华为云用户手册

设备引导 下载并修改华为SDK示例代码进行设备引导（这里以java sdk代码为示例）。 用IDEA/Eclipse打开SDK代码工程，修改DEMO示例BootstrapSample中的参数，其中deviceId和secret替换为步骤3中生成的设备ID和密钥即可，bootstrapUri为获取设备发放终端节点对应的终端节点。 运行DEMO程序，看到如下日志，代表设备发放成功，并且已经收到设备发放下发的设备接入地址。如果程序运行没报错，在对应的设备接入平台可以看到设备，并已在线。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息和 General 信息。其中General 信息可以用工具默认的参数配置。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 选择开启 SSL/TLS，勾选Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤后，单击“Apply”和“OK”进行保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

X.509证书认证 X.509是一种用于通信实体鉴别的数字证书， 物联网平台 支持设备使用自己的X.509证书进行认证鉴权。使用X.509认证技术时，设备无法被仿冒，避免了密钥被泄露的风险。 使用X.509证书认证的完整操作流程为： 1. 在平台上传设备CA证书并完成验证（或使用华为云证书服务的私有CA）； 2. 创建设备或注册组时，认证方式选择X.509证书认证，并关联已认证的设备CA证书； 3. 开发设备端，将X.509证书及其私钥烧录到设备上； 4. 设备在与平台双向认证过程中，设备验证平台证书，平台使用设备CA证书验证设备证书并验证设备证书与设备的关联关系。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息和 General 信息。其中General 信息可以用工具默认的参数配置。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 注：注册组的场景不存在选择产品，所以命名需要注意：如果命名字符串有“_”，那么第一项必须为对应设备接入已经存在的产品ID，如果不包括“_”，那么可以随意命名。 选择开启 SSL/TLS，勾选Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤后，单击“Apply”和“OK”进行保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息。其中General 可以使用工具默认信息。 其中Broker Address和Broker Port可以参考获取终端节点，Client ID 可以参考MQTT CONNECT连接鉴权参数说明，访问这里填写设备ID（DeviceId）等设备信息，生成连接信息（ClientId、Username、Password）。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 选择开启 SSL/TLS，勾选 Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤设置后，单击“Apply”和“OK”保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

制作CA证书 在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。 在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。 生成密钥对（rootCA.key）： 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件： 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。 表2 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

上传并验证CA证书 登录设备发放控制台，进入“证书”界面，单击右上角“上传CA证书”，填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书（rootCA.crt文件）”，单击“确定”。 图1 上传CA证书 验证步骤1中上传的CA证书，只有成功验证证书后该证书方可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 获取随机验证码。 图2 上传CA证书完成页 图3 复制验证码 利用此验证码生成证书签名请求文件 CS R。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写前一过程中获取到的随机验证码。 使用CA证书、CA证书私钥和CSR文件创建验证证书（verificationCert.crt）。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数，此处示例为500天，您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。 图4 上传验证证书

生成设备证书 使用OpenSSL工具为设备证书生成密钥对（设备私钥）： openssl genrsa -out deviceCert.key 2048 使用设备密钥对，生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表2所示。 表3 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和CSR文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成“上传并验证CA证书”。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。

Topic说明 设备发放平台作为消息接收方时，已默认订阅了相关Topic，设备只要向对应Topic发送消息，设备发放平台就可以接收。 设备作为消息接收方时，需要先订阅相关Topic，这样设备发放平台向对应Topic发送消息时，设备才能接收到。设备需要根据具体实现的业务来决定订阅哪些Topic。 表1 设备发放Topic Topic 消息发送方 （Publisher） 消息接收方 （Subscriber） 说明 $oc/devices/{device_id}/sys/bootstrap/up 设备 设备发放平台 设备向发放服务请求对应设备接入实例的引导信息。 $oc/devices/{device_id}/sys/bootstrap/down 设备发放平台 设备 设备接收发放服务下发的引导信息。

MQTT概述 MQTT标准规范参见《mqtt-v3.1.1-os.pdf》。 MQTT的语法和接口细节，请以此标准为准。设备发放目前仅支持MQ TTS /HTTPS这种安全接入的设备进行发放，暂不支持MQTT/HTTP这种非安全接入的设备进行发放。 MQTT消息分为固定报头（Fixed header）、可变报头（Variable header）和有效载荷（Payload）部分。 固定报头（Fixed header）和可变报头（Variable header）格式的填写直接MQTT标准规范。有效载荷（Payload）部分在PUB消息中可以由应用定义，即设备和设备发放平台之间自己定义。 下面主要介绍CONNECT、SUB和PUB消息格式的填写。 CONNECT - Client requests a connection to a server 有效载荷（Payload）中的主要参数填写，具体参见MQTT CONNECT连接鉴权。 SUBSCRIBE - Subscribe to named topics 有效载荷（Payload）中的主要参数填写：Topic name，填写为设备想要订阅的主题消息，目前填写为设备自己的topic，具体参见Topic说明。 PUBLISH - Publish message 可变报头（Variable header）：Topic name，设备发往设备发放平台时，为平台的Topic name，设备接收消息时，为设备的Topic name，具体参见Topic说明。 有效载荷（Payload）中的主要参数填写：为完整的数据上报和命令下发的消息内容，目前是一个JSON对象。

场景示例矩阵 表2 示例列表 注册/注册组 认证类型 策略类型 示例 注册 证书认证 证书策略 MQTT X.509证书认证设备使用证书策略发放示例 注册 密钥认证 静态策略 MQTT 密钥设备使用静态策略发放示例 注册组 证书认证 自定义策略 MQTT 注册组自定义策略发放示例 注册组 云证书认证 证书策略 MQTT 华为云证书注册组发放示例 注册组 证书认证 自定义策略 MQTT 注册组自定义策略发放示例 注册 密钥认证 静态策略（跨账号） MQTT 密钥设备跨账号使用静态策略发放示例

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息和 General 信息。其中General 信息可以用工具默认的参数配置。 填写 User Credentials 信息。 其中Username 和Password 参数参考MQTT CONNECT连接鉴权参数说明。 选择开启 SSL/TLS，勾选CA certificate file，CA Certificate File指定为物联网平台根证书（请先下载物联网平台的根证书，解压后，选择其中c或java目录下PEM后缀的文件）的本地路径。 完成以上步骤后，单击“Apply”和“OK”保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

新增注册组 创建注册组。 图2 新增注册组 注册组密钥为长度在”32~128“字节的字节码。在创建密钥注册组时，返回的注册组密钥为“base64编码后的注册组密钥字符串”。 若不指定注册组密钥，则注册组密钥由设备发放服务生成。 若指定注册组密钥，在创建中注册组时需在密钥输入框内填写“指定字节码Base64编码后生成的字符串”。 图3 创建密钥注册组 如果需要下发初始化配置，那么对应在初始设备配置选项中填写对应的JSON字符串，设备发放不理解该字段，只是透传该JSON字符串，由设备理解解析。如果不需要下发该字段则不填 创建完成后会返回注册组密钥，单击复制保存注册组密钥。 图4 创建密钥注册组响应

设备引导请求 终端节点 区 域名 称 区域 终端节点（Endpoint） 端口 协议 华北-北京四 cn-north-4 iot-bs.cn-north-4.myhuaweicloud.com 8883 MQTTS 下载并修改华为SDK示例代码进行设备引导（这里以java sdk代码为示例）。 用IDEA/Eclipse打开SDK代码工程，修改iot-device-demo目录下的DEMO示例“BootstrapSample”中的参数，其中deviceId和secret替换为注册设备中生成的设备ID和密钥即可，bootstrapUri为上述终端节点。 运行DEMO程序，看到如下日志，代表设备发放成功，并且已经收到设备发放下发的设备接入地址。如果程序运行没报错，在对应的设备接入平台可以看到设备，并已在线。 收到设备发放下发的设备接入地址后，需要关闭设备侧的设备发放的连接，用的新的URL地址与设备接入通信，进行相关业务。

创建策略 有两种使用场景：设备发放控制台 用户预先开通了多个实例，通过设备的不同销售数据，根据对应的策略，设备上电自动发放到对应的实例。 用户预先只开通一个实例，预先创建对应的策略把设备发放到当前实例。当对应实例达到上限，动态开通新的接入实例，用户删除当前策略，添加新的策略，把新上电的设备发放到新开通的实例。 本示例讲述的是第二种使用场景。 登录设备发放控制台，进入到策略页面的静态策略页面，单击添加实例，根据关键字发放到指定的IoTDA实例。 图1 创建静态策略 图2 创建静态策略详情

业务流程 创建策略。其中以静态策略为例。 注册设备。注册MQTT协议的设备，体验发放业务。可以注册单个，也可以批量注册设备。 设备请求引导。 设备接收信息，解析出IoT接入实例地址，与IoT接入实例1进行通信。 动态扩容设备接入实例，创建对应实例的资源空间，在对应资源空间下上传产品。 注册设备。选择对应实例的产品创建设备。 新增策略。添加新实例的静态策略，以不同的关键字命名静态策略。 设备请求引导。 设备接收信息，解析出IoT接入实例地址，与IoT接入实例2进行通信。 应用主动设备发放控制台与设备侧通信。

场景说明 随着厂商IoT设备的不断增加，或者厂商设备本来就面向多个销售中心（不同的销售中心有着自己的IoT接入实例），面对这样的场景，厂商在设备出厂的时候不知道设备最终需要连接到哪个IoT接入实例，设备出厂后不希望再对设备进行二次烧录。为此，华为IoT解决方案推出设备发放服务，设备出厂统一烧录设备发放的地址，通过在设备发放服务预置不同的发放策略，设备上电后自动发放到对应的IoT接入实例，并把对应的IoT接入实例地址下发给设备，设备就可以和目的接入实例实现通信。

注册设备 本次以注册单个MQTT密钥设备为示例，登录设备发放控制台，进入到“设备”页面，单击“注册”，选择对应接入点的产品进行设备注册，设备名称为“Model1_001”，填写设备的密钥，发放策略选择“静态策略”，创建设备。 实际使用中，用户可以使用批量注册功能注册大量设备。下载批量注册模板，按照模板说明正确填写后上传批量注册文件以批量注册设备。建议每个设备名称的以策略的关键字开头（比如策略关键字为Model1，设备名称为Model1_XXX001）。 图3 设备列表 图4 注册设备产品列表 图5 创建密钥模式静态策略设备

设备触发放流程 配置连接参数。 证书认证设备如何使用MQTT.fx接入设备发放请参见MQTT X509证书认证接入示例。 MQTT Broker Profile Settings Broker Address填写设备发放设备侧接入地址，Broker Port填写设备发放设备侧接入端口，Client ID按规则（[设备ID]_0_0_[10位日期时间]）填写，具体规则参见MQTT CONNECT连接鉴权。 SSL/TLS 由于设备使用证书认证方式，“Enable SSL/TLS”勾选开启，选择Self signed certificates，CA File填写用于签发设备发放设备侧接入SSL/TLS通道证书的CA证书路径，Client Certificate File和Client Key File填写使用已上传并验证了的CA证书签发的设备证书和设备证书私钥路径。如证书为PEM格式，请勾选“PEM Formatted”。 具体配置请参见下图： “User Credentials”的“User Name”字段填写设备ID。具体配置参见下图： 连接鉴权。 连接参数配置完成后，单击“Connnect”。若右上角圆圈呈现绿色，说明设备已成功上设备发放平台。 订阅接收引导消息Topic。 参照设备接收引导信息填写用于接收引导地址的Topic，单击“Subscribe”订阅该Topic。若订阅Topic填写框下方的已订阅Topic列表中存在该Topic，则订阅成功。 发送请求引导消息。 参照设备请求引导消息填写发送请求引导消息的Topic，单击“Publish”向该Topic推送消息。 查看订阅的Topic，很快在订阅Topic下，接收到了目的接入点的设备侧接入地址。 进入函数服务控制台，通过查看使用的函数的日志，可看出自定义策略发放设备过程中，该函数被成功触发且正确执行。 进入到设备发放控制台，可查看到一条该设备的发放记录。 图5 设备详情页 至此，您已成功完成了，使用设备发放和函数服务将证书认证的设备通过自定义策略触发函数将设备发放到指定的设备接入实例中。

设备免注册接入 下载并修改华为SDK示例代码进行设备引导（这里以java sdk代码为示例）。 使用IDEA/Eclipse打开SDK代码工程，修改iot-device-demo目录下的DEMO示例“BootstrapSelfRegSample”中的参数。 ScopeId从设备发放的注册组页面中获取； deviceId由客户自主规划且未在平台注册（需注意平台要求deviceId全局唯一）； 设备证书指定为“控制台开发”中生成的设备证书； bootstrapUri为上述终端节点。 图11 修改demo示例 运行DEMO程序，看到如下日志，代表设备发放成功，并且已经收到设备发放下发的设备接入地址。如果程序运行正常，在对应的设备接入实例可以看到该设备，且该设备已在线。 图12 日志信息 收到设备发放下发的设备接入地址后，需要关闭设备侧的设备发放的连接，用的新的URL地址与设备接入通信，进行相关业务。 图13 关闭连接示例代码 说明： DeviceId即设备ID，用于唯一标识一个设备。设备需使用未注册的DeviceId进行免注册接入，不同设备的DeviceId不同。 在客户实际业务场景中，推荐一个设备使用一个设备证书，不建议多个设备共用一个设备证书。

生成设备证书 使用OpenSSL工具为设备证书生成密钥对（设备私钥）： openssl genrsa -out deviceCert.key 2048 使用设备密钥对，生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表2所示。 表6 参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和CSR文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成“上传并验证CA证书”。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。

添加证书策略 添加证书策略，发放CA证书到指定的IoTDA，并且由此CA签发的设备证书都会发放到指定的IoTDA。 图8 添加证书策略 进入“策略”界面，单击展开“证书策略”，单击“添加实例”。 图9 添加证书策略详情 按照下方参数说明填写关键参数信息后，单击“确定”。 表4 参数信息 参数名称 说明 示例 证书名称 即所要根据证书属性将设备发放到指定的目标区域，选择对应的证书。 将需要通过证书“certificates”发放的设备发放至华北-北京四的物联网平台。 需通过证书“certificates”发放的设备：WaterMeter-Beijing0001、WaterMeter-Beijing0002 证书名称：certificates 发放区域：华北-北京四 发放应用：beijing-app1 发放区域 发放到指定区域后，设备将接入对应区域的 设备接入服务 。 所选区域未开通设备接入服务时，如果确定添加实例，系统将自动为您开通设备接入服务。不同区域设备接入服务价格不同，收费详情请参考价格说明。 发放应用 选择对应设备接入服务区域已创建的应用。在物联网平台中，设备由应用统一管理。 如果对应设备接入服务区域未创建应用，需要前往对应服务创建应用。

创建注册组 MQTT证书接入的设备，可以在设备发放创建一个注册组，绑定对应的CA证书和自定义策略，可以实现批量设备的自注册，实现设备一键上电即可上云的动作，可在注册组详情中查看该注册组下所有的设备。 进入“设备-注册组”界面，单击右上角“新增注册组”。 图10 新增注册组 按照下方参数说明填写关键参数信息后，完成创建。 表5 参数信息 参数名称 说明 注册组名称 注册组的唯一标识。 选择证书 用于和注册组绑定，同一个证书只能同时绑定一个注册组，不能同时绑定多个注册组。 发放策略 当前只支持“自定义策略”，同时需要选择所要运行的函数。

制作CA证书 本文以Windows环境为例，介绍通过Openssl工具制作CA证书和验证证书的方法。 以下“生成密钥对（rootCA.key）”和“生成CA证书（rootCA.crt）”为操作过程中需要使用到的两个文件。 具体步骤： 在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。 在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。 生成密钥对（rootCA.key）： 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件： 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。 表2 参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

上传CA证书 具体操作步骤 登录设备发放控制台。 在设备发放控制台，左侧导航窗格中，选择“证书”，单击右上方的“上传CA证书”。 图3 上传CA证书 在“上传CA证书”页面，填写“证书名称”，单击“添加文件”，上传此前“制作CA证书”步骤中生成的“CA证书（rootCA.crt文件）”，单击“确定”。 图4 上传CA证书详情页 上传的CA证书初始状态为“未验证”，需要完成“验证CA证书”过程，方可正常使用该CA证书。 表3 证书状态表 CA证书状态 说明 已验证 可正常使用。 未验证 不可正常使用，待验证通过后，方可正常使用。 已过期 CA证书已过期，需更新，但不影响平台使用该CA证书验证对应的设备证书。 即将过期 CA证书30天内即将过期，需及时更新。

验证CA证书 对于已上传的CA证书，平台要求用户完成“验证CA证书”过程，以验证用户具备该CA证书的签发能力。 操作步骤 登录设备发放控制台。 在设备发放控制台，左侧导航窗格中，选择“证书”，单击“证书列表”条目的操作栏中的“验证证书”。 图5 上传CA证书完成页 在上传验证证书页面，单击“生成验证码”，单击“复制图标”复制此CA证书的随机验证码。 图6 复制验证码 CA证书验证码有效期为一天，请及时使用验证码生成验证证书并完成验证。 验证码的生成为替换机制，即对于一个CA证书，即使此前的验证码未过期，也将被新生成的验证码替换。 使用OpenSSL工具为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写此验证码。 使用CA证书、CA证书私钥和上一步骤中生成的CSR文件创建验证证书（verificationCert.crt）。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 36500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。 图7 上传验证证书

场景说明 平台基于客户业务安全考虑，只有将设备的基本信息（例如设备ID、鉴权信息）注册到平台后，设备才能使用成功注册后的设备ID和鉴权信息接入物联网平台。当用户注册的设备不断增多时，如何安全且高效地注册设备变得尤为关键。 一种方案是，使用批量注册模板或者循环调用平台应用侧注册设备的API，实现高效地批量注册设备。此方案能够满足客户对批量注册设备的大部分场景需求，但要求客户业务应用侧和客户产线侧相互配合，客户应用侧对设备ID提前进行规划，应用侧完成批量注册后，客户业务产线侧需将应用侧获取到的设备ID逐一烧录到各个设备比较麻烦。 另一种更加高效的方案是，使用设备发放的注册组功能实现设备免注册安全极简地接入物联网平台。 本文基于设备发放注册组功能，使用证书策略，带您快速体验设备免注册安全极简接入物联网平台。 表1 方案对比 设备注册方案 基于单个注册 批量注册 免注册安全极简接入 适用场景 设备数量不多； 对设备身份标识和认证信息可提前规划； 产线侧与应用侧可紧密配合。 设备数量多； 对设备身份标识和认证信息可提前规划。 设备数量较多； 设备能力强； 对设备注册的灵活性要求高。 过程 应用侧通过多次调用单个注册API将设备信息（包括但不限于身份标识和认证信息）逐一注册到平台； 产线侧与应用侧密切配合，将设备身份标识和与之对应的认证信息逐个写入设备。 下载并填写批量注册模板文件，定义设备信息（包括但不限于身份标识和认证信息）； 将填写完成的批量注册模板文件上传至平台，完成批量注册过程； 产线侧将设备身份标识和与之对应的认证信息逐个写入设备。 基于设备发放的注册组和发放策略能力； 具体过程在本文后续章节展开。 特点 多次调用API； 整体流程简单。 将单个注册过程模板化。 无需对设备身份标识和认证信息提前规划； 应用侧无需逐一注册设备信息； 降低产线管理和维护成本。

设备发放业务流程 设备启动后，通过Bootstrap流程（设备出厂时预置设备发放平台地址作为引导服务器地址），引导物联网设备在初次上电时获得正确的目标物联网平台地址，继而完成设备与平台的建链过程。保证设备安全可靠的按业务目标上线，最大程度上减少人为干预的错误可能。 流程如下： 首先确认用户是否开通设备接入服务（物联网平台）。 在设备发放平台创建设备的发放清单（包括预注册设备以及添加发放策略）。 设备出厂时预置设备发放平台地址，设备上电后，设备发放服务通过使用标准 X.509证书验证或者根据设备密钥验证设备的标识，把设备发放到对应的设备接入平台。 设备发放将设备接入平台连接信息返回给设备。 设备通过收到的设备接入平台连接信息连接到设备接入平台。

使用限制 设备发放服务具有以下使用限制。 表1 设备发放服务使用限制列表 对象 类别/描述 限制 设备 集成Agent Lite的设备（MQTT） 不支持 原生MQTT协议设备 支持，设备需要开发设备引导接口，具备设备发放能力。 集成LiteOS的设备（LwM2M） 支持 证书 数字证书保证系统内各服务及系统与外部通信的安全性，防止通信数据在传输过程被篡改造成安全风险。 100 策略 自定义策略最多可添加的实例数 10 静态策略最多可添加的实例数 20 证书策略最多可添加的实例数 20

动态完成不同批次设备初始化配置 当不同型号的设备在首次连接设备接入时需要具备不同的初始化状态，可以通过设备发放完成不同批次设备初始化配置。 具体使用示例参考： MQTT 密钥设备使用静态策略发放示例 MQTT 密钥设备使用静态策略发放是设备预注册的场景，需要为每个设备预置初始化的值。 MQTT 注册组静态策略发放示例 MQTT 注册组静态策略发放是设备注册组的场景，只需要为注册组设置一个初始化的值，那么对应这个组的设备都可以收到下发的初始化配置。一般来说：设备初始化配置会配合注册组使用。