使用OpenSSL自簽並註冊CA認證-雲Message QueueTT 版-阿里雲

雲Message QueueTT 版支援使用裝置認證進行用戶端的接入認證，CA認證可用於簽發裝置認證、伺服器憑證和驗證認證，用戶端使用裝置認證進行認證時，服務端將使用裝置認證關聯的CA認證來驗證裝置認證是否正確，CA認證必須在雲Message QueueTT 版服務端註冊後才能用於驗證裝置認證。

背景資訊

用戶端使用裝置認證進行認證時，服務端將使用裝置認證關聯的CA認證來驗證裝置認證是否正確，CA認證必須在雲Message QueueTT 版服務端註冊後才能用於驗證裝置認證。

註冊CA認證即將CA認證資訊上傳至雲Message QueueTT 版服務端，並將CA認證與指定執行個體進行綁定。執行個體和CA認證的關係如下：

一個執行個體可註冊多個CA認證。
一個CA認證在一個地區內只可被註冊給一個執行個體。

使用限制

僅鉑金版執行個體和專業版執行個體支援CA認證管理功能。
您擷取的CA認證的SN序號必須唯一。
CA認證的SN碼不能超過128 Byte。
CA認證支援RSA、ECC演算法。

前提條件

已安裝OpenSSL v1.1.1i或以上版本。

自簽CA認證

您可直接向可信機構購買簽發的CA認證，也可通過自簽名產生私人的CA認證，本操作以OpenSSL為例，介紹如何產生自簽名CA認證。

下載並安裝OpenSSL

下載並安裝OpenSSL。

說明
安裝完成後，如使用Windows系統需要將OpenSSL的安裝目錄的bin子目錄添加到您的系統PATH環境變數中。
開啟命令提示字元。

RSA演算法認證

執行如下命令，產生私人RSA CA認證的私密金鑰。
```
openssl genrsa -out CA.key 2048
```

執行如下命令，使用CA認證私密金鑰建立私人CA的CSR檔案。

openssl req -new -key CA.key -out CA.csr

介面返回如下樣本，請根據提示輸入對應參數。

Country Name (2 letter code) [AU]:
    State or Province Name (full name) []:
    Locality Name (for example, city) []:
    Organization Name (for example, company) []:
    Organizational Unit Name (for example, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:
    Email Address []:

執行如下命令，產生自簽名的RSA CA認證CA.crt，請根據作業系統選擇對應的執行命令，在不同作業系統中，extfile的位置有所不同。

Mac

openssl x509 -req -extfile /System/Library/OpenSSL/openssl.cnf -extensions v3_ca -in CA.csr -out CA.crt -signkey CA.key -CAcreateserial -days 3650

CentOS

openssl x509 -req -extfile /etc/pki/tls/openssl.cnf -extensions v3_ca -in CA.csr -out CA.crt -signkey CA.key -CAcreateserial -days 3650

Windows

openssl x509 -req -extfile C:\Progra~1\OpenSSL-Win64\bin\cnf\openssl.cnf  -extensions v3_ca -in CA.csr -out CA.crt -signkey CA.key -CAcreateserial -days 3650

查看產生的RSA CA認證。
執行如下命令：
```
openssl x509 -in CA.crt -text
```

ECC演算法認證

執行如下命令，產生私人ECC CA認證的私密金鑰。
```
openssl ecparam -genkey -name prime256v1 -out CA.key
```

執行如下命令，產生自簽名的ECC CA認證CA.crt。

Mac

openssl req -new -x509 -days 3650 -config /System/Library/OpenSSL/openssl.cnf -extensions v3_ca -key CA.key -out CA.crt

CentOS

openssl req -new -x509 -days 3650 -config /etc/pki/tls/openssl.cnf -extensions v3_ca -key CA.key -out CA.crt

Windows

openssl req -new -x509 -days 3650 -config C:\Progra~1\OpenSSL-Win64\bin\cnf\openssl.cnf -extensions v3_ca -key CA.key -out CA.crt

說明

此步驟如有報錯請檢查命令中的openssl.cnf檔案路徑是否正確。

介面返回如下樣本，請根據提示輸入對應參數。

    Country Name (2 letter code) [AU]:
    State or Province Name (full name) []:
    Locality Name (for example, city) []:
    Organization Name (for example, company) []:
    Organizational Unit Name (for example, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:
    Email Address []:

執行如下命令，查看產生的ECC CA認證。
```
openssl x509 -in CA.crt -text
```

註冊CA認證

說明

CA憑證註冊後，預設為啟用狀態。

擷取CA認證的註冊碼。
1. 登入雲Message QueueTT 版控制台，並在左側導覽列單擊实例列表。
2. 在頂部功能表列選擇目標地區，然後在執行個體列表中單擊目標執行個體名稱進入实例详情頁面，並在左側導覽列選擇認證管理 > CA認證。
3. 在CA認證頁面單擊註冊認證。
  
  在彈出的面板中即可擷取CA認證的註冊碼。
建立CA認證的驗證認證。

若您需要將CA憑證註冊到雲Message QueueTT 版服務端，需要證明您有該CA認證的私密金鑰。因此您需要使用CA認證建立一個驗證認證，並在建立時填寫雲Message QueueTT 版提供的註冊碼，系統會根據您建立的驗證認證和註冊碼判斷您是否可以使用該CA認證。
RSA演算法認證
1. 執行如下命令，產生驗證認證的私密金鑰。
```
openssl genrsa -out verificationCert.key 2048
```
2. 執行如下命令，產生驗證認證的CSR檔案。
```
openssl req -new -key verificationCert.key -out verificationCert.csr
```
  介面返回如下樣本，請根據提示輸入對應參數。
```
Country Name (2 letter code) [AU]:
    State or Province Name (full name) []:
    Locality Name (for example, city) []:
    Organization Name (for example, company) []:
    Organizational Unit Name (for example, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:i29adsjfp29jfj92jlajsdf******
    Email Address []:
```
  重要
  其中CommonName必須輸入，請替換為您在步驟1中擷取的CA認證的註冊碼，其他參數為可選。
3. 執行如下命令，產生CA認證的驗證認證verificationCert.crt。
```
openssl x509 -req -in verificationCert.csr -CA CA.crt -CAkey CA.key -CAcreateserial -out verificationCert.crt -days 300 -sha512
```
  說明
  如果不是自簽名的CA認證，可以將產生的CSR認證簽章要求檔案提交給憑證授權單位，由憑證授權單位產生認證。
ECC演算法認證
1. 執行如下命令，產生驗證認證的私密金鑰。
```
openssl ecparam -out verificationCert.key -name prime256v1 -genkey
```
2. 執行如下命令，產生驗證認證的CSR檔案。
```
openssl req -new -key verificationCert.key -out verificationCert.csr
```
  介面返回如下樣本，請根據提示輸入對應參數。
```
Country Name (2 letter code) [AU]:
    State or Province Name (full name) []:
    Locality Name (for example, city) []:
    Organization Name (for example, company) []:
    Organizational Unit Name (for example, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:i29adsjfp29jfj92jlajsdf******
    Email Address []:
```
  重要
  其中CommonName必須輸入，請替換為您在步驟1中擷取的CA認證的註冊碼，其他參數為可選。
3. 執行如下命令，產生CA認證的驗證認證verificationCert.crt。
```
openssl x509 -req -in verificationCert.csr -CA CA.crt -CAkey CA.key -CAcreateserial -out verificationCert.crt -days 300 -sha512
```
  說明
  如果不是自簽名的CA認證，可以將產生的CSR認證簽章要求檔案提交給憑證授權單位，由憑證授權單位產生認證。
上傳CA認證CA.crt和驗證認證verificationCert.crt。
1. 在CA認證頁面單擊註冊認證。
2. 在彈出的註冊CA認證面板中，分別單擊上傳驗證認證和上傳CA認證，按提示上傳CA認證和驗證認證，然後單擊確定。

下載CA認證

您可以將CA認證下載到本地進行備份或查看其詳細資料。

在CA認證列表中，選擇目標CA認證，在其操作列單擊下載。

查詢CA認證

查詢所有CA認證

在CA認證頁面，認證列表中展示該執行個體下所有註冊的CA認證。

精確查詢CA認證

在CA認證列表上方的輸入框中，輸入指定CA認證的SN序號，然後單擊搜尋。

查詢CA認證下的裝置認證

在CA認證列表中，選擇目標CA認證，在其操作列單擊裝置認證。

頁面將自動跳轉到裝置認證，且列表中展示目標CA認證所簽發且登入的所有裝置認證。

啟用或登出CA認證

您可以通過啟用和登出改變CA認證的生效狀態。認證狀態包含啟用和未啟用。CA認證在服務端註冊後預設為啟用狀態。

重要

登出CA認證，會將其簽發的且在服務端註冊的所有裝置認證一起登出；同樣啟用CA認證也會將其簽發的裝置認證一起啟用。

認證為啟用狀態：若您需要臨時禁用某個認證，可以將該認證登出，登出後認證不可用。
認證為未啟用狀態：若您要恢複某個認證，可以將該認證重新啟用。

在CA認證列表中，選擇目標CA認證，在其操作列單擊登出或啟用。

刪除CA認證

重要

刪除CA認證表示將指定的CA認證資訊及其簽發的所有裝置認證資訊從服務端的儲存記錄中全部刪除，並非將認證內容直接刪掉。刪除後CA認證和其簽發的裝置認證都將無法用於認證，重新註冊後才能繼續使用。

在CA認證列表中，選擇目標CA認證，在其操作列單擊刪除。
在彈出的提示對話方塊中單擊確定。