1.前言
IoT物联网平台支持使用私有数字证书进行设备接入身份认证。使用私有数字证书,需要完成如下操作:
①在物联网平台注册CA证书,
②将数字设备证书与设备身份相绑定。
本文介绍如何在物联网平台注册私有CA证书并给设备绑定设备证书。
限制说明
- 仅MQTT协议直连的设备可使用私有CA证书。
- 目前仅华东2(上海)地域支持使用私有CA证书。
- 使用私有CA证书时,只支持RSA算法签名的设备证书。
- 一个阿里云账号最多可注册10个私有CA证书。
2.注册私有CA证书
2.1 制作私有CA证书
我们在Mac电脑上使用OpenSSL工具制作私有CA证书。
命令如下:
# 生成私有CA和key ,有效期10年
openssl req -new -x509 -days 3650 -keyout myIoTCARoot.key -out myIoTCARoot.crt
# 查看CA证书
openssl x509 -noout -text -in myIoTCARoot.crt 私有CA证书内容:
2.2 制作验证证书
当我们注册私有CA证书时,IoT物联网平台要求我们同时上传使用私有CA证书对应的私钥创建的验证证书,用来证明我们拥有该私有CA证书。
查看私有证书注册码
- 登录IoT物联网平台控制台。
- 在左侧导航栏,选择设备管理 > CA证书。
- 在CA证书管理页,单击注册CA证书。
- 在注册CA证书对话框中,获取注册码。
验证证书制作
我们同样以OpenSSL为例,制作验证证书,操作步骤如下:
- 生成验证证书Key
# 生成验证证书
openssl genrsa -out verificationCert.key 2048 - 生成验证证书CSR,其中Common Name 需填入IoT控制台获取的私有CA证书注册码
# 生成验证证书CSR
openssl req -new -key verificationCert.key -out verificationCert.csr
……
Common Name (e.g. server FQDN or YOUR name) []: *****7dc9a483ebbf7e6997b7b****
…… - 使用由私有CA证书私钥签名的CSR创建验证证书
# 用私有CA和key签发验证证书
openssl x509 -req -in verificationCert.csr -CA myIoTCARoot.crt -CAkey myIoTCARoot.key -CAcreateserial -out verificationCert.crt -days 300 -sha512
# 查看验证证书内容
openssl x509 -noout -text -in verificationCert.crt 查看验证证书:
2.3 上传并验证私有CA证书
当我们准备完成私有CA证书和对应验证证书,就可以在IoT物联网平台的控制台上传证书了。
上传证书页面如下:
验证通过后,在私有CA证书详情页面,可以查看证书信息,参考如下:
至此,我们完成了私有CA证书的制作和在IoT物联网平台的注册。后续,就可以用此CA证书来签发设备证书了。