The Things Network LoRaWAN Stack V3 学习笔记 2.1.2 客户端导入自签名 CA 证书

twowinter

发布于 2020-04-17 11:06:21

1.4K0

发布于 2020-04-17 11:06:21

文章被收录于专栏：twowinter

前言

TTN 的开发环境使用了自签名证书，浏览器端在进行OAUTH登录时会弹出警告，当然我们可以无视警告强制跳转。但本地客户端 CLI 也需要进行 SSL 交互，因此本地也需要添加 CA 证书。

否则会出现如下错误提示。

# ./ttn-lw-cli login --callback=false
  INFO Opening your browser on https://localhost:8885/oauth/authorize?client_id=cli&redirect_uri=code&response_type=code
  WARN Could not open your browser, you'll have to go there yourself error=exec: "xdg-open": executable file not found in $PATH
  INFO After logging in and authorizing the CLI, we'll get an access token for future commands.
  INFO Please paste the authorization code and press enter
> MF2XI.NBD2LLJIFOM4ZSOVXTH3GRZN5OMFFZCL3X7XMZQ.RLIIH45DV5467F6SRQMHW5GIL4MU7WMVJUMAMFYN43FF2AU4FNPA
 ERROR Could not exchange OAuth access token    error=Post https://localhost:8885/oauth/token: x509: certificate signed by unknown authority
Post https://localhost:8885/oauth/token: x509: certificate signed by unknown authority

本节则梳理如何在 centos 上添加 CA 证书。

1 TTN Stack 的证书要求

为了让 NS 的传输支持 TLS，Stack 需要 cert.pem 和 key.pem 这两个证书。

正常情况下，我们需要向证书认证机构获得这些证书。比如 Let’s Encrypt 就可以生成免费可信赖的 TLS 证书。“full chain” 用于 cert.pem，以及 “private key” 用于 key.pem。

在开发环境下，你可以生成自签名证书。如果你有 Go 开发环境，可以运行如下命令来为本机产生一个密钥和证书：

$ go run $(go env GOROOT)/src/crypto/tls/generate_cert.go -ca -host localhost

In order for the user in our Docker container to read these files, you have to change the ownership of the certificate and key:

$ chown 886:886 ./cert.pem ./key.pem

If you don’t do this, you’ll get an error saying something like /run/secrets/key.pem: permission denied.

记住，自签名证书无法被浏览器和操作系统所信任，会引起警告和报错，例如 certificate signed by unknown authority 或者 ERR_CERT_AUTHORITY_INVALID。大多数浏览器可以添加一个例外。你也可以使用 CLI 配置来信任证书。

2 CA 证书基础

CA 是 Certificate Authority 的缩写，也叫“证书授权中心”。

https连接过程：客户端发送请求到服务器端服务器端返回证书和公开密钥，公开密钥作为证书的一部分而存在客户端验证证书和公开密钥的有效性，如果有效，则生成共享密钥并使用公开密钥加密发送到服务器端服务器端使用私有密钥解密数据，并使用收到的共享密钥加密数据，发送到客户端客户端使用共享密钥解密数据 SSL加密建立………