中国电信IOT平台双向认证操作实测

Posted 2020-11-19 halo

 

最近对接中国电信iot平台的证书认证，由于是已经买了阿里云的证书，所以直接就弄了一个二级域名站点做回调地址

使用keytool制作自签名证书及tomcat证书部署

1)为服务端生成证书。
使用keytool为tomcat生成证tomcat.keystore;
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:/keys/tomcat.keystore -validity 36500

名称和姓氏要填写应用服务器的域名或IP
127.0.0.1

2)让客户端信任服务器CA证书
a 导出根证书 tomcat.cer
keytool -export -v -alias tomcat -file D:/keys/tomcat.cer -keystore D:/keys/tomcat.keystore
b 使用openssl命令把tomcat.cer文件转换成tomcat.pem文件，并上传到IoT平台的应用 (需要安装openssl)
openssl x509 -inform der -in D:/keys/tomcat.cer -out D:/keys/tomcat.pem

3)将IoT提供的CA证书导入tomcat的信任证书链中 
keytool -import -v -file D:/keys/ca.pem -alias huawei_ca -keystore D:/keys/tomcat.keystore

 

查看证书
keytool -list -keystore D:keys omcat.keystore

---

使用阿里云证书时候需要注意：
第一步不需要操作，因为已经下载了证书。
第二步不能使用阿里云下载的证书pem,可按照网址

http://developer.huawei.com/ict/forum/forum.php?mod=viewthread&tid=47467
来导出pem，上传到iot平台上。
第三步将iot的ca证书导入到阿里证书中
keytool -import -v -file D:/keys/ca.pem -alias huawei_ca -keystore D:/keys/xxx.pfx

注意tomcat8以上的证书配置已经变了，网上查的都是tomcat8以下的版本。下面tomcat8.5的配置，我修改了默认的8443端口

 <Connector port="8083" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true">
      <SSLHostConfig>
            <Certificate certificateKeystoreFile="cert/xxx.pfx"
   certificateKeyAlias="alias" certificateKeystorePassword="xxx"
                         type="RSA" />
        </SSLHostConfig>
    </Connector>