操作场景
本文为您介绍证书管理功能的使用方法,帮助您快速使用私有化 CA 证书,对设备进行鉴权认证。
操作步骤
使用私有化证书,需先向证书颁发机构申请 CA 证书,然后在物联网通信平台上传 CA 证书。
证书上传
- 登录 物联网通信控制台,单击左侧导航【证书管理】,可查看当前平台上传的全部 CA 证书。
- 单击【新增证书】添加新 CA 证书,填入和上传证书相关信息。
- CA 证书名称:支持中文、“-”、英文大小写、数字、下划线、“@”、“(”、“)”的组合,长度不超过32个字符。
- 上传 CA 证书:证书颁发机构签发的 CA 证书,仅支持 cer、crt、pem 类型的文件。
- 证书验证码:用于生成验证证书。
- 上传验证证书:使用 CA 证书私钥和证书验证码,生成用于验证上传的 CA 证书正确性,仅支持 cer、crt、pem 类型的文件。
- 上传完成后,单击【保存】,添加成功的 CA 证书将显示在列表中。
说明:一个帐号最多可上传10个 CA 证书文件。
使用自定义 CA 证书认证
- 登录 物联网通信控制台,单击左侧导航【产品列表】>【创建新产品】按照实际情况填写以下信息。
- 地域:默认为“广州”。
- 产品类型:选择“普通产品”
- 产品名称:根据需求填写。支持中文、"-"、英文、数字、下划线、"@"、"("、")"、"/"、""、空格的组合,最多不超过40个字符。
- 认证方式:选择“证书认证”。
- CA 证书:选择您创建的 证书名称。
- 数据格式:
- JSON :支持根据数据进行规则匹配和内容提取。
- 自定义:不做任何数据解析。
- 单击【保存】即可创建完成 CA证书产品,创建成功的产品将出现在【产品列表】上。
- 在【产品列表】页面单击【产品名称】进入产品详情页。
- 单击【设备列表】>【添加新设备】进行设备证书上传。
- 单击【保存】即可完成设备创建。
- 单击【返回设备列表】>【产品设置】查看产品基本信息,下载设备端 CA 证书,并使用设备证书和私钥进行设备链接鉴权。
生成测试 CA
说明:此方法生成的 CA 证书仅用于测试,正式的 CA 证书请向证书颁发机构进行签发领取。
下面以使用 OpenSSL 为例,介绍生成测试 CA 的操作步骤:
- 准备 ca 配置文件,得到 ca.conf,内容如下:
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Tencent
localityName = Locality Name (eg, city)
localityName_default = Shenzhen
organizationName = Organization Name (eg, company)
organizationName_default = Tencent IoT
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = Tencent CA Test - 生成 ca 密钥,得到 ca.key,命令如下:
openssl genrsa -out ca.key 4096 - 生成 ca 证书签发请求,得到 ca.csr,命令如下:
openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf - 生成 ca 根证书,得到 ca.crt,命令如下:
openssl x509 -req -days 3650 -sha256 -extfile openssl.cnf -extensions v3_ca -in ca.csr -signkey ca.key -out ca.crt
验证证书生成
下面以使用 OpenSSL 为例,介绍生成验证证书的操作步骤:
- 生成验证证书的密钥对,命令如下:
openssl genrsa -out verificationCert.key 2048 - 使用【新增证书对话框】中的证书验码创建 CSR,命令如下:从【新增证书对话框】中复制“证书验证码”,并粘贴为 `Common Name` 字段值。
openssl req -new -key verificationCert.key -out verificationCert.csrCommon Name (e.g. server FQDN or YOUR name) []: 9f5cfb6ec0fcbdffd94473491bbb052e339e5b7beff4d7ed46420b697**** - 使用 CA 证书、私钥和第2步生的 CSR 文件,创建验证证书,命令如下:
openssl x509 -req -in verificationCert.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out verificationCert.crt -days 300 -sha512
其中,ca.crt 和 ca.key 是您在证书颁发机构申请的 CA 证书及其私钥文件。
签发设备证书和私钥
下面以使用 OpenSSL 为例,介绍使用 CA 证书签发设备端证书和私钥的操作步骤。
- 生成设备私钥,命令如下:
openssl genrsa -out dev_01.key 2048 - 创建 CSR,命令如下:`Common Name` 字段值为产品 ID+设备名,如下:
openssl req -new -key dev_01.key -out dev_01.csrCommon Name (e.g. server FQDN or YOUR name) []: U58***2YLJdev_01 - 使用 CA 证书、私钥和第2步生的 CSR 文件,创建设备证书,命令如下:
openssl x509 -req -in dev_01.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out dev_01.crt -days 3650 -sha512 -extfile openssl.cnf -extensions v3_req
其中,ca.crt 和 ca.key 是您在证书颁发机构申请的 CA 证书及其私钥文件。
是
否
本页内容是否解决了您的问题?