设备用私有CA签发的X.509证书接入IoT物联网平台——实践类

最新推荐文章于 2023-11-21 10:12:21 发布
最新推荐文章于 2023-11-21 10:12:21 发布
阅读量683 收藏 1
点赞数
分类专栏: 实践类 文章标签: 物联网 java 网络安全 小程序 iot
原文链接:https://developer.aliyun.com/article/765486?spm=a2c6h.13262185.profile.43.4be349fb7KKWIU
版权

1.创建产品和注册设备

1.1 创建产品(用私有CA认证)

  • 登录IoT物联网平台控制台
  • 在左侧导航栏,选择设备管理 > 产品
  • 在产品管理页,单击创建产品
  • 选择直连设备,认证方式选择X.509证书, 使用私有CA证书勾选


产品创建完成后,如下图:
 

注册设备

基于已创建的空气净化器产品,添加设备,输入设备deviceName。


注册完成后,设备处于未激活状态,其中X.509证书为空
 

制作设备证书

我们使用已经在IoT物联网平台注册的私有CA证书,来签发设备证书。
openssl的操作指令如下,其中CN可以填写deviceName。

# 生成pem的私有key
openssl genrsa -out device-1.key 2048
# 生成设备证书CSR
openssl req -new -key device-1.key -out device-1.csr -newkey -subj \
"/C=CN/ST=Shanghai/L=Shanghai/O=IoT/OU=iot/CN=dn3023842"
# -set_serial 指定序列号

# 用私有CA签发设备证书CRT
openssl x509 -req -in device-1.csr -CA myIoTCARoot.crt -CAkey myIoTCARoot.key -CAcreateserial -out device-1.crt -days 3650 -sha512
# 查看设备证书SN
openssl x509 -noout -text -in device-1.crt

证书生成后,我们可以查看设备证书的SN码。
 

绑定设备证书

绑定设备与设备证书

IoT物联网平台需要用户上传设备ProductKey,DeviceName和设备证书SN的映射关系的csv文件,内容格式如下:

ProductKey,DeviceName,CertSN
a15GiUoOzAL,dn032836,dd3dc180a02768d7


IoT物联网平台控制台证书详情页面,上传CSV文件,完成绑定。


绑定成功后,我们可以点击查看绑定结果:
 

设备激活

我们以Java设备为例,介绍设备以私有证书接入过程。

  • Java原生代码只能使用PKCS#8格式,我们需要用OpenSSL来进行转换,命令如下:
# 转换格式PKCS#8
openssl pkcs8 -topk8 -inform PEM -in device-1.key -out device-1_pkcs8.key -nocrypt

  • 使用TLS方式(securemode=2)将设备接入物联网平台,需使用物联网平台根证书。

请下载根证书,然后将根证书放置到resource目录下。

  • 使用iot_root.crt、设备证书、设备证书私钥来构造 SSLSocketFactory实例。
protected SSLSocketFactory createSSLSocket() throws Exception {

        // 物联网平台根证书,可以从官网文档中下载https://help.aliyun.com/document_detail/73742.html
        // 设备X.509证书,可以从控制台设备信息中下载。
        // 用来验证IoT平台的CA证书
        InputStream in = IotMqttClientWithAuthByX509.class.getResourceAsStream("/iot_root.crt");
        CertificateFactory cf = CertificateFactory.getInstance("X.509");
        Certificate ca = cf.generateCertificate(in);
        in.close();
        KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        keyStore.load(null, null);
        keyStore.setCertificateEntry("ca", ca);
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(keyStore);

        // 传入设备证书、证书证书私钥
        InputStream certIn = IotMqttClientWithAuthByX509.class.getResourceAsStream(certPath);
        CertificateFactory certCf = CertificateFactory.getInstance("X.509");
        Certificate certCa = certCf.generateCertificate(certIn);
        certIn.close();
        KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
        ks.load(null, null);
        ks.setCertificateEntry("certificate", certCa);
        
        PrivateKey privateKey = getPrivateKey(privateKeyPath);
        ks.setKeyEntry("private-key", privateKey, privateKeyPassword.toCharArray(), new Certificate[] { certCa });
        KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        kmf.init(ks, privateKeyPassword.toCharArray());
        
        // 构造socketFactory
        SSLContext context = SSLContext.getInstance("TLSV1.2");
        context.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
        SSLSocketFactory socketFactory = context.getSocketFactory();
        return socketFactory;
    }

  • 设备发起MQTT的CONNECT,此时username和password无需设置
// 接入域名
String broker = "ssl://x509.itls." + regionId + ".aliyuncs.com:1883";
// MQTT的clientId
String mqttClientId = System.currentTimeMillis()+"|securemode=2|";
MemoryPersistence persistence = new MemoryPersistence();
mqttClient = new MqttClient(serverURL, mqttClientId, persistence);
MqttConnectOptions connOpts = new MqttConnectOptions();
connOpts.setMqttVersion(4);// MQTT 3.1.1
// 使用TLS,需要下载根证书root.crt,mqttClientId中设置securemode=2。
connOpts.setSocketFactory(createSSLSocket()); 
connOpts.setCleanSession(false); 
connOpts.setAutomaticReconnect(true); 
connOpts.setKeepAliveInterval(300);
// 设置connect回调
mqttClient.setCallback(new MqttCallback() {

    @Override
    public void messageArrived(String topic, MqttMessage message) throws Exception {

        // 只处理X.509认证返回信息
        if ("/ext/auth/identity/response".equals(topic)) {
            JSONObject json = JSONObject.parseObject(new String(message.getPayload(), StandardCharsets.UTF_8));
            // 获取到设备的productKey和deviceName
            String productKey = json.getString("productKey");
            String deviceName = json.getString("deviceName");
        } else {
            // 处理其他下行消息,强烈建议另起线程处理,以免回调堵塞。
        }
    }

    @Override
    public void deliveryComplete(IMqttDeliveryToken token) {
    }

    @Override
    public void connectionLost(Throwable cause) {
    }
});

mqttClient.connect(connOpts);

设备启动,联网后,我们可以在IoT物联网平台控制台查看设备当前状态为在线,X.509证书栏为绑定设备证书的序列号,如下图。

【往期回顾】

1.自建MQTT集群迁移阿里云IoT平台
2.IoT时代:WiFi配网技术剖析
3.微信小程序和IoT智能家居实践
4.IoT云端通用数据解析脚本实践


物联网平台产品介绍详情:物联网平台_设备接入_设备管理_监控运维_数据分析-阿里云
 
阿里云物联网平台客户交流群

 

阿里云AIoT
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IoTSharp中使用X509加密MQTT通讯并实现设备鉴权
dotNET跨平台
12-05 472
IoTSharp支持MQTT协议通过 TLS 1.2 加密通讯, 并可以通过X509证书进行设备认证登录。基本配置在 appsettings.Production.json中需要 指定域名, 并设置EnableTls为true"MqttBroker": { "DomainName":"http://demo.iotsharp.net:2927/", ...
阿里物联网平台设备证书烧录SDK
hhyukJae的博客
07-08 912
(1)根据阿里云的提示下载相应的SDK https://help.aliyun.com/document_detail/42648.html (2)在SDK Demo中wrappers/os/ubuntu目录下HAL_OS_linux.c文件中,修改设备证书信息为您的设备证书信息 (3)编译SDK。在SDK根目录中,执行make reconfig,并选择3 (4)输入make (5)输入: ./output/release/bin/linkkit-example-solo (5)物联网平台显示设备
如何在IoT物联网平台注册私有CA证书,来实现X.509方式设备身份认证?——实践
AIoT2688的博客
02-28 709
简介: 私有CA证书制作和验证
Thingsboard采用安全证书x509进行设备连接和数据发送
qq_27104889的博客
12-30 596
IOT thingsboard ssl 安全证书
Apache CXF实战之九 发布使用SSL的Web Service
liming495的专栏
04-11 158
在使用Web Service的时候,在很多情况下会要求我们发布ssl的web service,此时如果web service是作为一个war包部署在tomcat之的web容器中的时候,我们可以通过修改tomcat的配置来比较容易的部署发布成ssl的web service的,当对于独立运行的程序来书,此时发布web service是需要一些操作的,下面看看在CXF中怎样发布并调用SSL的Web...
IOT.zh.rar_iot_物联网_物联网平台_百度天工_百度天工物接入说明
09-20
百度天工物联网云平台功能说明文档,基于mqtt可以实现快速设备接入
IOT物联网平台接入demo.zip
最新发布
04-21
物联网(Internet of Things,缩写IoT)起源于传媒领域,是信息科技产业的第三次革命。它通过信息传感设备,按约定的协议,将任何物体与网络相连接,物体通过信息传播媒介进行信息交换和通信,以实现智能化识别、...
Arduino平台NodeMCU(esp8266)接入阿里云IoT物联网平台,使用DHT11采集环境数据.zip
12-28
Arduino平台NodeMCU(esp8266)接入阿里云IoT物联网平台,使用DHT11采集环境数据 Arduino平台NodeMCU(esp8266)接入阿里云IoT物联网平台,使用DHT11采集环境数据 Arduino平台NodeMCU(esp8266)接入阿里云IoT物联网平台,...
Android studio版阿里云物联网平台设备接入源代码(简单易懂)
09-01
本例给出了最基本的设备接入、订阅、发布三个功能的示例。设备接入给出了旧版公共实例(新版的可以在此基础上改动)和企业实例两种方式;订阅功能还给出来数据解析,可以从payload解析出物模型的每一项数据显示在...
【精品】搭载NB-IOT物联网技术——推动水务信息化从智能化向智慧化转变.zip
04-14
【精品】搭载NB-IOT物联网技术——推动水务信息化从智能化向智慧化转变.zip
基于X.509证书和SSL协议的身份认证过程实现
weixin_34217773的博客
11-23 137
上周帮一个童鞋做一个数字认证的实验,要求是编程实现一个基于X.509证书认证的过程,唉!可怜我那点薄弱的计算机网络安全的知识啊!只得恶补一下了。 首先来看看什么是X.509。所谓X.509其实是一种非常通用的证书,什么是证书?唉!这么说吧!当两个人需要进行远程通信而又不想让第三个人知道时就必须建立一种安全措施,因为看不到对方的脸,又不能通过电话直接询问对方,就得想点别的办法...
java使用https实现单向客户端认证服务端,x.509证书
a62929367的博客
07-20 3374
java使用https实现单向客户端认证服务端,x.509证书
Java解析证书并获得证书相关信息
weixin_45541399的博客
11-21 476
Java解析证书并获得证书相关信息
MQTT创建安全的连接
01-29 1779
mqtt是一个轻量的消息订阅/发布协议。公司项目中 MQTT 服务器使用了免费的 emq x broker,https://www.emqx.cn/products/broker。不需要任何开发,安装即可。 android端使用mqtt的库org.eclipse.paho.client.mqttv3-1.2.0.jar。 使用库创建mqtt连接的代码如下: MyMqttClient.java import java.io.BufferedReader; import java.io.IOEx...
基于SSL/TLS双向安全连接设备CA证书认证
编程识堂的博客
12-05 4594
SSL/TLS 安全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中很常见的一种身份检查方式是检查对方持有的 X.509 数字证书。这样的数字证书通常是由一个受信机构颁发的,不可伪造。 **保证机密性。**TLS 通讯的每次会话都会由会话密钥加密,会话密钥由通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露,并不影响其他会话的安全性。 完整性。 加密通讯中的数据很难被篡改而不被发现。 SSL/TLS 协议 TLS/SSL 协议下的通讯过程分为两部
服务器安装MQTT服务器并启用websockets,配置SSL
qwe1314225的博客
04-16 6559
背景 最近接触物联网,感觉太有意思了,打算弄个用手机控制的遥控小车, 手机与小车之前通讯采用MQTT,服务器就需要安装mosquitto,于是就有了这篇文章,期间经历了不为人知的心酸与苦楚,早上起来,到晚上6点才整成功,记录一下中间过程。 环境 linux centos7.4 1. 直接安装mosquitto 需要提前准备一下基础环境 cmake用来编译代码,经常用 yum install gcc-c++ yum install cmake yum install openssl-devel 创建一个
基于自签名的X.509数字证书生成及验证
热门推荐
kmyhy的专栏
05-13 1万+
数字证书用于标志网络用户身份,在Web应用中,数字证书的应用十分广泛,如:安全电子邮件、访问安全站点、安全电子事务处理和安全电子交易等。 数字证书的格式一般采用X.509国际标准。目前,数字证书认证中心主要签发安全电子邮件证书、个人和企业身份证书、服务器证书以及代码签名证书等几种证书。 数字证书证书机构签发证书机构通常需经权威认证机构注册认证。在企业应用中,也常用企业自身作为发证机构(未经过认证)签发数字证书证书的使用范围也常是企业内部,这样的证书就是所谓的“自签名”的
JAVA读取X.509格式的cer公钥文件信息
jerry_guangguangyu的博客
07-10 3628
读取cer文件信息(1) x.509格式标准(2)代码片段(3)结果展示 (1) x.509格式标准 版本号 序列号 签名算法 颁发者 证书有效期 开始日期 终止日期 主题 主题公钥信息 公钥算法 主体公钥 颁发者唯一身份信息(可选) 主题唯一身份信息(可选) 扩展信息(可选) (2)代码片段 import java.io.F...
android中进行https连接的方式
Frank的专栏
04-25 4486
转载地址:点击打开链接 如果不需要验证服务器端证书,直接照这里做 public class Demo extends Activity { /** Called when the activity is first created. */ private TextView text; @Override p
iot物联网平台源码
12-13
IoT物联网平台源码是一种用于构建和管理物联网设备的软件代码。它包含了用于连接、通信和控制物联网设备的必要功能和模块。这些代码可以用于开发和定制各种各样的物联网应用程序,包括智能家居、智能城市、工业自动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值