华为云用户手册

购买RocketMQ 登录华为云，访问分布式消息服务RocketMQ版， 进入分布式消息服务管理控制台。 单击右上角“购买RocketMQ实例”, 按照需求选择RocketMQ规格，单击“立即购买”。 图1 购买RocketMQ 单击进入购买的RocketMQ实例，开启ACL访问控制后，单击“用户管理”添加用户，可参考创建用户。 图2 添加用户 单击左侧导航栏“topic管理”，单击“创建topic”创建RocketMQ的topic。

流控策略维度 表1 流控策略类型 流控策略类型 描述 实例级别流控 使用此策略类型时，流控的范围为当前实例中所有数据转发的流量，超出流控的数据会被丢弃。 转发通道流控 使用此策略类型时，流控的范围为当前实例中所有转发至指定目标的流量。 转发规则流控 使用此策略类型时，流控的范围为当前实例中所有触发指定转发规则的流量，超出流控的数据会被丢弃。 转发动作流控 使用此策略类型时，流控的范围为当前实例中所有转发至指定动作的流量。 流控策略创建成功后，不支持修改流控策略类型。 超出实例和转发规则级别流控的数据会被丢弃，请慎重考虑后再使用。 同时创建多个不同类型的流控策略，以最先达到流控阈值的策略为准。例如配置了转发规则A的流控大小为50tps，转发规则A下转发动作B的流控大小为100tps，触发转发规则A的流转数据流量为80tps，则触发了转发规则A的流控。

操作步骤 访问设备接入服务，单击“管理控制台 ”进入设备接入控制台。 单击“规则” ，选择“数据转发” ，选择 “策略配置” ，进入流控策略配置界面。 图1 策略配置界面 在弹出的界面中填写相关信息后，单击“确定”即可完成流控策略创建。 图2 创建流控策略 表2 参数说明 参数名称 描述 策略名称 长度为4-256，只允许中文、字母、数字以及_?'#().,&%@!-等字符的组合。 描述 关于该策略的描述，长度为4-256，只允许中文、字母、数字以及_?'#().,&%@!-等字符的组合。 流控大小 取值范围为1-1000。 流控策略类型 包括实例级别流控、转发通道流控、转发规则流控、转发动作流控四种流控策略类型。 转发目标 当流控策略类型为转发通道流控时生效，对应当前实例支持的转发通道类型。 绑定规则 当流控策略类型为转发规则流控时生效，对应IoT物联网平台上的数据转发规则。 绑定动作 当流控策略类型为转发动作流控时生效，对应IoT物联网平台上的数据转发动作。

代码示例 您可以单击这里获取Java SDK接入示例，Demo中涉及的参数说明，请参考AMQP客户端接入说明。 所有示例代码已经包含与服务端断线重连的逻辑。 示例代码中用到的AmqpClient.java、AmqpClientOptions.java、AmqpConstants.java可以从这里获取。 1、创建AmqpClient。 // 以下参数请修改为自己的参数值 AmqpClientOptions options = AmqpClientOptions.builder() .host(AmqpConstants.HOST) .port(AmqpConstants.PORT) .accessKey(AmqpConstants.ACCESS_KEY) .accessCode(AmqpConstants.ACCESS_CODE) .queuePrefetch(1000) // sdk会在内存中分配该参数大小的队列，用来接收消息，客户端内存较小的情况可以调小该参数。 .build(); AmqpClient amqpClient = new AmqpClient(options); amqpClient.initialize();

属性下发使用说明 属性下发分为修改属性与获取属性值，下列以修改属性为例，介绍属性下发。 图1 属性下发流程图 应用调用修改设备属性接口，下发请求到物联网平台，属性下发消息样例如下： PUT https://{endpoint}/v5/iot/{project_id}/devices/{device_id}/properties { "services" : [ { "service_id" : "Temperature", "properties" : { "value" : 57 } }, { "service_id" : "Battery", "properties" : { "level" : 80 } } ] } 物联网平台根据协议规范下发属性给设备。通过MQTT协议中平台设置设备属性接口下发属性为样例： Topic: $oc/devices/{device_id}/sys/properties/set/request_id={request_id} 数据格式： { "object_device_id": "{object_device_id} ", "services": [ { "service_id": "Temperature", "properties": { "value": 57, "value2": 60 } }, { "service_id": "Battery", "properties": { "level": 80, "level2": 90 } } ] } 设备执行属性下发命令后返回命令执行结果，消息样例如下： Topic：$oc/devices/{device_id}/sys/properties/set/response/request_id={request_id} 数据格式： { "result_code": 0, "result_desc": "success" } 应用侧收到发送HTTP下发命令的同步响应结果。消息样例如下： Status Code: 200 OK Content-Type: application/json { "response" : { "result_code" : 0, "result_desc" : "success" } }

和其他服务的关系 设备发放服务与其他服务的关系如表1所示。 表1 与其他服务的关系列表 交互功能 相关服务 位置 创建设备时，需要使用设备接入服务创建的产品 设备接入服务（IoT Device Access，IoTDA） 创建产品 创建自定义策略时需要使用函数 函数工作流服务（FunctionGraph） 创建并初始化函数 创建证书策略使用云证书时，需要去云证书管理服务创建云证书 云证书管理服务（Cloud Certificate Manager Service，CCM） 创建私有CA 父主题： 产品介绍

业务流程 IoT Device SDK提供相关的接口，开发者调用这些接口网关实现与物联网平台的对接。不同语言的SDK的接口名称不一样，每个接口功能请参见IoT Device SDK使用指南（Java）、IoT Device SDK使用指南（C）、IoT Device SDK使用指南（C#）、IoT Device SDK使用指南（Android）、IoT Device SDK Tiny使用指南（C）。 表1 业务流程 应用侧管理子设备业务流程 网关管理子设备业务流程 图2 应用侧管理子设备流程图 图3 网关侧管理子设备流程图 1.在物联网平台上传网关的产品模型，并注册网关设备。 2.网关调用鉴权接口上线 3.在物联网平台上传子设备的产品模型。 4.网关鉴权成功后，应用调用添加子设备接口，填写设备相关信息（与产品模型定义一致）。添加成功后，您可以在物联网平台查看添加的子设备（如何查看？）。您也可以通过控制台添加子设备，详细请查看如何添加？ 4.网关鉴权成功后，网关调用网关新增子设备请求接口，填写设备相关信息（与产品模型定义一致）。平台在处理完成后，将处理结果通过接口网关新增子设备请求响应发送给网关。 5.添加子设备后，子设备状态显示“未激活”。请在子设备添加成功后，或者子设备上报数据前，调用网关更新子设备状态接口进行设备状态更新。 说明： 子设备的状态表示子设备接入网关的状态，由网关上报到物联网平台进行状态的刷新；如果网关不能正常上报子设备的状态信息到物联网平台，则展示的子设备状态不会刷新。例如：某子设备通过网关接入到物联网平台，子设备状态为在线状态，如果此时网关与物联网平台断开连接，则网关不能上报子设备的状态到物联网平台，该子设备的状态会一直显示在线。 6.网关调用批量属性上报接口上报子设备的数据，接口里的参数填写网关和子设备的相关设备信息。 7.网关订阅命令下发Topic，接收并处理应用服务器或物联网平台下发的命令。 8.应用服务器调用删除设备接口，给网关下发删除子设备命令，网关收到该命令后，可以进行相应的业务处理。 8.网关调用网关删除子设备请求接口，平台收到后会进行数据处理，当处理完成后会通过接口网关删除子设备请求响应将结果发送给设备。

概述 物联网平台设备分为直链设备和非直接设备。 直连设备：通过平台支持的协议，直接连接到平台的设备称为直连设备。平台支持直连的协议请参考概述中类型为通用协议，子类型为直连云端中的协议。 非直连设备：针对未实现TCP/IP协议栈的设备，由于无法直接同物联网平台通信，它需要通过网关进行数据转发。网关设备为直连设备，当前仅支持通过mqtt协议直连到平台的设备作为网关设备。 直连设备与非直连设备关系如下图： 图1 网关与子设备

使用X.509证书的鉴权流程 X.509证书是一种用于通信实体鉴别的数字证书。当前物联网平台只支持基于MQTT协议接入的设备使用X.509证书进行设备身份认证，且每个用户最多上传100个设备CA证书。 在控制台上传设备CA证书。 通过调用注册接口向物联网平台发送注册请求或者在控制台上注册设备。 注册时需要填写设备标识码，通常使用MAC地址，Serial No或IMEI作为nodeId。 物联网平台向设备分配全局唯一的设备ID（deviceId）。 用户将设备ID（deviceId）烧录到设备硬件或软固件中。 设备上电后，携带设备侧X.509证书发起接入鉴权请求。 平台验证通过后，返回成功响应，设备连接物联网平台成功。

使用LwM2M/CoAP协议接入的鉴权流程 通过调用注册接口向物联网平台发送注册请求或者在控制台上注册设备。 物联网平台向设备分配密钥，返回timeout。 密钥可以在注册设备时自定义，如果没有定义，平台将自动分配预置密钥。 timeout是指超时时间，若设备在有效时间未接入物联网平台，则平台会删除该设备的注册信息。 用户将密钥烧录到设备硬件或软固件中。 设备上电后，安全设备携带设备唯一标识码nodeId（如IMEI）和密钥发起接入鉴权请求；非安全设备携带设备唯一标识码发起接入鉴权请求。 平台验证通过后，返回成功响应，设备连接物联网平台成功。

创建授权关系 被授权方进入“授权”界面，单击在“被授权列表”下的“发起授权请求”。 被授权方填写授权方的账号名称或者账号ID（即IAM的Domain Name或Domain ID），单击“获取短信验证码”。 系统将向授权方绑定的手机号发送短信验证码，被授权方从授权方获取到短信验证码，填入验证码输入框，填写“描述”信息。 被授权方单击“确定”，授权请求完成，授权关系建立。 被授权方将在“被授权列表”中查看到与其他租户建立的授权关系，授权方将在“授权列表”中查看到与其他租户建立的授权关系。被授权方可删除某一条授权关系，授权方可禁用或删除某一条授权关系。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息和 General 信息。其中General 信息可以用工具默认的参数配置。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 选择开启 SSL/TLS，勾选Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤后，单击“Apply”和“OK”进行保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息和 General 信息。其中General 信息可以用工具默认的参数配置。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 注：注册组的场景不存在选择产品，所以命名需要注意：如果命名字符串有“_”，那么第一项必须为对应设备接入已经存在的产品ID，如果不包括“_”，那么可以随意命名。 选择开启 SSL/TLS，勾选Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤后，单击“Apply”和“OK”保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

生成设备证书 使用OpenSSL工具为设备证书生成密钥对（设备私钥）： openssl genrsa -out deviceCert.key 2048 使用设备密钥对，生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表2所示。 表3 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和CSR文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成“上传并验证CA证书”。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。

上传并验证CA证书 登录设备发放控制台，进入“证书”界面，单击右上角“上传CA证书”，填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书（rootCA.crt文件）”，单击“确定”。 验证步骤1中上传的CA证书，只有成功验证证书后该证书方可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 获取随机验证码。 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写前一过程中获取到的随机验证码。 使用CA证书、CA证书私钥和CSR文件创建验证证书（verificationCert.crt）。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数，此处示例为500天，您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。

制作CA证书 在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。 在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。 生成密钥对（rootCA.key）： 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件： 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。 表2 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

新增注册组 创建注册组。 注册组密钥为长度在”32~128“字节的字节码。在创建密钥注册组时，返回的注册组密钥为“base64编码后的注册组密钥字符串”。 若不指定注册组密钥，则注册组密钥由设备发放服务生成。 若指定注册组密钥，在创建中注册组时需在密钥输入框内填写“指定字节码Base64编码后生成的字符串”。 如果需要下发初始化配置，那么对应在初始设备配置选项中填写对应的JSON字符串，设备发放不理解该字段，只是透传该JSON字符串，由设备理解解析。如果不需要下发该字段则不填 创建完成后会返回注册组密钥，点击复制保存注册组密钥。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息。其中General 可以使用工具默认信息。 其中Broker Address和Broker Port可以参考获取终端节点，Client ID 可以参考MQTT CONNECT连接鉴权参数说明，访问这里填写设备ID（DeviceId）等设备信息，生成连接信息（ClientId、Username、Password）。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 选择开启 SSL/TLS，勾选 Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤设置后，单击“Apply”和“OK”保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

生成设备证书 使用OpenSSL工具为设备证书生成密钥对（设备私钥）： openssl genrsa -out deviceCert.key 2048 使用设备密钥对，生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表2所示。 表3 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和CSR文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成“上传并验证CA证书”。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。

上传并验证CA证书 登录设备发放控制台，进入“证书”界面，单击右上角“上传CA证书”，填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书（rootCA.crt文件）”，单击“确定”。 验证步骤1中上传的CA证书，只有成功验证证书后该证书方可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 获取随机验证码。 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写前一过程中获取到的随机验证码。 使用CA证书、CA证书私钥和CSR文件创建验证证书（verificationCert.crt）。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数，此处示例为500天，您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。

制作CA证书 在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。 在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。 生成密钥对（rootCA.key）： 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件： 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。 表2 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

设置企业版实例公网访问 为了助力企业快速迁移上云，物联网平台提供通过公网、私网、专线等接入形式。 当您需要通过公网地址访问设备接入实例时，可配置实例的公网访问功能。公网访问带宽默认是50Mb/s，无需额外付费。如果您需要扩大带宽，请提交工单说明您的需求。 访问设备接入服务，单击“管理控制台 ”进入设备接入控制台。 选择左侧导航栏“IoTDA实例”，单击实例名称进入实例详情页面。 单击“配置公网接入”，为应用或设备配置公网接入地址，单击“确认”后平台会自动生成公网IP。 图2 实例管理-配置公网接入

修改企业版实例信息 IoTDA企业版实例创建成功后，您可以根据自己的业务情况对IoTDA企业版实例的部分参数进行调整，包括实例名称、描述等信息。 访问设备接入服务，单击“管理控制台”进入设备接入控制台。 选择左侧导航栏“IoTDA实例”，单击企业版实例名称进入实例详情页面。 修改实例参数。 单击实例名称后的，修改实例名称。 实例名称支持中文汉字、英文字母、数字、下划线（_）、中划线（-）。长度不能超过64个字符，一个中文汉字计一个字符。 图1 实例管理-修改实例名称

接入信息配置 IoTDA企业版实例创建成功后，您可以根据自己的业务情况配置接入域名和对应的服务器证书。 访问设备接入服务设备接入服务，单击“管理控制台 ”进入设备接入控制台。 选择左侧导航栏“IoTDA实例”，单击企业版实例名称进入实例详情页面。 配置接入域名，单击接入域名下方的“未配置”，配置应用和设备接入平台的域名信息。您需要在域名提供商如华为云域名注册服务配置DNS，添加域名到公网接入地址的解析记录。 按照工信部要求，您配置的自定义域名需要提前完成ICP备案。 图3 实例管理-配置接入域名 您可以根据业务情况单击进入更新证书页面，配置自定义的服务器证书。自签名证书存在安全隐患，建议使用云证书管理服务购买证书、或购买其他权威机构颁发的证书。证书更新后可以通过浏览器访问公网地址或第三方工具校验证书是否更新成功。 图4 实例管理-更新证书 在支持国密的企业版实例中，MQTTS设备接入协议还允许配置支持国密算法的自定义签名证书和加密证书，签名证书和加密证书的CA必须一致。 图5 上传国密证书 更新证书后，可能导致证书校验异常，原有设备或应用无法接入物联网平台，请谨慎操作。

签发设备证书 使用OpenSSL工具为设备证书生成密钥对，即”设备证书（客户端证书）私钥”。 openssl genrsa -out deviceCert.key 2048 使用密钥对生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1所示。 表2 证书签名请求文件参数列表 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和上一步骤中生成的CSR文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成”验证CA证书”流程。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整

验证CA证书 登录设备发放控制台。 在设备发放控制台，左侧导航窗格中，选择“证书”，单击“证书列表”条目的操作栏中的“验证证书”。 在上传验证证书页面，单击“生成验证码”，单击“复制图标”复制此CA证书的随机验证码。 CA证书验证码有效期为一天，请及时使用验证码生成验证证书并完成验证。 验证码的生成为替换机制，即对于一个CA证书，即使此前的验证码未过期，也将被新生成的验证码替换。 使用OpenSSL工具为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写此验证码。 使用CA证书、CA证书私钥和上一步骤中生成的CSR文件创建验证证书（verificationCert.crt）。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 36500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。

制作CA证书 在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。 在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。 生成密钥对（rootCA.key）： 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件： 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。 表1 证书签名请求文件参数列表 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

概述 设备鉴权是指物联网平台对接入平台的设备进行身份认证。对于不同接入方式的设备，鉴权方式不同。 接入类型 鉴权方式 使用LwM2M/CoAP协议接入的设备 在设备接入物联网平台前，用户通过应用服务器调用创建设备接口或通过控制台在物联网平台注册设备。若为非安全设备，在设备接入物联网平台时携带设备唯一标识，完成设备的接入鉴权；当采用DTLS/DTLS+传输层安全协议接入时，即设备为安全设备时，携带密钥和nodeId完成设备的接入鉴权。 使用原生MQTT/MQTTS协议接入的设备 使用密钥鉴权： 在设备接入物联网平台前，用户通过应用服务调用创建设备接口或通过控制台在物联网平台注册设备，获取设备ID和密钥，并把设备ID和密钥烧录到设备中。针对使用MQTTS协议接入的设备，需要在设备侧预置CA证书；针对使用MQTT非安全协议接入的设备，无需在设备侧预置CA证书。在设备接入物联网平台时携带设备ID和密钥，完成设备的接入鉴权。 使用证书鉴权： 在设备接入物联网平台前，用户通过控制台上传设备CA证书，然后应用服务调用创建设备接口或通过控制台在物联网平台注册设备，获取设备ID，并把设备ID烧录到设备中。在设备接入物联网平台时携带设备侧X.509证书，完成设备的接入鉴权。 使用自定义模板鉴权： 用户可以通过配置自定义鉴权模板，对平台提供的内部函数进行编排，灵活自定义MQTT设备鉴权三元组参数ClientId、Username、Password，实现自定义设备鉴权。 父主题： 设备鉴权

Fn::SubStringAfter 内部函数Fn::SubStringAfter截取字符串指定分隔符后的子字符串。 JSON { "Fn::SubStringAfter" : ["content", "separator"] } 表16 参数说明 参数名称 类型 说明 content String 待截取的字符串。 separator String 分隔符。 返回值 String 字符串被指定分隔符分割后的子字符串。 示例如下： { "Fn::SubStringAfter": ["content:123456", ":"] ] return: "123456"

Ref 内部函数Ref将返回指定引用参数的值，引用参数必须在模板中有声明。 JSON { "Ref" : "paramName" } 表18 参数说明 参数名称 类型 说明 paramName String 引用的参数名称。 返回值 String 引用参数对应的值。 示例如下： { "Ref": "iotda::mqtt::username" } 当参数iotda::mqtt::username="device_123" return: "device_123"