使用X.509证书认证

限制说明

• 仅MQTT协议直连的设备可使用X.509证书认证。
• 目前仅华东2（上海）地域支持X.509证书认证。
• 连网方式为LoRaWAN的产品不支持X.509证书认证。
• 设备身份认证方式设置后，不可更改。

生成X.509证书

设备的X.509证书由物联网平台颁发。

1. 登录物联网平台控制台。
2. 在实例概览页面，找到对应的实例，单击实例进入实例详情页面。
   
3. 在设备管理 > 产品，创建认证方式为X.509证书的产品，详细操作，请参见创建产品。
   
4. 在设备管理 > 设备，在新建的产品下创建设备，详细操作，请参见单个创建设备、批量创建设备。
   物联网平台创建设备时，会为设备颁发X.509证书和密钥。

   说明 对于使用X.509证书进行安全认证的设备，您需要在设备端烧录X.509证书。如果同时设备使用一型一密认证或子设备通过网关接入物联网平台功能，则您还需分别烧录ProductSecret或DeviceSecret。
5. 下载设备的X.509证书和密钥。
   • 下载批量创建设备的X.509证书和密钥。
     1. 在设备管理 > 设备 > 批次管理，单击设备批次对应的下载CSV按钮，下载设备证书信息表格。
     2. 根据下载表格中的CertUrl地址，下载设备X.509证书和密钥。
        说明 CertUrl地址有效期为30天。请在批量创建设备后的30天内下载X.509证书信息。
   • 下载单个设备的X.509证书和密钥。两种方式：
     • 在设备管理 > 设备，单击设备对应的查看，进入设备详情页。单击X.509证书对应的下载按钮，下载证书信息。
     • 调用物联网平台API的QueryDeviceCert获取证书信息。

设备端认证配置

目前仅C语言版的设备端Link SDK支持X.509认证方式。请访问C Link SDK获取，下载开发代码Demo。

使用X.509证书的设备连接物联网平台的域名和端口如下：

• 连接域名：x509.itls.cn-shanghai.aliyuncs.com
• 端口：1883

1. 下载根证书，用于双向认证时，校验服务端证书。
2. 配置设备认证的MQTT连接。具体配置信息，请参见配置连接参数。
   X.509证书配置的具体流程和示例，请参见X.509证书的认证接入。

设备再次连接

设备认证通过，获得ProductKey和DeviceName，并将ProductKey和DeviceName固化后，如果设备下线，再重新建立与物联网平台的MQTT连接时，传入的CONNECT报文参数：

mqttClientId: clientId+"|securemode=2,signmethod=hmacsha1,timestamp=132323232|"
mqttUsername: deviceName+"&"+productKey
mqttPassword: ""