最佳实践
- 开发指南
-
API参考
- 应用侧API参考
- 设备侧MQTT/MQTTS接口参考
- 设备侧HTTPS接口参考
- 设备侧LwM2M接口参考
- 安全隧道WebSocket接口参考
- 模组AT指令参考
- 修订记录
- SDK参考
- 场景代码示例
-
常见问题
- 热门问题
-
方案咨询
- 连接IoT平台的业务场景有哪些?
- 设备管理服务和设备接入服务合一后的差异点是什么?
- IAM子用户或子项目是否可以开通物联网平台服务?
- 物联网平台支持在华为云的哪些区域开通?
- 华为是否提供模组/硬件终端/应用软件等?
- IAM用户访问API提示没有权限?(是否区分版本?)
- 创建规则或者设置资源文件存储时候提示赋予Security Administrator权限
- 物联网平台设置默认资源空间的规则是什么?
- 设备接入服务如何获取设备数据?
- 物联网平台的资源空间和设备可以无限创建吗?
- 物联网平台支持批量注册设备吗?
- 物联网平台对应用侧和设备侧在开发或使用时有限制吗?
- 物联网平台支持的DTLS加密算法有哪些?
- 物联网平台支持二进制大小端模式切换吗?
- 什么是NB-IoT?
- 物联网平台支持的硬件架构和使用的相关组件有哪些?
- 如何获取平台接入地址?
- 设备集成相关问题
- 设备侧SDK相关问题
- 设备发放相关问题
- LWM2M/CoAP接入相关问题
- MQTT接入相关问题
- 泛协议接入相关问题
- 物模型相关问题
- 消息通信相关问题
- 订阅推送相关问题
- 编解码插件相关问题
- OTA升级相关问题
- 应用集成相关问题
- 实例管理相关问题
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
注册X.509证书认证的设备
X.509是一种用于通信实体鉴别的数字证书,物联网平台支持设备使用自己的X.509证书进行认证鉴权。使用X.509认证技术时,设备无法被仿冒,避免了密钥被泄露的风险。
注册X.509证书认证的设备前,您需要先在物联网平台上传设备的CA证书,然后在注册设备时将设备证书同设备进行绑定。本文介绍如何在物联网平台上传设备CA证书,以及注册X.509证书认证的设备。
限制说明
- 当前只有通过MQTT接入的设备支持使用X.509证书进行设备身份认证。
- 每个用户最多上传100个设备CA证书。
上传设备CA证书
- 访问设备接入服务,单击“管理控制台”进入设备接入控制台。选择您的实例,单击实例卡片进入。
- 在左侧导航栏选择“设备 > 设备证书”,进入“设备CA证书”页签,单击“上传证书”。
- 在弹出的对话框中,单击“添加文件”,然后单击“确定”。
图1 设备CA证书-上传证书
制作设备CA调测证书
本文以Windows环境为例,介绍通过Openssl工具制作调测证书的方法,生成的证书为PEM编码格式的证书。
- 在浏览器中访问这里,下载并进行安装OpenSSL工具。
- 以管理员身份运行cmd命令行窗口。
- 执行cd c:\openssl\bin(请替换为openssl实际安装路径),进入openssl命令视图。
- 执行以下命令生成生成密钥对。
openssl genrsa -out rootCA.key 2048
- 执行以下命令,使用密钥对中的私有密钥生成 CA 证书。
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem
系统提示您输入如下信息,所有参数可以自定义。
-
Organizational Unit Name (for example, section) []:组织单位,如IoT。
-
Common Name (e.g. server FQDN or YOUR name) []: 名称,如zhangsan。
在openssl安装目录的bin文件夹下,获取生成的CA证书(rootCA.pem)。
上传验证证书
如果上传的是调测证书,上传后证书状态显示为“未验证”,您需要上传验证证书,来证明您拥有该CA证书。
验证证书是由设备CA证书对应的私钥创建的,请参考如下操作制作验证证书。
- 执行如下命令为私有密钥验证证书生成密钥对。
openssl genrsa -out verificationCert.key 2048
- 执行如下命令为私有密钥验证证书创建CSR(Certificate Signing Request)。
openssl req -new -key verificationCert.key -out verificationCert.csr
系统提示您输入如下信息,Common Name填写为验证证书的验证码,其他参数自定义。
-
Organizational Unit Name (for example, section) []:组织单位,如IoT。
-
Common Name (e.g. server FQDN or YOUR name) []:验证证书的验证码,请参考步骤5获取 。
- Password[]:密码,如1234321。
- Optional Company Name[]:公司名称,如Huawei。
- 执行以下命令使用CSR创建私有密钥验证证书。
openssl x509 -req -in verificationCert.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out verificationCert.pem -days 500 -sha256
在openssl安装目录的bin文件夹下,获取生成的验证证书(verificationCert.pem)。
- 选择对应证书,单击
然后单击“上传验证证书”。
图3 设备CA证书-验证证书
- 在弹出的对话框中已显示验证码,只需单击“添加文件”,上传验证证书后单击“确定”,上传后证书状态变为“已验证”,表明您拥有该CA证书。
图4 设备CA证书-上传验证证书
删除设备CA证书
针对不再使用的设备CA证书,您可以单击右侧的“删除”按钮进行删除。
说明:
删除服务设备CA证书后,使用此证书进行鉴权的设备将无法接入平台,在删除前请确保已经完成了备份,并谨慎操作。
预置X.509证书
在注册X.509设备之前,您需要在设备侧预置CA机构签发的X.509证书。
制作X.509调测证书
- 以管理员身份运行cmd命令行窗口,执行cd c:\openssl\bin(请替换为openssl实际安装路径),进入openssl命令视图。
- 执行如下命令生成密钥对。
openssl genrsa -out deviceCert.key 2048
- 执行如下命令为设备证书创建CSR(Certificate Signing Request)。
openssl req -new -key deviceCert.key -out deviceCert.csr
系统提示您输入如下信息,所有参数可以自定义。
- 执行以下命令使用CSR创建设备证书。
openssl x509 -req -in deviceCert.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out deviceCert.pem -days 500 -sha256
在openssl安装目录的bin文件夹下,获取生成的设备证书(deviceCert.pem)。
注册X.509证书认证的设备
- 访问设备接入服务,单击“管理控制台”进入设备接入控制台。选择您的实例,单击实例卡片进入。
- 在左侧导航栏选择“ 设备 > 所有设备”,单击“注册设备”,按照如下表格填写参数后,单击“确定”。
图6 设备-注册X.509设备
表1 注册X.509设备 参数名称
说明
所属资源空间
选择设备所属的资源空间。
所属产品
选择设备所属的产品。
只有在这里创建了产品,此处才可以选择具体的产品。如没有,请先创建产品。
设备标识码
即node_id,填写为设备的IMEI、MAC地址或Serial No;若没有真实设备,填写自定义字符串,由英文字母、数字、连接号-和下划线_组成。
设备ID
设备ID,用于唯一标识一个设备。如果携带该参数,平台将设备ID设置为该参数值;如果不携带该参数,设备ID由物联网平台分配获得,生成规则为product_id + _ + node_id拼接而成。
设备名称
即device_name,可自定义。
设备描述
设备的描述信息,可自定义。
设备认证类型
X.509证书:设备使用X.509证书验证身份。
指纹
当“设备认证类型”选择“X.509证书”时填写,导入设备侧预置的设备证书对应的指纹,在OpenSSL执行openssl x509 -fingerprint -sha256 -in deviceCert.pem命令可查询。注:填写时需要删除冒号。
