1. 创立产品和注册设施
1.1 创立产品(用公有 CA 认证)
- 登录 IoT 物联网平台 控制台。
- 在左侧导航栏,抉择 设施治理 > 产品。
- 在产品治理页,单击 创立产品。
- 抉择直连设施,认证形式抉择 X.509 证书, 应用公有 CA 证书勾选 是。
产品创立实现后,如下图:
注册设施
基于已创立的空气净化器产品,增加设施,输出设施 deviceName。
注册实现后,设施处于 未激活 状态,其中X.509 证书为空。
制作设施证书
咱们应用曾经在 IoT 物联网平台注册的公有 CA 证书,来签发设施证书。
openssl 的操作指令如下,其中 CN 能够填写 deviceName。
# 生成 pem 的公有 key
openssl genrsa -out device-1.key 2048
# 生成设施证书 CSR
openssl req -new -key device-1.key -out device-1.csr -newkey -subj \
"/C=CN/ST=Shanghai/L=Shanghai/O=IoT/OU=iot/CN=dn3023842"
# -set_serial 指定序列号
# 用公有 CA 签发设施证书 CRT
openssl x509 -req -in device-1.csr -CA myIoTCARoot.crt -CAkey myIoTCARoot.key -CAcreateserial -out device-1.crt -days 3650 -sha512
# 查看设施证书 SN
openssl x509 -noout -text -in device-1.crt
证书生成后,咱们能够查看设施证书的 SN 码。
绑定设施证书
绑定设施与设施证书
IoT 物联网平台须要用户上传设施 ProductKey,DeviceName 和设施证书 SN 的映射关系的 csv 文件,内容格局如下:
ProductKey,DeviceName,CertSN
a15GiUoOzAL,dn032836,dd3dc180a02768d7
IoT 物联网平台控制台证书详情页面,上传 CSV 文件,实现绑定。
绑定胜利后,咱们能够点击查看绑定后果:
设施激活
- 咱们以 Java 设施为例,介绍设施以公有证书接入过程。Java 原生代码只能应用 PKCS#8 格局,咱们须要用 OpenSSL 来进行转换,命令如下:
# 转换格局 PKCS#8
openssl pkcs8 -topk8 -inform PEM -in device-1.key -out device-1_pkcs8.key -nocrypt
应用 TLS 形式(securemode=2)将设施接入物联网平台,需应用物联网平台根证书。
请下载根证书,而后将根证书搁置到 resource 目录下。
- 应用 iot_root.crt、设施证书、设施证书私钥来结构 SSLSocketFactory 实例。
protected SSLSocketFactory createSSLSocket() throws Exception {
// 物联网平台根证书,能够从官网文档中下载 https://help.aliyun.com/document_detail/73742.html
// 设施 X.509 证书,能够从控制台设施信息中下载。// 用来验证 IoT 平台的 CA 证书
InputStream in = IotMqttClientWithAuthByX509.class.getResourceAsStream("/iot_root.crt");
CertificateFactory cf = CertificateFactory.getInstance("X.509");
Certificate ca = cf.generateCertificate(in);
in.close();
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(keyStore);
// 传入设施证书、证书证书私钥
InputStream certIn = IotMqttClientWithAuthByX509.class.getResourceAsStream(certPath);
CertificateFactory certCf = CertificateFactory.getInstance("X.509");
Certificate certCa = certCf.generateCertificate(certIn);
certIn.close();
KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
ks.load(null, null);
ks.setCertificateEntry("certificate", certCa);
PrivateKey privateKey = getPrivateKey(privateKeyPath);
ks.setKeyEntry("private-key", privateKey, privateKeyPassword.toCharArray(), new Certificate[] { certCa});
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(ks, privateKeyPassword.toCharArray());
// 结构 socketFactory
SSLContext context = SSLContext.getInstance("TLSV1.2");
context.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
SSLSocketFactory socketFactory = context.getSocketFactory();
return socketFactory;
}
- 设施发动 MQTT 的 CONNECT,此时 username 和 password 无需设置
// 接入域名
String broker = "ssl://x509.itls." + regionId + ".aliyuncs.com:1883";
// MQTT 的 clientId
String mqttClientId = System.currentTimeMillis()+"|securemode=2|";
MemoryPersistence persistence = new MemoryPersistence();
mqttClient = new MqttClient(serverURL, mqttClientId, persistence);
MqttConnectOptions connOpts = new MqttConnectOptions();
connOpts.setMqttVersion(4);// MQTT 3.1.1
// 应用 TLS,须要下载根证书 root.crt,mqttClientId 中设置 securemode=2。connOpts.setSocketFactory(createSSLSocket());
connOpts.setCleanSession(false);
connOpts.setAutomaticReconnect(true);
connOpts.setKeepAliveInterval(300);
// 设置 connect 回调
mqttClient.setCallback(new MqttCallback() {
@Override
public void messageArrived(String topic, MqttMessage message) throws Exception {
// 只解决 X.509 认证返回信息
if ("/ext/auth/identity/response".equals(topic)) {JSONObject json = JSONObject.parseObject(new String(message.getPayload(), StandardCharsets.UTF_8));
// 获取到设施的 productKey 和 deviceName
String productKey = json.getString("productKey");
String deviceName = json.getString("deviceName");
} else {// 解决其余上行音讯,强烈建议另起线程解决,免得回调梗塞。}
}
@Override
public void deliveryComplete(IMqttDeliveryToken token) { }
@Override
public void connectionLost(Throwable cause) {}});
mqttClient.connect(connOpts);
设施启动,联网后,咱们能够在 IoT 物联网平台控制台查看设施以后状态为在线,X.509 证书栏为绑定设施证书的序列号,如下图。
【往期回顾】
1. 自建 MQTT 集群迁徙阿里云 IoT 平台
2.IoT 时代:WiFi 配网技术分析
3. 微信小程序和 IoT 智能家居实际
4.IoT 云端通用数据解析脚本实际
物联网平台产品介绍详情:https://www.aliyun.com/produc…
阿里云物联网平台客户交换群