文章目录
手把手教你用AT指令+SSL证书,让设备安全连接AWS IoT
一、背景:为什么需要“AT指令+证书”?
在物联网项目中,MCU + 无线通信模组是经典组合。但当MCU资源有限、无法运行完整TLS协议栈时,如何让设备安全连接到服务器?
答案在于:将证书和加密能力下沉到通信模组。
模组内置了SSL/TLS库文件,我们只需通过AT指令上传证书、配置SSL参数,模组就能独立完成与服务器的双向认证。
二、从证书上传到连接成功
第1步:把三份“钥匙”锁进模组
安全连接依赖于三份核心文件:
- CA证书(
cacert.pem):验证服务端身份 - 客户端证书(
client.crt):设备身份证 - 私钥(
client.key):证明设备持有身份
通过 AT+FSUPL 指令,我们将它们写入模组文件系统。指令中的数字为文件大小(字节),输入指令后粘贴证书内容,以 Ctrl+Z 结束。
AT+FSUPL="cacert.pem",1206 //第二位是证书长度
> //证书内容
OK
AT+FSUPL="client.crt",1238//第二位是证书长度
> //证书内容
OK
AT+FSUPL="client.key",1704//第二位是证书长度
> //证书内容
OK
第2步:用 AT+FSATTRI 检查文件属性
看到 1970/01/01 时间戳和 4 权限位,说明文件已安全落盘。稳一点,三个证书建议都查询下
AT+FSATTRI="cacert.pem"
+FSATTRI: 1206,1970/01/01 00:00:00 4
OK
AT+FSATTRI="client.crt"
+FSATTRI: 1238,1970/01/01 00:00:00 4
OK
AT+FSATTRI="client.key"
+FSATTRI: 1704,1970/01/01 00:00:00 4
OK
然后强制要求双向认证(seclevel=2)并锁定TLS 1.2(sslversion=4)。
AT+SSLCFG="sslversion",88,4
OK
AT+SSLCFG="seclevel",88,2
OK
第3步:设置查询 CA 根证书路径
设置路径到对应的证书参数
AT+SSLCFG="cacert",88,"/ca.crt"
OK
AT+SSLCFG="clientcert",88,"/2e9e5e84fe00.crt"
OK
AT+SSLCFG="clientkey",88,"/2e9e5e84fe00.key"
OK
查询证书参数对应的路径
AT+SSLCFG="cacert",88
+SSLCFG:"cacert",88,/cacert.pem
OK
AT+SSLCFG="clientcert",88
+SSLCFG:"clientcert",88,/client.crt
OK
AT+SSLCFG="clientkey",88
OK
第4步:设置MQTT
模式、保活时间、协议版本,端点(端口8883)和客户端ID。
AT+IMQTTMODE=2,1
OK
AT+IMQTTPARA=TIMEOUT,1,CLEAN,0,KEEPALIVE,60,VERSION,3.1.1
OK
AT+IMQTTADDR="*************.amazonaws.com",8883,"testMQTT"
OK
这里是亮点:要用证书认证,但模组有时要求必须填用户名/密码。
我们任意定义了 用户名 和密码,实际连接时模组会优先使用证书——多一步,就少一个坑。
AT+IMQTTUSER="******","******"
OK
第5步:一键发起连接
所有准备就绪,执行 AT+IMQTTCONN。如果看到 OK 或 CONNACK 返回,设备已安全接入
AT+IMQTTCONN
三、开发者经验小结
证书路径必须带斜杠:/cacert.pem 而非 cacert.pem,否则模组找不到文件。
SSL上下文ID要一致:配置、连接、后续发布订阅都用同一个ID(如 88)。
用户名/密码不可省略:即使AWS不需要,某些模组的MQTT指令也会强制校验该字段。随便填,但不要空。
时间戳影响证书验证:如果模组RTC时间不准(比如显示1970年),可能导致证书有效期校验失败。部分模组支持 AT+CCLK 设置当前时间。
拿起模块测试的你,忽然发现这些指令不支持可能使用的不是域格模块
请联系他,域格小黄龙
扫一扫
1129
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
