tencent cloud

证书管理
下载PDF
最后更新时间:2025-08-14 15:33:07
证书管理
最后更新时间: 2025-08-14 15:33:07
下载PDF

操作场景

本文为您介绍证书管理功能的使用方法,帮助您快速使用私有化 CA 证书,对设备进行鉴权认证。

操作步骤

使用私有化证书,需先向证书颁发机构申请 CA 证书,然后在物联网通信平台上传 CA 证书。

证书上传

1. 登录 物联网通信控制台,单击左侧导航证书管理,可查看当前平台上传的全部 CA 证书。
2. 单击新增证书添加新 CA 证书,填入和上传证书相关信息。
C
A 证书名
称:支持中文、“-”、英文大小写、数字、下划线、“@”、“(”、“)”的组合,长度不超过32个字符。
上传 CA 证书:证书颁发机构签发的 CA 证书,仅支持 cer、crt、pem 类型的文件。
证书验证码:用于生成验证证书。
上传验证证书:使用 CA 证书私钥和证书验证码,生成用于验证上传的 CA 证书正确性,仅支持 cer、crt、pem 类型的文件。
3. 上传完成后,单击保存,添加成功的 CA 证书将显示在列表中。
说明:
一个账号最多可上传10个 CA 证书文件。

使用自定义 CA 证书认证

1. 登录 物联网通信控制台,单击左侧导航产品列表 > 创建新产品按照实际情况填写以下信息。
地域:默认为“广州”。
产品类型:选择“普通产品”
产品名称:根据需求填写。支持中文、"-"、英文、数字、下划线、"@"、"("、")"、"/"、""、空格的组合,最多不超过40个字符。
认证方式:选择“证书认证”。
CA 证书:选择您创建的 证书名称
数据格式:
JSON :支持根据数据进行规则匹配和内容提取。
自定义:不做任何数据解析。
2. 单击保存即可创建完成 CA证书产品,创建成功的产品将出现在产品列表上。
3. 产品列表页面单击产品名称进入产品详情页。
4. 单击设备列表 > 添加新设备进行设备证书上传。
5. 单击保存即可完成设备创建。
6. 单击返回设备列表 > 产品设置查看产品基本信息,下载设备端 CA 证书,并使用设备证书和私钥进行设备链接鉴权。

生成测试 CA

说明:
此方法生成的 CA 证书仅用于测试,正式的 CA 证书请向证书颁发机构进行签发领取。
下面以使用 OpenSSL 为例,介绍生成测试 CA 的操作步骤:
1. 准备 ca 配置文件,得到 ca.conf,内容如下:
[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = Tencent
localityName                = Locality Name (eg, city)
localityName_default        = Shenzhen
organizationName            = Organization Name (eg, company)
organizationName_default    = Tencent IoT
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = Tencent CA Test

2. 生成 ca 密钥,得到 ca.key,命令如下:
openssl genrsa -out ca.key 4096

3. 生成 ca 证书签发请求,得到 ca.csr,命令如下:
openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf

4. 生成 ca 根证书,得到 ca.crt,命令如下:
openssl x509 -req -days 3650 -sha256 -extfile openssl.cnf -extensions v3_ca -in ca.csr -signkey ca.key -out ca.crt


验证证书生成

下面以使用 OpenSSL 为例,介绍生成验证证书的操作步骤:
1. 生成验证证书的密钥对,命令如下:
openssl genrsa -out verificationCert.key 2048

2. 使用新增证书对话框中的证书验码创建 CSR,命令如下:
openssl req -new -key verificationCert.key -out verificationCert.csr

新增证书对话框中复制“证书验证码”,并粘贴为 Common Name 字段值。
Common Name (e.g. server FQDN or YOUR name) []: 9f5cfb6ec0fcbdffd94473491bbb052e339e5b7beff4d7ed46420b697****

3. 使用 CA 证书、私钥和第2步生的 CSR 文件,创建验证证书,命令如下:
openssl x509 -req -in verificationCert.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out verificationCert.crt -days 300 -sha512

其中,ca.crt 和 ca.key 是您在证书颁发机构申请的 CA 证书及其私钥文件。

签发设备证书和私钥

下面以使用 OpenSSL 为例,介绍使用 CA 证书签发设备端证书和私钥的操作步骤。
1. 生成设备私钥,命令如下:
openssl genrsa -out dev_01.key 2048

2. 创建 CSR,命令如下:
openssl req -new -key dev_01.key -out dev_01.csr

Common Name 字段值为产品 ID+设备名,如下:
Common Name (e.g. server FQDN or YOUR name) []: U58***2YLJdev_01

3. 使用 CA 证书、私钥和第2步生的 CSR 文件,创建设备证书,命令如下:
openssl x509 -req -in dev_01.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out dev_01.crt -days 3650 -sha512 -extfile openssl.cnf -extensions v3_req

其中,ca.crt 和 ca.key 是您在证书颁发机构申请的 CA 证书及其私钥文件。
本页内容是否解决了您的问题?
您也可以 联系销售 提交工单 以寻求帮助。

文档反馈