使用场景
“一机一证” 实际是双向认证的一种特殊情况,每个客户端(每台设备)使用自行签发的 CA 证书及 CA 证书签发的不同的客户端证书(设备证书)进行认证。
消息队列 MQTT 版专业集群额外支持了 ”一机一证“ 的功能,您可以在产品的控制台上自由注册和管理设备的 CA 证书和客户端证书(设备证书),在设备出厂前,通过给每台设备烧录独特的设备证书,这样极大程度上降低了单个设备证书泄漏的影响半径。
约束与限制
当前仅专业版/铂金版集群支持使用 JWT 进行认证。
开启一机一证
1. 登录 MQTT 控制台。
2. 在左侧导航栏单击资源管理 > 集群管理,选择好地域后,单击要配置证书的集群的“ID”,进入集群基本信息页面。
3. 在认证管理页面,进入 X.509 证书管理页签,单击右侧的编辑图标 
认证方式:选择 “一机一证” 选项。
服务端证书配置:可以使用 MQTT 提供的默认服务端证书,也可以后续绑定自定义证书。
CA 证书配置:当前仅支持手动上传 CA 证书并注册。开启一机一证认证后,在集群详情页面的 CA 证书管理页面添加 CA 证书。
客户端证书配置:支持自动注册和手动注册两种方式。
自动注册:客户端在连接时自动注册客户端证书,只需要将客户端证书关联的 CA 证书手动注册即可。
手动注册:客户端在连接前,需要手动在客户端证书管理页面先手动上传并注册客户端证书。手动注册客户端证书的操作步骤请参考管理客户端证书。
4. 单击提交,完成认证方式配置。
配置证书
选择好认证方式后,需配置相关的证书,具体说明和参考文档如下:
