tencent cloud

文档反馈

证书管理

最后更新时间:2022-09-26 12:02:48

    操作场景

    本文为您介绍证书管理功能的使用方法,帮助您快速使用私有化 CA 证书,对设备进行鉴权认证。

    操作步骤

    使用私有化证书,需先向证书颁发机构申请 CA 证书,然后在物联网通信平台上传 CA 证书。

    证书上传

    1. 登录 物联网通信控制台,单击左侧导航【证书管理】,可查看当前平台上传的全部 CA 证书。
    2. 单击【新增证书】添加新 CA 证书,填入和上传证书相关信息。

      • CA 证书名称:支持中文、“-”、英文大小写、数字、下划线、“@”、“(”、“)”的组合,长度不超过32个字符。
      • 上传 CA 证书:证书颁发机构签发的 CA 证书,仅支持 cer、crt、pem 类型的文件。
      • 证书验证码:用于生成验证证书。
      • 上传验证证书:使用 CA 证书私钥和证书验证码,生成用于验证上传的 CA 证书正确性,仅支持 cer、crt、pem 类型的文件。
    3. 上传完成后,单击【保存】,添加成功的 CA 证书将显示在列表中。
    说明:

    一个帐号最多可上传10个 CA 证书文件。

    使用自定义 CA 证书认证

    1. 登录 物联网通信控制台,单击左侧导航【产品列表】>【创建新产品】按照实际情况填写以下信息。

      • 地域:默认为“广州”。
      • 产品类型:选择“普通产品”
      • 产品名称:根据需求填写。支持中文、"-"、英文、数字、下划线、"@"、"("、")"、"/"、""、空格的组合,最多不超过40个字符。
      • 认证方式:选择“证书认证”。
      • CA 证书:选择您创建的 证书名称
      • 数据格式:
        • JSON :支持根据数据进行规则匹配和内容提取。
        • 自定义:不做任何数据解析。
    2. 单击【保存】即可创建完成 CA证书产品,创建成功的产品将出现在【产品列表】上。
    3. 在【产品列表】页面单击【产品名称】进入产品详情页。
    4. 单击【设备列表】>【添加新设备】进行设备证书上传。

    5. 单击【保存】即可完成设备创建。
    6. 单击【返回设备列表】>【产品设置】查看产品基本信息,下载设备端 CA 证书,并使用设备证书和私钥进行设备链接鉴权。

    生成测试 CA

    说明:

    此方法生成的 CA 证书仅用于测试,正式的 CA 证书请向证书颁发机构进行签发领取。

    下面以使用 OpenSSL 为例,介绍生成测试 CA 的操作步骤:

    1. 准备 ca 配置文件,得到 ca.conf,内容如下:
      [ req ]
      default_bits = 4096
      distinguished_name = req_distinguished_name

      [ req_distinguished_name ]
      countryName = Country Name (2 letter code)
      countryName_default = CN
      stateOrProvinceName = State or Province Name (full name)
      stateOrProvinceName_default = Tencent
      localityName = Locality Name (eg, city)
      localityName_default = Shenzhen
      organizationName = Organization Name (eg, company)
      organizationName_default = Tencent IoT
      commonName = Common Name (e.g. server FQDN or YOUR name)
      commonName_max = 64
      commonName_default = Tencent CA Test
    2. 生成 ca 密钥,得到 ca.key,命令如下:
      openssl genrsa -out ca.key 4096
    3. 生成 ca 证书签发请求,得到 ca.csr,命令如下:
      openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf
    4. 生成 ca 根证书,得到 ca.crt,命令如下:
      openssl x509 -req -days 3650 -sha256 -extfile openssl.cnf -extensions v3_ca -in ca.csr -signkey ca.key -out ca.crt

    验证证书生成

    下面以使用 OpenSSL 为例,介绍生成验证证书的操作步骤:

    1. 生成验证证书的密钥对,命令如下:
      openssl genrsa -out verificationCert.key 2048
    2. 使用【新增证书对话框】中的证书验码创建 CSR,命令如下:
      openssl req -new -key verificationCert.key -out verificationCert.csr
      从【新增证书对话框】中复制“证书验证码”,并粘贴为 `Common Name` 字段值。
      Common Name (e.g. server FQDN or YOUR name) []: 9f5cfb6ec0fcbdffd94473491bbb052e339e5b7beff4d7ed46420b697****
    3. 使用 CA 证书、私钥和第2步生的 CSR 文件,创建验证证书,命令如下:
      openssl x509 -req -in verificationCert.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out verificationCert.crt -days 300 -sha512

    其中,ca.crt 和 ca.key 是您在证书颁发机构申请的 CA 证书及其私钥文件。

    签发设备证书和私钥

    下面以使用 OpenSSL 为例,介绍使用 CA 证书签发设备端证书和私钥的操作步骤。

    1. 生成设备私钥,命令如下:
      openssl genrsa -out dev_01.key 2048
    2. 创建 CSR,命令如下:
      openssl req -new -key dev_01.key -out dev_01.csr
      `Common Name` 字段值为产品 ID+设备名,如下:
      Common Name (e.g. server FQDN or YOUR name) []: U58***2YLJdev_01
    3. 使用 CA 证书、私钥和第2步生的 CSR 文件,创建设备证书,命令如下:
      openssl x509 -req -in dev_01.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out dev_01.crt -days 3650 -sha512 -extfile openssl.cnf -extensions v3_req

    其中,ca.crt 和 ca.key 是您在证书颁发机构申请的 CA 证书及其私钥文件。

    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持