如何在 IoT 物联网平台注册私有 CA 证书，来实现 X.509 方式设备身份认证？——实践类

1.前言

IoT 物联网平台支持使用私有数字证书进行设备接入身份认证。使用私有数字证书，需要完成如下操作：①在物联网平台注册 CA 证书，②将数字设备证书与设备身份相绑定。

本文介绍如何在物联网平台注册私有 CA 证书并给设备绑定设备证书。

限制说明

• 仅 MQTT 协议直连的设备可使用私有 CA 证书。

• 目前仅华东 2（上海）地域支持使用私有 CA 证书。

• 使用私有 CA 证书时，只支持 RSA 算法签名的设备证书。

• 一个阿里云账号最多可注册 10 个私有 CA 证书。

2.注册私有 CA 证书

2.1 制作私有 CA 证书

我们在 Mac 电脑上使用 OpenSSL 工具制作私有 CA 证书。命令如下：

# 生成私有CA和key ，有效期10年openssl req -new -x509 -days 3650 -keyout myIoTCARoot.key -out myIoTCARoot.crt# 查看CA证书openssl x509 -noout -text -in myIoTCARoot.crt

私有 CA 证书内容：

image.png

2.2 制作验证证书

当我们注册私有 CA 证书时，IoT 物联网平台要求我们同时上传使用私有 CA 证书对应的私钥创建的验证证书，用来证明我们拥有该私有 CA 证书。

查看私有证书注册码

• 登录 IoT 物联网平台控制台。

• 在左侧导航栏，选择设备管理 > CA 证书。

• 在 CA 证书管理页，单击注册 CA 证书。

• 在注册 CA 证书对话框中，获取注册码。

image.png

验证证书制作

我们同样以 OpenSSL 为例，制作验证证书，操作步骤如下：

• 生成验证证书 Key

# 生成验证证书openssl genrsa -out verificationCert.key 2048

• 生成验证证书 CSR，其中 Common Name 需填入 IoT 控制台获取的私有 CA 证书注册码

# 生成验证证书CSRopenssl req -new -key verificationCert.key -out verificationCert.csr……Common Name (e.g. server FQDN or YOUR name) []: *****7dc9a483ebbf7e6997b7b****……

• 使用由私有 CA 证书私钥签名的 CSR 创建验证证书

# 用私有CA和key签发验证证书openssl x509 -req -in verificationCert.csr -CA myIoTCARoot.crt -CAkey myIoTCARoot.key -CAcreateserial -out verificationCert.crt -days 300 -sha512# 查看验证证书内容openssl x509 -noout -text -in verificationCert.crt

查看验证证书：

image.png

2.3 上传并验证私有 CA 证书

当我们准备完成私有 CA 证书和对应验证证书，就可以在 IoT 物联网平台的控制台上传证书了。上传证书页面如下：

image.png

验证通过后，在私有 CA 证书详情页面，可以查看证书信息，参考如下：

image.png

至此，我们完成了私有 CA 证书的制作和在 IoT 物联网平台的注册。后续，就可以用此 CA 证书来签发设备证书了。

【往期回顾】

1.自建MQTT集群迁移阿里云IoT平台

2.IoT时代：WiFi配网技术剖析

3.微信小程序和IoT智能家居实践

4.IoT云端通用数据解析脚本实践

物联网平台产品介绍详情：https://www.aliyun.com/product/iot/iot_instc_public_cn

阿里云物联网平台客户交流群