設備通過MQTT協議云網關接入物聯網平臺時,設備身份可以由自定義證書認證,設備可以使用證書中CN信息進行注冊。本文以MQTT協議云網關三方認證的阿里云FC認證為例,介紹如何將設備接入物聯網平臺。
使用前必讀
本文操作步驟以普通用戶權限為例。如果您在操作過程中涉及到管理員權限才能執行的操作,可嘗試使用sudo命令執行。
前提條件
已購買尊享型企業版實例。本示例購買華東2(上海)地域的尊享型實例。具體操作,請參見購買企業版實例。
背景信息
物聯網平臺提供MQTT云網關功能,支持設備通過函數計算提供的三方認證、自定義證書、OCSP、自定義通信Topic等能力認證并接入物聯網平臺進行通信,實現多種物聯網業務場景。
MQTT協議云網關設備認證和通信說明,請參見MQTT協議云網關概述。
準備工作
本文示例使用開發環境:Ubuntu 22.04版本操作系統。
步驟一:生成自定義證書
登錄Ubuntu操作系統。
執行以下命令生成設備端和服務端的根證書文件
root-ca.crt。openssl req \ -new \ -newkey rsa:2048 \ -days 365 \ -nodes \ -x509 \ -subj "/C=CN/O=Aliyun IOT/CN=IoT CA" \ -keyout root-ca.key \ -out root-ca.crt根據根證書文件
root-ca.crt,自定義服務端證書。執行以下命令生成服務端密鑰文件
server.key。openssl genrsa -out server.key 2048執行命令
touch openssl.cnf新建文件openssl.cnf。執行命令
vi openssl.cnf進入文件,填入以下內容后按Esc鍵,輸入:wq保存。[policy_match] countryName = cn stateOrProvinceName = optional organizationName = optional organizationalUnitName = optional commonName = supplied emailAddress = optional [req] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = req_ext x509_extensions = v3_req prompt = no [req_distinguished_name] commonName = Server [req_ext] subjectAltName = @alt_names [v3_req] subjectAltName = @alt_names [alt_names] DNS.1 = *.mqtt.iothub.aliyuncs.com DNS.2 = *.igw.iothub.aliyuncs.com執行以下命令生成服務端請求文件
server.csr。openssl req -new -key server.key -config openssl.cnf -out server.csr執行以下命令生成服務端證書文件
server.crt。openssl x509 -req -days 365 -sha256 -in server.csr -CA root-ca.crt -CAkey root-ca.key -CAcreateserial -out server.crt -extensions v3_req -extfile openssl.cnf執行以下命令驗證服務端證書。
openssl verify -CAfile root-ca.crt server.crt
根據根證書文件
root-ca.crt,自定義設備端證書。執行以下命令生成設備端密鑰文件
client.key。openssl genrsa -out client.key 2048執行以下命令生成設備端證書請求文件
client.csr,設置CN為Client_123。openssl req -new -key client.key -out client.csr -subj "/CN=Client_123"執行以下命令生成設備端證書文件
client.crt。openssl x509 -req -days 365 -sha256 -in client.csr -CA root-ca.crt -CAkey root-ca.key -CAcreateserial -out client.crt執行以下命令驗證設備端證書。
openssl verify -CAfile root-ca.crt client.crt
自定義證書文件如下:
步驟二:創建設備認證的FC函數
在頂部菜單欄,選擇華東2(上海)地域,然后在服務列表頁面,單擊創建服務。
在創建服務面板,填寫服務名稱,例如:IoT_Service,然后單擊確定。
在函數管理頁面,單擊創建函數。
在創建函數頁面,配置以下配置項,然后單擊創建。
在函數詳情頁面,將示例代碼替換為以下代碼,單擊部署代碼。
認證函數將設備證書的CN作為deviceName返回。
# -*- coding: utf-8 -*- import logging import json import time import enum import random import string class Request: def __init__(self, json_str): self.clientId = None self.username = None self.password = None self.certificateCommonName = None for key, value in json.loads(json_str).items(): setattr(self, key, value) class Response: def __init__(self): self.deviceName = None self.result = 'true' self.message = 'success' def handler(self, request): # 將設備證書的CN作為deviceName返回 self.deviceName = request.certificateCommonName return json.dumps(self.__dict__) def handler(event, context): request = Request(event) return Response().handler(request)
步驟三:創建云網關產品
在實例概覽頁面,單擊目標尊享型實例。
在左側導航欄,選擇設備管理 > 云網關,單擊添加云網關。
配置如下信息,單擊確定。
服務端證書為
server.crt,服務端證書私鑰為server.key,設備根證書為root-ca.crt。參數詳細說明,請參見添加云網關。
在云網關列表,復制網關URL保存。
步驟四:開發設備端程序
返回Ubuntu操作系統。
執行以下命令,安裝依賴庫。
sudo apt-get install build-essential gcc make cmake cmake-gui cmake-curses-gui sudo apt-get install libssl-dev執行以下命令,安裝MQTT開源庫Paho。
git clone https://github.com/eclipse/paho.mqtt.c.git mkdir build && cd build cmake ../paho.mqtt.c -DPAHO_WITH_SSL=TRUE -DCMAKE_INSTALL_PREFIX="/usr/lib" make -j sudo make install && cd ..執行命令
touch aiot_mqtt_demo.c新建設備模擬程序文件aiot_mqtt_demo.c。執行命令
vi aiot_mqtt_demo.c進入文件,填入以下內容。#include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include "MQTTClient.h" int msgarrvd(void *context, char *topicName, int topicLen, MQTTClient_message *message) { printf("message recv < topic [%s], payload [%s]\n", topicName, (char *)message->payload); MQTTClient_freeMessage(&message); MQTTClient_free(topicName); return 1; } int main(int argc, char* argv[]) { MQTTClient client; MQTTClient_connectOptions conn_opts = MQTTClient_connectOptions_initializer; MQTTClient_SSLOptions ssl_opts = MQTTClient_SSLOptions_initializer; int rc; /* 創建一個mqtt_client, 待替換 */ const char *host = "ssl://iot-0****.igw.iothub.aliyuncs.com:1883"; const char *client_id = "12345"; MQTTClient_create(&client, host, client_id, MQTTCLIENT_PERSISTENCE_NONE, NULL); MQTTClient_setCallbacks(client, NULL, NULL, msgarrvd, NULL); /* 配置建連參數:證書、用戶名、密碼,待替換*/ ssl_opts.trustStore = "root-ca.crt"; ssl_opts.privateKey = "client.key"; ssl_opts.keyStore = "client.crt"; conn_opts.ssl = &ssl_opts; conn_opts.username = "sdk_test01"; conn_opts.password = "hello123"; /* mqtt完成建連 */ if ((rc = MQTTClient_connect(client, &conn_opts)) != MQTTCLIENT_SUCCESS) { printf("Failed to connect, return code %d\n", rc); exit(EXIT_FAILURE); } printf("connect success username %s, password %s\n", conn_opts.username, conn_opts.password); /* 訂閱消息 */ MQTTClient_subscribe(client, "/user/aiot_mqtt_demo_downraw", 1); /* 生成消息并循環發布消息 */ MQTTClient_message pubmsg = MQTTClient_message_initializer; const char *topic = "/user/aiot_mqtt_demo_upraw"; pubmsg.payload = "Hello Service!"; pubmsg.payloadlen = (int)strlen(pubmsg.payload); pubmsg.qos = 1; for(int i = 0; i < 100; i++) { MQTTClient_publishMessage(client, topic, &pubmsg, NULL); printf("message send > topic [%s], payload [%s]\n", topic, (char *)pubmsg.payload); sleep(10); } /* 斷開連接并刪除client */ MQTTClient_disconnect(client, 10000); MQTTClient_destroy(&client); return rc; }在以上代碼中修改實際設備相關參數,然后按Esc鍵,輸入
:wq保存文件aiot_mqtt_demo.c。參數
說明
host
MQTT云網關設備接入地址,格式為
ssl://${網關接入地址}:${端口號}。${網關接入地址}和${端口號}為本文“步驟三:創建云網關產品”中復制保存的網關URL中的域名和自定義端口號。client_id
(可選)客戶端ID,需自定義,長度不可超過64個字符。建議使用設備的MAC地址或SN碼,方便您識別區分不同的客戶端。
ssl_opts.trustStore
設備端根證書
root-ca.crt的路徑。ssl_opts.privateKey
設備端密鑰文件
client.key的路徑。ssl_opts.keyStore
設備端證書文件
client.crt的路徑。conn_opts.username
MQTT的userName。
userName支持英文字母、數字、短劃線(-)、下劃線(_)、at(@)、英文句號(.)和英文冒號(:),長度限制為4~32個字符。userName在產品維度下不可重復。
conn_opts.password
MQTT的password。
password支持英文字母、數字、短劃線(-)、下劃線(_)、at(@)、英文句號(.)和英文冒號(:),長度限制為1~32個字符。
本示例相關庫的安裝、證書的制作和設備程序的開發完成,如下所示:
