tencent cloud

物联网通信

动态与公告
产品动态
产品简介
产品概述
产品功能
产品优势
应用场景
产品限制
基本概念
快速入门
快速开始
场景一:设备互通
场景二:设备状态上报与状态设置
MQTT.fx接入指南
控制台使用手册
产品管理
规则引擎
子账号访问IoT
固件升级
资源管理
证书管理
开发者手册
功能组件
签名方法
设备身份认证
设备接入协议
网关子设备
消息通信
设备影子
设备固件升级
设备远程配置
资源管理
设备日志上报
NTP服务
设备端接入手册
设备接入概述
基于C SDK接入
基于 Android SDK 接入
基于 Java SDK 接入
基于 Python SDK 接入
API 文档
History
Introduction
API Category
Making API Requests
Device Shadow APIs
Device APIs
CA Certificate APIs
Product APIs
Data Types
Error Codes
常见问题
一般性问题
设备接入和上报问题
规则引擎问题
控制台相关问题
IoT Hub 政策
隐私协议
数据处理和安全协议
词汇表
文档物联网通信控制台使用手册证书管理

证书管理

PDF
聚焦模式
字号
最后更新时间: 2025-08-14 15:33:07

操作场景

本文为您介绍证书管理功能的使用方法,帮助您快速使用私有化 CA 证书,对设备进行鉴权认证。

操作步骤

使用私有化证书,需先向证书颁发机构申请 CA 证书,然后在物联网通信平台上传 CA 证书。

证书上传

1. 登录 物联网通信控制台,单击左侧导航证书管理,可查看当前平台上传的全部 CA 证书。
2. 单击新增证书添加新 CA 证书,填入和上传证书相关信息。
C
A 证书名
称:支持中文、“-”、英文大小写、数字、下划线、“@”、“(”、“)”的组合,长度不超过32个字符。
上传 CA 证书:证书颁发机构签发的 CA 证书,仅支持 cer、crt、pem 类型的文件。
证书验证码:用于生成验证证书。
上传验证证书:使用 CA 证书私钥和证书验证码,生成用于验证上传的 CA 证书正确性,仅支持 cer、crt、pem 类型的文件。
3. 上传完成后,单击保存,添加成功的 CA 证书将显示在列表中。
说明:
一个账号最多可上传10个 CA 证书文件。

使用自定义 CA 证书认证

1. 登录 物联网通信控制台,单击左侧导航产品列表 > 创建新产品按照实际情况填写以下信息。
地域:默认为“广州”。
产品类型:选择“普通产品”
产品名称:根据需求填写。支持中文、"-"、英文、数字、下划线、"@"、"("、")"、"/"、""、空格的组合,最多不超过40个字符。
认证方式:选择“证书认证”。
CA 证书:选择您创建的 证书名称
数据格式:
JSON :支持根据数据进行规则匹配和内容提取。
自定义:不做任何数据解析。
2. 单击保存即可创建完成 CA证书产品,创建成功的产品将出现在产品列表上。
3. 产品列表页面单击产品名称进入产品详情页。
4. 单击设备列表 > 添加新设备进行设备证书上传。
5. 单击保存即可完成设备创建。
6. 单击返回设备列表 > 产品设置查看产品基本信息,下载设备端 CA 证书,并使用设备证书和私钥进行设备链接鉴权。

生成测试 CA

说明:
此方法生成的 CA 证书仅用于测试,正式的 CA 证书请向证书颁发机构进行签发领取。
下面以使用 OpenSSL 为例,介绍生成测试 CA 的操作步骤:
1. 准备 ca 配置文件,得到 ca.conf,内容如下:
[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = Tencent
localityName                = Locality Name (eg, city)
localityName_default        = Shenzhen
organizationName            = Organization Name (eg, company)
organizationName_default    = Tencent IoT
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = Tencent CA Test

2. 生成 ca 密钥,得到 ca.key,命令如下:
openssl genrsa -out ca.key 4096

3. 生成 ca 证书签发请求,得到 ca.csr,命令如下:
openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf

4. 生成 ca 根证书,得到 ca.crt,命令如下:
openssl x509 -req -days 3650 -sha256 -extfile openssl.cnf -extensions v3_ca -in ca.csr -signkey ca.key -out ca.crt


验证证书生成

下面以使用 OpenSSL 为例,介绍生成验证证书的操作步骤:
1. 生成验证证书的密钥对,命令如下:
openssl genrsa -out verificationCert.key 2048

2. 使用新增证书对话框中的证书验码创建 CSR,命令如下:
openssl req -new -key verificationCert.key -out verificationCert.csr

新增证书对话框中复制“证书验证码”,并粘贴为 Common Name 字段值。
Common Name (e.g. server FQDN or YOUR name) []: 9f5cfb6ec0fcbdffd94473491bbb052e339e5b7beff4d7ed46420b697****

3. 使用 CA 证书、私钥和第2步生的 CSR 文件,创建验证证书,命令如下:
openssl x509 -req -in verificationCert.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out verificationCert.crt -days 300 -sha512

其中,ca.crt 和 ca.key 是您在证书颁发机构申请的 CA 证书及其私钥文件。

签发设备证书和私钥

下面以使用 OpenSSL 为例,介绍使用 CA 证书签发设备端证书和私钥的操作步骤。
1. 生成设备私钥,命令如下:
openssl genrsa -out dev_01.key 2048

2. 创建 CSR,命令如下:
openssl req -new -key dev_01.key -out dev_01.csr

Common Name 字段值为产品 ID+设备名,如下:
Common Name (e.g. server FQDN or YOUR name) []: U58***2YLJdev_01

3. 使用 CA 证书、私钥和第2步生的 CSR 文件,创建设备证书,命令如下:
openssl x509 -req -in dev_01.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out dev_01.crt -days 3650 -sha512 -extfile openssl.cnf -extensions v3_req

其中,ca.crt 和 ca.key 是您在证书颁发机构申请的 CA 证书及其私钥文件。
上一篇: 资源管理下一篇: 功能组件

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈