1.前言

IoT物联网平台支持使用私有数字证书进行设备接入身份认证。使用私有数字证书，需要完成如下操作：①在物联网平台注册CA证书，②将数字设备证书与设备身份相绑定。

本文介绍如何在物联网平台注册私有CA证书并给设备绑定设备证书。

限制说明仅MQTT协议直连的设备可使用私有CA证书。目前仅华东2（上海）地域支持使用私有CA证书。使用私有CA证书时，只支持RSA算法签名的设备证书。一个阿里云账号最多可注册10个私有CA证书。2.注册私有CA证书

2.1 制作私有CA证书

我们在Mac电脑上使用OpenSSL工具制作私有CA证书。命令如下：

# 生成私有CA和key ，有效期10年openssl req -new -x509 -days 3650 -keyout myIoTCARoot.key -out myIoTCARoot.crt# 查看CA证书openssl x509 -noout -text -in myIoTCARoot.crt

私有CA证书内容：

2.2 制作验证证书

当我们注册私有CA证书时，IoT物联网平台要求我们同时上传使用私有CA证书对应的私钥创建的验证证书，用来证明我们拥有该私有CA证书。

查看私有证书注册码登录IoT物联网平台控制台。在左侧导航栏，选择设备管理 > CA证书。在CA证书管理页，单击注册CA证书。在注册CA证书对话框中，获取注册码。验证证书制作

我们同样以OpenSSL为例，制作验证证书，操作步骤如下：

生成验证证书Key

# 生成验证证书openssl genrsa -out verificationCert.key 2048

# 生成验证证书CSRopenssl req -new -key verificationCert.key -out verificationCert.csr……Common Name (e.g. server FQDN or YOUR name) []: *****7dc9a483ebbf7e6997b7b****……

# 用私有CA和key签发验证证书openssl x509 -req -in verificationCert.csr -CA myIoTCARoot.crt -CAkey myIoTCARoot.key -CAcreateserial -out verificationCert.crt -days 300 -sha512# 查看验证证书内容openssl x509 -noout -text -in verificationCert.crt

查看验证证书：

2.3 上传并验证私有CA证书

当我们准备完成私有CA证书和对应验证证书，就可以在IoT物联网平台的控制台上传证书了。上传证书页面如下：

验证通过后，在私有CA证书详情页面，可以查看证书信息，参考如下：

至此，我们完成了私有CA证书的制作和在IoT物联网平台的注册。后续，就可以用此CA证书来签发设备证书了。