使用场景
“一机一证” 实际是双向认证的一种特殊情况,每个客户端(每台设备)使用自行签发的 CA 证书及 CA 证书签发的不同的客户端证书(设备证书)进行认证。
消息队列 MQTT 版专业集群额外支持了 ”一机一证“ 的功能,您可以在产品的控制台上自由注册和管理设备的 CA 证书和客户端证书(设备证书),在设备出厂前,通过给每台设备烧录独特的设备证书,这样极大程度上降低了单个设备证书泄漏的影响半径。
约束与限制
当前仅专业版/铂金版集群支持使用 JWT 进行认证。
开启一机一证
1. 登录 MQTT 控制台。
2. 在左侧导航栏单击资源管理 > 集群管理,选择好地域后,单击要配置证书的集群的“ID”,进入集群基本信息页面。
3. 在认证管理页面,进入 X.509 证书管理页签,单击右侧的编辑图标 
认证方式:选择 “一机一证” 选项。
服务端证书配置:可以使用 MQTT 提供的默认服务端证书,也可以后续绑定自定义证书。
CA 证书配置:当前仅支持手动上传 CA 证书并注册。开启一机一证认证后,在集群详情页面的 CA 证书管理页面添加 CA 证书。
客户端证书配置:支持自动注册和手动注册两种方式。
自动注册:客户端在连接时自动注册客户端证书,只需要将客户端证书关联的 CA 证书手动注册即可。
手动注册:客户端在连接前,需要手动在客户端证书管理页面先手动上传并注册客户端证书。手动注册客户端证书的操作步骤请参考管理客户端证书。
4. 单击提交,完成认证方式配置。
配置证书
选择好认证方式后,需配置相关的证书,具体说明和参考文档如下:
配置 TLS 版本(可选)
若您的集群中部分设备或 SDK 因仅支持特定版本的 TLS 协议,导致与默认配置的服务端无法完成握手而连接失败时,可通过 TLS 协议版本配置的功能调整服务端所支持的 TLS 协议版本范围,使通信双方能够协商出一个共同认可的协议版本,从而解决因版本不匹配产生的兼容性问题,确保所有组件都能成功建立安全连接,保障集群通信的稳定性。
注意:
修改服务端支持的 TLS 协议版本配置后,将立即生效,影响集群下所有新连接/重新连接的客户端,请谨慎操作。
服务端默认支持 TLS 1.0 至 TLS 1.3 的全部版本,如需修改可参考如下配置步骤:
1. 进入 集群管理 > 认证管理,二级页签选择 X.509 证书管理,单击 TLS 协议版本配置右侧的编辑图标 
2. 在弹窗中选择支持的 TLS 版本范围。由于 TLS 协议仅支持开启连续版本或单一版本,因此修改配置方法如下:
若要启用连续版本(如 TLS 1.1 和 TLS 1.2):请先选择其中一个版本作为“最低版本”,再选择另一个版本作为“最高版本”,单击确定提交配置。
若要仅启用单个版本(如仅启用 TLS 1.2):请连续两次单击该版本,单击确定提交配置。
