MEF Center和MEF Edge认证对接
导入MEF Edge证书
在MEF Edge设备环境上,生成MEF Edge根证书和服务证书。
- 以root用户登录设备环境。
- 导出证书请求文件。MEF Edge安装成功后,进入“安装路径/MEFEdge/software”目录,执行run.sh exportcsr命令,在当前路径下生成证书请求文件“设备SN号_edge_hub.csr”。
cd 安装路径/MEFEdge/software/ ./run.sh exportcsr
- 准备MEF Edge根证书。
用户可选择已有根证书或自签名根证书。自签名根证书准备可参考使用OpenSSL制作CA证书参考。
- 签发MEF Edge服务证书。
使用用户生成的MEF Edge根证书签发MEF Edge服务证书,并将服务证书放在设备环境任意路径下,如“/home/service_cert”。若用户选择使用OpenSSL自签发服务证书,可参考使用OpenSSL签发服务证书参考。
- 导入签发的MEF Edge服务证书。
在MEF Center设备环境上,导入MEF Edge生成的根证书。
- 获取并查看准备MEFEdge根证书中的MEF Edge根证书内容。
若用户使用已有的证书,且证书格式为非pem格式,需要先将证书格式转为pem格式,格式转换命令参考如下
openssl x509 -outform pem -in xxx.crt -out xxx.crt
- 将MEF Edge根证书内容使用base64编码后,通过MEF Center证书导入接口导入。MEF Center证书导入接口参见导入根证书,请求体参数“certName”需设置为“hub_client”。
导入新的MEF Edge根证书后,需要重启MEF Center的edge-manager模块。
配置网管
在MEF Edge设备环境上,导入MEF Center的根证书并执行命令进行网管配置。
- 以root用户登录设备环境。
- 获取MEF Center根证书。参考导出根证书,URL参数选择“hub_svr”。
- 将MEF Center根证书上传至MEF Edge设备任意路径下(该目录权限建议为其他用户不可写)。
- 执行以下命令,进入到网管配置文件所在路径。
cd 安装路径/MEFEdge/software/
- 执行以下命令,进行网管配置。
./run.sh netconfig [--net_type=MEF] --ip=<MEF Center IP地址> [--port=<MEF Center端口号>] --root_ca=<MEF Center根证书路径/证书名.crt> [--test_connect=true]
表1 netconfig参数说明 参数
是否可选
说明
--net_type
可选
表示网管模式,取值为“MEF”。不配置该参数时,默认为“MEF”。
--ip
必选
MEF Center的访问IP地址。
说明:仅支持Ipv4,不能为全零地址(0.0.0.0),广播地址(255.255.255.255)和本地IP。
--port
可选
表示MEF Center的端口号,取值范围为1025~65535。该参数为可选参数,不配置该参数时,使用默认端口30003。如果曾多次配置端口号,以最近一次配置的端口号为准。
--root_ca
必选
表示导入的MEF Center根证书文件路径。路径要求其属主为root, 属组和其他用户没有写权限,且大小不超过1MB。
说明:当证书过期或者被吊销导致设备无法与MEF Center对接时,请重新导入MEF Center根证书文件。
--test_connect
可选
表示网管配置时是否对设备与MEF Center的连通性进行测试。该参数为可选参数,不配置该参数时默认为“true”。- 如果配置该参数且取值配置为“true”,则会对节点ID和设备与MEF Center的连通性进行测试,如果测试不通过,则对接MEF Center失败。
- 如果配置该参数且取值配置为“false”或者不配置该参数,则不会对节点ID和设备与MEF Center的连通性进行测试,但可能会导致后续对接MEF Center失败。
重新配置网管参数后,需要重启MEF Edge才能生效。