PKI雙向(RESTful API)認證

透過以下三個步驟,使得設備可以透過平台核可的設備憑證,與平台進行雙向認證,突破以往僅能單向確認平台的身分,藉此讓平台也能反向確認設備的合法性

1.申請設備憑證:於IoT智慧聯網大平台中「專案管理/設備管理/憑證申請」申請並下載憑證。

2.設備安裝Agent程式:請參考並修改Java版本-PKI範例程式後,再將其放至終端設備上運行。

3.平台與設備雙向認證:IoT智慧聯網大平台接收到設備的憑證與加密資料,呼叫 CA Server 確認憑證合法性及進行資料解密,完成雙向認證服務。

RSA 與 ECC 憑證加密方式

本平臺的裝置憑證支援RSA以及ECC兩種加密方式,兩者之憑證格式除了金鑰類型之外皆無異,而在相同的安全強度下,ECC的公鑰長度較RSA小且簽章速度較快;但RSA歷史悠久且容易理解和實作,支援的函式庫或系統也比較多。
常用的OpenSSL指令

從「專案管理/設備管理/憑證申請」下載而來的設備憑證格式為PFX(Personal Information Exchange),而預設的密碼則為您的設備編號;考量使用者有其它格式之需求,以下提供使用OpenSSL工具來將PFX拆分為私鑰與憑證的指令:

1.私鑰:openssl pkcs12 -in ECC_12345678.pfx -nocerts -out private_key.pem -nodes

2.憑證:openssl pkcs12 -in ECC_12345678.pfx -nokeys -out certificate_file.crt