如何在IoT物联网平台注册私有CA证书,来实现X.509方式设备身份认证?-阿里云开发者社区

开发者社区> 阿里云物联网> 正文

如何在IoT物联网平台注册私有CA证书,来实现X.509方式设备身份认证?

简介: 私有CA证书制作和验证

1.前言

IoT物联网平台支持使用私有数字证书进行设备接入身份认证。使用私有数字证书,需要完成如下操作:
①在物联网平台注册CA证书,
②将数字设备证书与设备身份相绑定。

本文介绍如何在物联网平台注册私有CA证书并给设备绑定设备证书。

限制说明

  • MQTT协议直连的设备可使用私有CA证书。
  • 目前仅华东2(上海)地域支持使用私有CA证书。
  • 使用私有CA证书时,只支持RSA算法签名的设备证书。
  • 一个阿里云账号最多可注册10个私有CA证书

2.注册私有CA证书

2.1 制作私有CA证书

我们在Mac电脑上使用OpenSSL工具制作私有CA证书。
命令如下:

# 生成私有CA和key ,有效期10年
openssl req -new -x509 -days 3650 -keyout myIoTCARoot.key -out myIoTCARoot.crt
# 查看CA证书
openssl x509 -noout -text -in myIoTCARoot.crt

私有CA证书内容:
image.png

2.2 制作验证证书

当我们注册私有CA证书时,IoT物联网平台要求我们同时上传使用私有CA证书对应的私钥创建的验证证书,用来证明我们拥有该私有CA证书。

查看私有证书注册码

  • 登录IoT物联网平台控制台。
  • 在左侧导航栏,选择设备管理 > CA证书
  • 在CA证书管理页,单击注册CA证书
  • 在注册CA证书对话框中,获取注册码

image.png

验证证书制作

我们同样以OpenSSL为例,制作验证证书,操作步骤如下:

  • 生成验证证书Key
# 生成验证证书
openssl genrsa -out verificationCert.key 2048
  • 生成验证证书CSR,其中Common Name 需填入IoT控制台获取的私有CA证书注册码
# 生成验证证书CSR
openssl req -new -key verificationCert.key -out verificationCert.csr
……
Common Name (e.g. server FQDN or YOUR name) []: *****7dc9a483ebbf7e6997b7b****
……
  • 使用由私有CA证书私钥签名的CSR创建验证证书
# 用私有CA和key签发验证证书
openssl x509 -req -in verificationCert.csr -CA myIoTCARoot.crt -CAkey myIoTCARoot.key -CAcreateserial -out verificationCert.crt -days 300 -sha512
# 查看验证证书内容
openssl x509 -noout -text -in verificationCert.crt

查看验证证书:
image.png

2.3 上传并验证私有CA证书

当我们准备完成私有CA证书和对应验证证书,就可以在IoT物联网平台的控制台上传证书了。
上传证书页面如下:

image.png

验证通过后,在私有CA证书详情页面,可以查看证书信息,参考如下:
image.png
至此,我们完成了私有CA证书的制作和在IoT物联网平台的注册。后续,就可以用此CA证书来签发设备证书了。

【往期回顾】

1.自建MQTT集群迁移阿里云IoT平台
2.IoT时代:WiFi配网技术剖析
3.微信小程序和IoT智能家居实践
4.IoT云端通用数据解析脚本实践

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
阿里云物联网
使用钉钉扫一扫加入圈子
+ 订阅

致力于实现万物互联的美好世界,为生态合作伙伴提供基于云计算、大数据、人工智能、云端一体化、安全的物联网基础平台和内容服务平台。

官方博客
物联网相关产品售前咨询
开发者交流群