华为云用户手册

修改企业版实例信息 IoTDA企业版实例创建成功后，您可以根据自己的业务情况对IoTDA企业版实例的部分参数进行调整，包括实例名称、描述等信息。 访问设备接入服务，单击“管理控制台”进入设备接入控制台。 选择左侧导航栏“IoTDA实例”，单击企业版实例名称进入实例详情页面。 修改实例参数。 单击实例名称后的，修改实例名称。 实例名称支持中文汉字、英文字母、数字、下划线（_）、中划线（-）。长度不能超过64个字符，一个中文汉字计一个字符。 图1 实例管理-修改实例名称

接入信息配置 IoTDA企业版实例创建成功后，您可以根据自己的业务情况配置接入域名和对应的服务器证书。 访问设备接入服务设备接入服务，单击“管理控制台 ”进入设备接入控制台。 选择左侧导航栏“IoTDA实例”，单击企业版实例名称进入实例详情页面。 配置接入域名，单击接入域名下方的“未配置”，配置应用和设备接入平台的域名信息。您需要在域名提供商如华为云域名注册服务配置DNS，添加域名到公网接入地址的解析记录。 按照工信部要求，您配置的自定义域名需要提前完成ICP备案。 图3 实例管理-配置接入域名 您可以根据业务情况单击进入更新证书页面，配置自定义的服务器证书。自签名证书存在安全隐患，建议使用云证书管理服务购买证书、或购买其他权威机构颁发的证书。证书更新后可以通过浏览器访问公网地址或第三方工具校验证书是否更新成功。 图4 实例管理-更新证书 在支持国密的企业版实例中，MQTTS设备接入协议还允许配置支持国密算法的自定义签名证书和加密证书，签名证书和加密证书的CA必须一致。 图5 上传国密证书 更新证书后，可能导致证书校验异常，原有设备或应用无法接入物联网平台，请谨慎操作。

签发设备证书 使用OpenSSL工具为设备证书生成密钥对，即”设备证书（客户端证书）私钥”。 openssl genrsa -out deviceCert.key 2048 使用密钥对生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1所示。 表2 证书签名请求文件参数列表 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和上一步骤中生成的CSR文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成”验证CA证书”流程。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整

验证CA证书 登录设备发放控制台。 在设备发放控制台，左侧导航窗格中，选择“证书”，单击“证书列表”条目的操作栏中的“验证证书”。 在上传验证证书页面，单击“生成验证码”，单击“复制图标”复制此CA证书的随机验证码。 CA证书验证码有效期为一天，请及时使用验证码生成验证证书并完成验证。 验证码的生成为替换机制，即对于一个CA证书，即使此前的验证码未过期，也将被新生成的验证码替换。 使用OpenSSL工具为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写此验证码。 使用CA证书、CA证书私钥和上一步骤中生成的CSR文件创建验证证书（verificationCert.crt）。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 36500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。

制作CA证书 在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。 在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。 生成密钥对（rootCA.key）： 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件： 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。 表1 证书签名请求文件参数列表 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

概述 设备鉴权是指物联网平台对接入平台的设备进行身份认证。对于不同接入方式的设备，鉴权方式不同。 接入类型 鉴权方式 使用LwM2M/CoAP协议接入的设备 在设备接入物联网平台前，用户通过应用服务器调用创建设备接口或通过控制台在物联网平台注册设备。若为非安全设备，在设备接入物联网平台时携带设备唯一标识，完成设备的接入鉴权；当采用DTLS/DTLS+传输层安全协议接入时，即设备为安全设备时，携带密钥和nodeId完成设备的接入鉴权。 使用原生MQTT/MQTTS协议接入的设备 使用密钥鉴权： 在设备接入物联网平台前，用户通过应用服务调用创建设备接口或通过控制台在物联网平台注册设备，获取设备ID和密钥，并把设备ID和密钥烧录到设备中。针对使用MQTTS协议接入的设备，需要在设备侧预置CA证书；针对使用MQTT非安全协议接入的设备，无需在设备侧预置CA证书。在设备接入物联网平台时携带设备ID和密钥，完成设备的接入鉴权。 使用证书鉴权： 在设备接入物联网平台前，用户通过控制台上传设备CA证书，然后应用服务调用创建设备接口或通过控制台在物联网平台注册设备，获取设备ID，并把设备ID烧录到设备中。在设备接入物联网平台时携带设备侧X.509证书，完成设备的接入鉴权。 使用自定义模板鉴权： 用户可以通过配置自定义鉴权模板，对平台提供的内部函数进行编排，灵活自定义MQTT设备鉴权三元组参数ClientId、Username、Password，实现自定义设备鉴权。 父主题： 设备鉴权

Fn::SubStringAfter 内部函数Fn::SubStringAfter截取字符串指定分隔符后的子字符串。 JSON { "Fn::SubStringAfter" : ["content", "separator"] } 表16 参数说明 参数名称 类型 说明 content String 待截取的字符串。 separator String 分隔符。 返回值 String 字符串被指定分隔符分割后的子字符串。 示例如下： { "Fn::SubStringAfter": ["content:123456", ":"] ] return: "123456"

Ref 内部函数Ref将返回指定引用参数的值，引用参数必须在模板中有声明。 JSON { "Ref" : "paramName" } 表18 参数说明 参数名称 类型 说明 paramName String 引用的参数名称。 返回值 String 引用参数对应的值。 示例如下： { "Ref": "iotda::mqtt::username" } 当参数iotda::mqtt::username="device_123" return: "device_123"

Fn::Sub 内部函数Fn::Sub将输入字符串中的变量替换为指定的值。在模板中你可以使用此函数来构造一个动态的字符串。 JSON { "Fn::Sub" : [ "String", { "Var1Name": Var1Value, "Var2Name": Var2Value } ] } 表15 参数说明 参数名称 类型 说明 String String 一个包含变量的字符串，变量使用“${}”占位符定义。 VarName String 变量名称，必须在参数“String”中定义。 VarValue String 变量的取值，支持函数嵌套。 返回值 String 返回原始“String”参数字符串变量替换后的值。 示例如下： { "Fn::Sub": ["${token};hmacsha256", { "token": { "Fn::HmacSHA256": ["${iotda::mqtt::username}", { "Fn::Base64Decode": "${iotda::mqtt::client_id}" }] } }] } 当变量 ${iotda::mqtt::username}="test_device_username" ${iotda::device::client_id}="OozqTPlCWTTJjEH/5s+T6w==" return："0773c4fd6c92902a1b2f4a45fdcdec416b6fc2bc6585200b496e460e2ef31c3d"

Fn::SubStringBefore 内部函数Fn::SubStringBefore截取字符串指定分隔符前的子字符串。 JSON { "Fn::SubStringBefore" : ["content", "separator"] } 表17 参数说明 参数名称 类型 说明 content String 待截取的字符串。 separator String 分隔符。 返回值 String 字符串被指定分隔符分割前的子字符串。 示例如下： { "Fn::SubStringBefore": ["content:123456", ":"] ] return: "content"

Fn::Split 内部函数Fn::Split将一个字符串按指定的分隔符分割成字符串数组。 JSON { "Fn::Split" : ["String", "Separator"] } 表13 参数说明 参数名称 类型 说明 String String 被分割的字符串。 Separator String 分隔符。 返回值 String[] 原始参数String被分隔符Separator拆分后的字符串数组。 示例如下： { "Fn::Split": ["a|b|c", "|"] } return: ["a", "b", "c"]

Fn::Base64Decode 内部函数Fn::Base64Decode将一个字符串按BASE64解码成一个字节数组。 JSON { "Fn::Base64Decode" : "content" } 表2 参数说明 参数名称 类型 说明 content String 待解码的字符串。 返回值 byte[] base64解码后的字节数组。 示例如下： { "Fn::Base64Decode": "123456"] } return: d76df8e7 //为了方便展示，此处转化为16进制字符串

Fn::HmacSHA256 内部函数Fn::HmacSHA256将一个字符串按给定密钥进行HmacSHA256算法加密。 JSON {"Fn::HmacSHA256": ["content", "secret"]} 表5 参数说明 参数名称 类型 说明 content String 待加密的字符串。 secret String 或 byte[] 加密密钥，可以是字符串或者字节数组类型 返回值 String 使用HmacSHA256算法加密后的值。 示例如下： { "Fn::HmacSHA256": ["testvalue", "123456"] } return: "0f9fb47bd47449b6ffac1be951a5c18a7eff694940b1a075b973ff9054a08be3"

Fn::MathDiv 内部函数Fn::MathDiv将两个整数进行数学除法运算。 JSON {"Fn::MathDiv": [X, Y]} 表8 参数说明 参数名称 类型 说明 X long 被除数。 Y long 除数。 返回值 long X 除Y后的值。 示例如下： { "Fn::MathDiv": [10, 2] } return: 5 { "Fn::MathDiv": [10, 3] } return: 3

Fn::SplitSelect 内部函数Fn::SplitSelect将一个字符串按指定的分隔符分割成字符串数组，然后返回数组指定索引的元素。 JSON { "Fn::SplitSelect" : ["String", "Separator", index] } 表14 参数说明 参数名称 类型 说明 String String 被分割的字符串。 Separator String 分隔符。 index int 返回元素在数组中的索引值，从0开始。 返回值 String 字符串按特定分隔符分割后指定索引的子字符串。 示例如下： { "Fn::SplitSelect": ["a|b|c", "|", 1] } return: "b"

Fn::Base64Encode 内部函数Fn::Base64Encode将一个字符串按BASE64编码。 JSON {"Fn::Base64Encode": "content"} 表3 参数说明 参数名称 类型 说明 content String 待编码的字符串。 返回值 String base64编码后的字符串。 示例如下： { "Fn::Base64Encode": "testvalue" } return: "dGVzdHZhbHVl"

Fn::GetBytes 内部函数Fn::GetBytes返回一个字符串UTF-8编码的字节数组。 JSON {"Fn::GetBytes": "content"} 表4 参数说明 参数名称 类型 说明 content String 待编码的字符串。 返回值 byte[] 字符串UTF-8编码后的字节数组。 示例如下： { "Fn::GetBytes": "testvalue" } return: "7465737476616c7565" //为了方便展示，此处转化为16进制字符串

Fn::Join 内部函数Fn::Join可将多个字符串（数量最大值为10）拼接成一个字符串。 JSON {"Fn::Join": ["element", "element"...]} 表6 参数说明 参数名称 类型 说明 element String 需拼接的字符串。 返回值 String 子字符串拼接在一起后的字符串。 示例如下： { "Fn::Join": ["123", "456", "789"] } return: "123456789"

使用说明 华为云IoTDA提供了多个内部函数供用户在模板中使用，使用时请认真阅读每个函数的功能定义，包括入参类型，参数长度，返回值类型等。 整个函数必须是合法的Json格式。 函数中可使用${}变量占位符或者"Ref"函数引用入参定义的参数值。 函数所使用的参数必须在模板参数中声明。 单一入参的函数后面直接跟参数，比如："Fn::Base64Decode": "${iotda::mqtt::username}"。 多个入参的函数后面接数组格式，比如："Fn::HmacSHA256": ["${iotda::mqtt::username}", "${iotda::device::secret}"]。 函数可以嵌套使用，即一个函数的参数可以是另一个函数，注意嵌套函数的返回值必须跟当前函数参数类型一致，比如：{"Fn::HmacSHA256": ["${iotda::mqtt::username}", {"Fn::Base64Encode": "${iotda::device::secret}"}]}

示例1 证书认证设备，不限制UserName与ClientId参数取值，从设备证书通用名称（Common Name）中取值设备ID。 表1 鉴权参数 参数 说明 Client ID 任意值 User Name 任意值 Password 空值 鉴权模板： { "template_name": "template1", "description": "template1", "template_body": { "parameters": { "iotda::certificate::common_name": { "type": "String" } }, "resources": { "device_id": { "Ref": "iotda::certificate::common_name" } } } }

示例2 设备ID格式为：${ProductId}_${NodeId}。 表2 鉴权参数 参数 说明 Client ID 固定格式： ${ClientId}|securemode=2,signmethod=hmacsha256|timestamp=${timestamp}| ${ClientId}： 固定格式 ${ProductId}.${NodeId}。 ${NodeId}： 设备标识码。 ${ProductId}：产品ID。 ${timestamp}：Unix时间戳，毫秒。 User Name 由设备标识码和产品ID组成，固定格式： ${NodeId}&${ProductId} Password 以设备密码为密钥，将设备参数与参数值拼接后的字符串为加密串进行hmacsha256算法加密。 加密串格式： clientId${clientId}deviceName${nodeId}productKey${productId}timestamp${timestamp} ${ClientId}： 固定格式 ${ProductId}.${NodeId}。 ${NodeId}： 设备标识码。 ${ProductId}：产品ID。 ${timestamp}：时间戳。 鉴权模板： { "template_name": "template2", "description": "template2", "template_body": { "parameters": { "iotda::mqtt::client_id": { "type": "String" }, "iotda::mqtt::username": { "type": "String" }, "iotda::device::secret": { "type": "String" } }, "resources": { "device_id": { "Fn::Join": [{ "Fn::SplitSelect": [ "${iotda::mqtt::username}", "&", 1 ] }, "_", { "Fn::SplitSelect": [ "${iotda::mqtt::username}", "&", 0 ] }] }, "timestamp": { "type": "UNIX", "value": { "Fn::MathDiv": [{ "Fn::ParseLong": { "Fn::SplitSelect": [{ "Fn::SplitSelect": ["${iotda::mqtt::client_id}", "|", 2] }, "=", 1] } }, 1000] } }, "password": { "Fn::HmacSHA256": [{ "Fn::Sub": [ "clientId${clientId}deviceName${deviceName}productKey${productKey}timestamp${timestamp}", { "clientId": { "Fn::SplitSelect": [ "${iotda::mqtt::client_id}", "|", 0 ] }, "deviceName": { "Fn::SplitSelect": [ "${iotda::mqtt::username}", "&", 0 ] }, "productKey": { "Fn::SplitSelect": [ "${iotda::mqtt::username}", "&", 1 ] }, "timestamp": { "Fn::SplitSelect": [{ "Fn::SplitSelect": ["${iotda::mqtt::client_id}", "|", 2] }, "=", 1] } } ] }, "${iotda::device::secret}" ] } } } }

示例3 设备ID格式为：${productId}${nodeId}。 表3 鉴权参数 参数 说明 Client ID 固定格式： ${productId}${nodeId} ${productId}：产品ID。 ${nodeId}： 设备标识码。 User Name 固定格式： ${productId}${nodeId};12010126;${connid};${expiry} ${productId}： 产品ID。 ${nodeId}： 设备标识码。 ${connid}：一个随机字符串。 ${expiry}：Unix时间戳，单位秒。 Password 固定格式： ${token};hmacsha256 ${token}：以BASE64解码后的设备密码为密钥，对User Name字段进行hmacsha256算法加密后的值。 鉴权模板： { "template_name": "template3", "description": "template3", "template_body": { "parameters": { "iotda::mqtt::client_id": { "type": "String" }, "iotda::mqtt::username": { "type": "String" }, "iotda::device::secret": { "type": "String" } }, "resources": { "device_id": { "Ref": "iotda::mqtt::client_id" }, "timestamp": { "type": "UNIX", "value": { "Fn::ParseLong": { "Fn::SplitSelect": ["${iotda::mqtt::username}", ";", 3] } } }, "password": { "Fn::Sub": [ "${token};hmacsha256", { "token": { "Fn::HmacSHA256": [ "${iotda::mqtt::username}", { "Fn::Base64Decode": "${iotda::device::secret}" } ] } } ] } } } }

约束与限制 使用自定义鉴权功能，要求设备必须使用TLS同时支持SNI(Server Name Indication)，SNI中需要携带平台分配的域名。 默认每个用户最多支持5个自定义鉴权模板，只能启用一个激活状态的模板。 鉴权模板函数嵌套最大深度为5层。 模板内容体最大长度不能超过4000字符，且不能包含中文字符。 设备为密钥认证类型时，模板密码函数必须包含设备原始密钥参数(iotda::device::secret)。 使用模板鉴权时，鉴权参数username不能与自定义函数鉴权username格式重叠，否则会使用自定义函数鉴权，比如： {deviceId}|authorizer-name={authorizer-name}|xxx 自定义模板鉴权优先级高于平台默认鉴权，即激活自定义鉴权模板后设备就会使用模板鉴权，不会再使用平台默认鉴权方式。

设备引导 下载并修改华为SDK示例代码进行设备引导（这里以java sdk代码为示例）。 用IDEA/Eclipse打开SDK代码工程，修改DEMO示例BootstrapSample中的参数，其中deviceId和secret替换为步骤3中生成的设备ID和密钥即可，bootstrapUri为获取设备发放终端节点对应的终端节点。 运行DEMO程序，看到如下日志，代表设备发放成功，并且已经收到设备发放下发的设备接入地址。如果程序运行没报错，在对应的设备接入平台可以看到设备，并已在线。

生成设备证书 使用OpenSSL工具为设备证书生成密钥对（设备私钥）： openssl genrsa -out deviceCert.key 2048 使用设备密钥对，生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表2所示。 表3 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和CSR文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成“上传并验证CA证书”。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。

上传并验证CA证书 登录设备发放控制台，进入“证书”界面，单击右上角“上传CA证书”，填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书（rootCA.crt文件）”，单击“确定”。 验证步骤1中上传的CA证书，只有成功验证证书后该证书方可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 获取随机验证码。 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写前一过程中获取到的随机验证码。 使用CA证书、CA证书私钥和CSR文件创建验证证书（verificationCert.crt）。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数，此处示例为500天，您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。

制作CA证书 在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。 在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。 生成密钥对（rootCA.key）： 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件： 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。 表1 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息和 General 信息。其中General 信息可以用工具默认的参数配置。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 注：注册组的场景不存在选择产品，所以命名需要注意：如果命名字符串有“_”，那么第一项必须为对应设备接入已经存在的产品ID，如果不包括“_”，那么可以随意命名。 选择开启 SSL/TLS，勾选Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤后，单击“Apply”和“OK”进行保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

设备发放对返回参数的约束 表1 TdpFuncResult 名称 说明 类型 statusCode String 函数执行状态码，用于标识函数执行过程是否出现异常，遵循HTTP状态码含义。 body String 字符串，但格式为JSON，结构为TdpFuncBody。 表2 TdpFuncBody 名称 说明 类型 status String 设备发放业务功能标识，allow表示发放成功，deny表示发放失败，设备发放使用此标识判断函数内业务功能执行成功与否。 context TdpFuncBodyContext 扩展字段，用于承载函数执行结果。 表3 TdpFuncBodyContext 名称 说明 类型 allocationResult String 发放结果，存放发放接口返回的响应结构体。 errorCode String 错误码，如发放失败，则此值需不为空。 errorMsg String 错误描述，如发放失败，则此值需不为空。 发放设备成功的返回参数样例 { "statusCode": 200, "body": "{\"status\":\"allow\",\"context\":{\"allocationResult\":\"dps返回的下发结果\"}}" } 发放设备失败的返回参数样例 { "statusCode": 200, "body": "{\"status\":\"deny\",\"context\":{\"errorCode\":\"错误码\",\"errorMsg\":\"错误描述\"}}" }

了解函数接口定义 函数服务对函数有明确的接口定义。 以java语言为例，接口定义为：作用域 返回参数 函数名（函数参数，Context参数）。 作用域：提供给FunctionGraph调用的用户函数必须定义为public。 返回参数：用户定义，FunctionGraph负责转换为字符串，作为HTTP Response返回。对于返回参数对象类型，HTTP Response该类型的JSON字符串。 函数名：用户定义函数名称。 用户定义参数：当前函数只支持一个用户参数。对于复杂参数，建议定义为对象类型，以JSON字符串提供数据。FunctionGraph调用函数时，解析JSON为对象。 Context参数：runtime提供函数执行上下文，其接口定义在SDK接口说明。 创建Java函数时，函数入口参数需要提供函数完整的名字空间，参数格式为：包名.类名.函数名。 设备发放在此基础上，要求函数代码满足如下条件： 返回参数：需满足设备发放对返回参数的约束； 函数参数：需满足设备发放对函数参数的约束； 函数接口实现：从函数参数中的备选接入点中选择一个接入点，调用发放设备接口，根据接口响应拼接参数返回。