物联网平台支持使用数字证书进行设备接入认证。使用数字证书,需先向证书颁发机构申请CA证书,然后在物联网平台注册CA证书,最后将数字设备证书与设备身份相绑定。下面介绍如何在物联网平台注册CA证书和绑定设备证书。
前提条件
使用私有CA证书进行设备认证,需在创建产品时,选择认证方式为X.509证书,并在使用私有CA证书下选择是。
限制说明
- 仅MQTT协议直连的设备可使用私有CA证书。
- 目前仅华东2(上海)地域支持使用私有CA证书。
- 连网方式为LoRaWAN的产品不支持使用私有CA证书。
- 使用私有CA证书时,只支持RSA算法签名的设备证书。
- 一个阿里云账号最多可注册10个CA证书。
注册CA证书
- 在实例概览页,找到对应的实例,单击实例进入实例详情页。
- 在注册CA证书对话框中,输入证书名称,上传您的CA证书和验证证书,单击确认。
字段 说明 CA证书名称 支持中文汉字、英文字母、数字和下划线(_),长度限制4~30字符。 上传CA证书 上传您的CA证书。 CA证书文件仅支持
.cer、.crt和.pem格式。上传验证证书 上传使用CA证书对应的私钥创建的验证证书,用来证明您拥有该CA证书。 验证证书文件仅支持
.cer、.crt和.pem格式。下面以使用OpenSSL为例,介绍创建验证证书的操作步骤:
- 生成私钥验证证书的密钥对。
生成密钥对的命令如下:
openssl genrsa -out verificationCert.key 2048 - 使用注册CA证书对话框上方的注册码创建CSR。
创建CSR的命令如下:
openssl req -new -key verificationCert.key -out verificationCert.csr从注册CA证书对话框中复制注册码,并粘贴为
Common Name字段值。…… Common Name (e.g. server FQDN or YOUR name) []: c7cdfde6775c4b408b69d7e3c865f21bafe67937dc9a483ebbf7e6997b7b**** …… - 使用由CA证书私钥签名的CSR创建验证证书。
创建验证证书的命令如下:
openssl x509 -req -in verificationCert.csr -CA yourCA.cer -CAkey yourPrivateKey.key -CAcreateserial -out verificationCert.crt -days 300 -sha512
证书注册成功后,显示在CA证书管理页的CA证书列表中。
单击证书对应的查看,进入CA证书详情页,可查看证书信息和绑定设备证书。
- 生成私钥验证证书的密钥对。
获取设备证书SN
您需要为每个设备签发对应的设备证书,获取设备证书SN。
- 设备证书SN必须在同一颁发者下具有唯一性。
- 证书签发后,请记录设备证书SN。将物联网平台设备与您的设备证书相绑定时,需使用该信息。
签发设备证书需遵循以下要求:
| 设备证书 |
设备证书文件格式要求:
|
| 设备证书私钥 |
设备证书私钥格式要求:
|
绑定设备与设备证书SN
CA证书注册成功后,需在该CA证书下,将您已获得的设备证书SN和物联网平台上的设备身份信息(ProductKey和DeviceName)相绑定。
- 在CA证书详情页,单击。
配置设备接入物联网平台
开发使用第三方CA证书进行身份验证的设备端时,无需配置设备的ProductKey和DeviceName信息,只需配置CA证书主题和设备证书SN。设备上线时,物联网平台根据设备上报的CA证书主题和设备证书SN进行身份验证。身份验证通过,则向设备下发ProductKey和DeviceName。具体设备端配置方法,请参见设备端认证配置。
在文档使用中是否遇到以下问题
更多建议
匿名提交