基于证书的双向认证

天工物接入支持双向认证，在创建身份的时候可以选择“用户名密码方式”连接，或者PKI证书连接，设备嵌入证书即可和云端连接。此时PKI证书不再额外收费。

用户可以使用PKI证书实现和云端的TLS双向链接，保证链路层通道层的加密。

百度智能云IoT的PKI证书服务还支持客户为自己的设备创建CA、证书管理等服务，更多使用百度PKI证书进行设备和云端双向认证的方式，请参考PKI产品文档。

物接入双向认证操作流程如下：

1. 创建身份：创建项目实例后，进入项目，选择身份列表，创建身份，选择证书认证。点击下一步

   

2. 选择绑定策略/创建策略。点击下一步。

   

3. 配置确认后，生成对应证书，点击下载。

   

   会生成如截图的证书：

   

4. 设备嵌入证书，在此以MQTT.fx客户端为例。在Connection Profile中选择SSL/TLS。

   注意：密码换为证书，用户名仍然需要填写

   

• CA File：TLS认证文件点此获取

物接入使用国际通行可信授根机构颁发证书，如若您的运行环境中未能包含此机构，需先下载TLS认证文件，并在代码中指定认证文件的存放路径。

注意：因证书均存在有效期限制，请务必保证设备具备更新证书的能力

• Client Certificate File：将CERTIFICATE这段复制到文本中另存为，导入路径

• Client Key File：将PRIVATE KEY这段复制到文本中另存为，导入路径

鉴于不同客户端嵌入证书的方式不同，我们将CERTIFICATE、PUBLIC KEY、PRIVATE KEY、都集成在同一个文本中。同时在JAVA SDK也支持创建证书、重置证书。详情请参考Java SDK