注册X.509证书认证的设备

限制说明

• 当前只有通过MQTT接入的设备支持使用X.509证书进行设备身份认证。
• 每个用户最多上传10个设备CA证书。

上传设备CA证书

1. 访问设备接入服务，单击“立即使用”进入设备接入控制台。
2. 选择“设备 > 设备CA证书”，单击右上角的“上传证书”。
   

   

   设备CA证书由设备厂商提供，调测时可自行制作调测证书，商用时建议更换为商用证书，否则会带来安全风险。

制作设备CA调测证书

本文以Windows环境为例，介绍通过Openssl工具制作调测证书的方法，生成的证书为PEM编码格式的证书，后缀为.cer。

1. 在浏览器中访问https://slproweb.com/products/Win32OpenSSL.html，下载并进行安装OpenSSL工具。
2. 以管理员身份运行cmd命令行窗口。
3. 执行cd c:\openssl\bin（请替换为openssl实际安装路径），进入openssl命令视图。
4. 执行以下命令生成生成密钥对。

   openssl genrsa -out rootCA.key 2048

5. 执行以下命令，使用密钥对中的私有密钥生成 CA 证书。

   openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

   系统提示您输入如下信息，所有参数可以自定义。

   • Country Name (2 letter code) [AU]：国家，如CN。

   • State or Province Name (full name) []: 省份，如GD。

   • Locality Name (for example, city) []:城市，如SZ。

   • Organization Name (for example, company) []：组织，如Huawei。

   • Organizational Unit Name (for example, section) []：组织单位，如IoT。

   • Common Name (e.g. server FQDN or YOUR name) []: 名称，如zhangsan。

   • Email Address []:邮箱地址，如1234567@163.com。

   在openssl安装目录的bin文件夹下，获取生成的CA证书（rootCA.pem）。

上传验证证书

如果上传的是调测证书，上传后证书状态显示为“未验证”，您需要上传验证证书，来证明您拥有该CA证书。

验证证书是由设备CA证书对应的私钥创建的，请参考如下操作制作验证证书。

预置X.509证书

在注册X.509设备之前，您需要在设备侧预置CA机构签发的X.509证书。

X.509证书由CA机构签发，若没有CA机构签发的商用证书，您可以自己制作X.509调测证书。

注册X.509证书认证的设备

1. 访问设备接入服务，单击“立即使用”进入设备接入控制台。
2. 在左侧导航栏，点击“ 设备 > 所有设备”，单击右上角“注册设备”，按照如下表格填写参数后，单击“确定”。

   

   参数名称	说明
   所属资源空间	选择设备所属的资源空间。
   所属产品	选择设备所属的产品。 只有在这里创建了产品，此处才可以选择具体的产品。如没有，请先创建产品。
   设备标识码	即nodeID，设备唯一物理标识，如IMEI、MAC地址等，用于设备在接入物联网平台时携带该标识信息完成接入鉴权。 原生MQTT设备：自定义，英文字母和数字的组合字符串。通过注册成功后生成的“设备ID”（与设备标识码一一对应）和“设备密钥”接入平台。 NB-IoT设备、集成SDK的设备：NB-IoT设备上的IMEI或MAC地址。设备通过注册时填写的“设备标识码”和“密钥”接入平台。
   设备名称	即device_name，可自定义。
   设备认证类型	X.509证书：设备使用X.509证书验证身份。
   指纹	当“设备认证类型”选择“X.509证书”时填写，导入设备侧预置的设备证书对应的指纹，在OpenSSL执行openssl x509 -fingerprint -sha256 -in deviceCert.pem命令可查询。注：填写时需要删除冒号。

相关API参考

• 获取设备CA证书列表
• 上传设备CA证书
• 删除设备CA证书
• 验证设备CA证书