更新时间:2024-10-18 GMT+08:00
边缘Edge设备的证书制作
准备工作
- 环境确认。
准备一台linux主机(ATLAS或者ITS800),并确保安装了openssl1.1以上版本,输入“openssl version”可以看到下图的输出。如果没有openssl,请安装。
- 新建openssl配置文件。
新建openssl_ca.cnf文件,生成根证书时需要使用。文件内容如下:
[req] default_bits = 2048 distinguished_name = v2xedge prompt = no [v2xedge] countryName = cn stateOrProvinceName = guangdong localityName = shenzhen organizationName = huawei commonName = www.huawei.com [v3_ca] # 作为根证书,必须携带12行内容且CA必须为true,表示证书格式 basicConstraints = critical,CA:true # keyCertSign必填,表示后续用作签发身份证书 keyUsage = keyCertSign,cRLSign
新建openssl_server.cnf,生成身份证书需要使用。文件内容如下:
[req] default_bits = 2048 distinguished_name = v2xedge prompt = no [v2xedge] countryName = cn stateOrProvinceName = guangdong localityName = shenzhen organizationName = huawei commonName = www.huawei.com [v3_req] subjectAltName = @alt_names [alt_names] IP.1 = 192.168.1.1 IP.2 = 192.168.1.2 IP.3 = 192.168.1.3
身份证书的IP为实际项目中atlas的主机IP,多个依次按照IP.1、IP.2 ...填写。
制作证书
- 生成根证书的私钥CAPrivate.key(可自行命名)。
openssl genrsa -out CAPrivate.key 2048
- 根据根证书的私钥生成根证书。
openssl req -new -x509 -days 3650 -key CAPrivate.key -extensions v3_ca -out CA.pem -config openssl_ca.cnf
-days 3650 表示证书的有效天数,按实际情况填写。
-key 指定生成根证书的私钥,根证书的私钥为2.1生成的私钥。
-out 输出的根证书的名称。
-config 指定当前证书使用的openssl的配置文件。
根证书会用来验证身份证书,因此根证书生成以后需提供给SNE。
- 生成身份证书的私钥。
openssl genrsa -out private.key 2048
- 生成身份证书的csr文件。
openssl req -new -key private.key -out server.csr -config openssl_server.cnf
-key 指定使用的私钥,私钥文件为上一步生成的身份证书的私钥。
-out 为指定输出的csr文件名,下一步生成身份证书会用到。
-config 指定本次openssl使用的的配置文件。
身份证书的私钥制作完成以后,在注册和修改Edge时上传到私钥。请参考注册边缘Edge。
- 生成身份证书。
openssl x509 -req -days 3650 -in server.csr -extfile openssl_server.cnf -CA CA.pem -CAkey CAPrivate.key -CAcreateserial -out server.pem -extensions v3_req
-days 3650 表示证书的有效天数,按实际情况填写。
-in 指定csr文件。
-CA 指定使用的根证书。
-CAKey 指定使用的根证书的私钥。
-out 指定输出的身份证书。
-extensions 指定扩展信息为openssl_server的v3_req。
身份证书制作完成以后,在注册和修改Edge时上传到ssl证书。请参考注册边缘Edge。
- 验证证书。
openssl x509 -in server.pem -text -noout
父主题: 附录
