创建证书签名申请(CSR)

获取 EnOS CA 颁发的 X.509 证书,需要为设备或应用创建证书签名申请(CSR)文件。

以下步骤以使用 OpenSSL 为例,介绍创建 CSR 文件的流程:

  1. 生成设备密钥对。EnOS 目前支持 RSA 和 ECC 两种证书,他们对应的私钥分别是 RSA 私钥和 EC 私钥。

    • 生成 RSA 私钥

      openssl genrsa -out <key_name>.key 2048
      
    • 生成 EC 私钥

      openssl ecparam -genkey -name prime256v1 -noout -out <key_name>.key
      

    备注

    <key_name> 替换为你的密钥名称,例如 deviceCert

  2. 为设备或应用创建证书签名申请(CSR)文件。

    openssl req -new -key <key_name>.key -out <csr_name>.csr -sha256
    

    备注

    替换 <key_name> 为步骤1中生成的密钥名,替换 <csr_name> 为你的 CSR 文件名,例如 deviceCert

  3. 执行命令之后,需要提供以下信息:

    CSR 文件相关信息

    主体字段

    是否必须

    描述

    最大长度

    对应的申请主体字母

    Country Name

    国家代号。具体国家代号,参见 Country code

    2个字符

    C

    State or Province Name

    国家或省份名称

    64个字符

    ST

    Locality Name

    城市名称

    64个字符

    L

    Organization Name

    组织名称

    64个字符

    O

    Organizational Unit Name

    组织单位或部门名称

    64个字符

    OU

    Common Name

    常用名。申请新证书的,其常用名不能与任何已有设备或应用的常用名重复

    64个字符

    CN

    Email Address

    电子邮箱地址

    64个字符

    EA

备注

  • 有时候可能有表中未列举的字段弹出需要输入,此时可以直接按回车键跳过输入。

  • 如果是为已有设备或应用更新证书的,其 CSR 文件中的 Common Name 填写目标设备或应用的旧 CSR 中的 Common Name 即可。


系统管理员可以在 证书管理 界面查看有关申请 CSR 文件的信息。进入路径 EnOS 管理控制台 > 系统管理 > 证书管理


../../_images/csr_code.png
  • 申请主体:X.509 证书的主体,由 CSR 文件信息中主题字段的属性-值对组成。缩写的对应字段,参见上表 CSR 文件相关信息内的“对应的申请主体字母”。若需查看完整信息,将鼠标悬停在文本上或拖拽表头变更表列宽度。

  • 申请来源:即直接调用证书服务的主体

  • 签发时间:证书有效期的起始时间

  • 有效期至:证书的最终有效期

  • 审批人:签发证书的审批人

  • 证书状态:当前证书状态:有效、已过期、已撤销

  • OU ID:资产所属的组织 ID。

  • 更多信息:资产的 device key 和 product key。


将鼠标悬停在右侧的图标上,则可查看审批方式,撤销证书人和撤销原因。