乐山演示服务器提供了根CA
如果要使用带证书的DTLS(x509(模式连接客户端,则客户端需要信任此证书才能接受与此服务器的DTLS连接。
我想做的是制作一个由乐山演示服务器提供的Root CA签名的新x509证书。这个根CA是der格式的,我不知道如何将它与openSSL一起使用。
我尝试使用openssl ca,但它说无法加载ca私钥。
要对证书进行签名,您需要签名者CA的私钥。然后使用公钥(可能来自签名CA证书(来验证该签名。
在我看来,x509提高了物联网的安全性,这是一个非常常见的误解。特别是,如果它的工作原理不太清楚,它通常会引起更多的麻烦,然后就会有所帮助。CoAP/DTLS还提供其他方式,例如原始公钥(RFC 7250(或PSK-ECDHE。不管怎样,如果你想/必须使用x509,让我推荐你,让你在前面更常见。
仅举一例:如果你最终想签署你的设备证书,你可以由另一个CA签署,这不是必需的,这是用于签署服务器证书的CA。也许乐山沙盒需要这样做,但这更多的是沙盒运营商的问题(向乐山项目询问(。
对于Eclipse/Californium,使用java密钥工具创建设备证书并在之后导出它更容易。如果您仔细阅读shell脚本,可以获得一些帮助create-keystores.sh。