為什么有這個需求

TDengine IDMP （以下簡稱“IDMP”）的用戶在訪問 IDMP 的 web 頁面方面大致分為 2 種：

1. IDMP 只在公司內(nèi)部使用，不會公布到互聯(lián)網(wǎng)上，大多數(shù)用戶應(yīng)該是使用這種方法
2. IDMP 會發(fā)布到互聯(lián)網(wǎng)上，用戶自己申請證書

針對公司內(nèi)部系統(tǒng)（不對外）的情況，申請 SSL 證書的核心思路與對外服務(wù)網(wǎng)站完全不同。公網(wǎng) SSL 證書要求域名必須能從互聯(lián)網(wǎng)解析以完成所有權(quán)驗證，而內(nèi)部系統(tǒng)使用的通常是無法從公網(wǎng)訪問的私有域名或 IP 地址，無法通過常規(guī)方式申請公網(wǎng)信任的證書。

我們不推薦給用戶主動去申請這個 IDMP 的證書，正常情況下，用戶自己的系統(tǒng)需要他們自己申請維護證書。

如果用戶想要使用 Excel 的 addin 功能，那必須配置證書才可以。我們的 IDMP 內(nèi)置了一個證書，但是只有 3 個月有效期，這對于使用方法 1 的用戶來說比較麻煩。有的用戶即使選擇方法 1，也可能會考慮自己去申請證書。但有的用戶就不希望麻煩，希望我們直接給他們設(shè)置好。

正好有個用戶遇到了這個情況，而且他們不會公布到互聯(lián)網(wǎng)上，他不希望自己去折騰證書，希望我們來處理完成。我在我們自己內(nèi)部環(huán)境測試驗證了下，可以考慮使用自簽證書，幫用戶解決這個問題。

證書申請操作方法

我們默認安裝完成 IDMP 后，在 config 目錄下會有 2 個文件：

• privkey.pem （私鑰）：這是服務(wù)器的“身份證密鑰”，必須保密，只能放在服務(wù)器上。它用于解密信息并向客戶端證明自己的身份 。
• certbundle.pem （證書包）：這是服務(wù)器的“數(shù)字身份證”，它包含了服務(wù)器的公鑰、身份信息等?？蛻舳藭眠@個文件來驗證它正在通信的服務(wù)器是否是你想要訪問的那個 。

如果不想只有 3 個月使用期限，可以自己配置生成證書。

步驟 1：在一臺管理機器上生成 CA 根證書

# 生成CA私鑰
openssl genrsa -out ca.key 2048

# 生成CA根證書（假如設(shè)置有效期10年）
openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=TDengine/CN=TDengine Internal CA"

步驟 2：在 idmp.tdengine.net 服務(wù)器上生成服務(wù)器證書

登錄到運行 idmp.tdengine.net 的服務(wù)器，執(zhí)行以下命令：

# 1. 生成服務(wù)器私鑰
openssl genrsa -out privkey.pem 2048

# 2. 生成證書簽名請求（CSR）
openssl req -new -key privkey.pem -out idmp.csr \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=TDengine/CN=idmp.tdengine.net"

# 3. 創(chuàng)建擴展配置文件
cat > idmp.ext <<EOF
subjectAltName = DNS:idmp.tdengine.net
EOF


# 4. 使用CA證書簽署，生成服務(wù)器證書

openssl x509 -req -in idmp.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
    -out idmp.crt -days 3650 -sha256 -extfile idmp.ext

# 5. 創(chuàng)建certbundle.pem
cat idmp.crt ca.crt > certbundle.pem

# 6. 查看生成的證書內(nèi)容（確認域名是否正確）
openssl x509 -in certbundle.pem -text -noout | grep -A1 "Subject Alternative Name"

執(zhí)行完后，就得到了：privkey.pem（私鑰）、certbundle.pem（證書包）

步驟 3：客戶端安裝 CA 根證書

將 ca.crt 分發(fā)給所有需要訪問 https://idmp.tdengine.net 的電腦，雙擊安裝到“受信任的根證書頒發(fā)機構(gòu)”。

配置 IDMP 證書

拿到了privkey.pem、certbundle.pem文件后，還需要將 IDMP 里默認自帶的證書進行替換。

首先需要確保 IDMP 的 6034 端口已經(jīng)處于監(jiān)聽狀態(tài)。6034 端口是 IDMP HTTPS 服務(wù)端口。

1. 可以將自帶的證書進行備份一下，例如

 mkdir bak
 mv privkey.pem certbundle.pem bak

2. 拷貝新證書到 /usr/local/taos/idmp/config 目錄下

如果是安裝包安裝，可以直接拷貝替換；

如果是 docker 方式安裝，可以使用 docker cp 拷貝進去，或者映射出 config 目錄，拷貝替換

3. 拷貝完成后，需要重啟 IDMP 的服務(wù)進行生效

4. 客戶端機器安裝根證書，將之前生成的 ca.crt 文件拷貝到客戶端機器，進行安裝，注意：需要將正式安裝到受信任的根證書頒發(fā)機構(gòu)，否則后續(xù) Excel 認證失敗。

5. 域名解析配置

如使用內(nèi)置測試證書，需在客戶端的 hosts 文件中添加域名解析：

192.168.1.100  idmp.tdengine.net  # 請?zhí)鎿Q為實際的服務(wù)器 IP

hosts 文件位置：

• Linux/macOS: /etc/hosts
• Windows: C:\Windows\System32\drivers\etc\hosts

6. 瀏覽器測試訪問 https://idmp.tdengine.net:6034/ 并查看證書信息，確保生效。如果這里看到的仍是之前證書，或者到期的證書，請檢查之前步驟，可能是沒有替換完成或證書有問題。

7. 安裝 Excel addin 插件

以 windows 為列，管理員身份打開 PowerShell，執(zhí)行以下命令：

powershell -ExecutionPolicy ByPass -c "& ([scriptblock]::Create((irm https://taosinstallers.blob.core.windows.net/tdengine-excel-add-in/install.ps1))) -Action Install -ForceCloseExcel -Url 'https://idmp.tdengine.net:6034' -EnableLogging"

Excel 里面選擇獲取加載項，然后點擊共享文件夾，點擊添加 TDengine EAI。

點擊 TDengine EAI 下的設(shè)置按鈕，登錄 IDMP 賬戶即可使用：

8. 如果中間遇到問題，可以嘗試卸載插件、再安裝，卸載命令

powershell -ExecutionPolicy ByPass -c "& ([scriptblock]::Create((irm https://taosinstallers.blob.core.windows.net/tdengine-excel-add-in/install.ps1))) -Action Uninstall -ForceCloseExcel"

至此，Excel addin 的自簽證書 10 年有效期就配置完成了。

注意事項

1. 如果之前安裝的 IDMP 的版本比較低，需要升級到最新版本，否則不支持此功能
2. 有的舊版本 IDMP 里的 https 端口設(shè)置的為 6037 端口，比如 1.0.10.0 版本，還是建議先升級版本（新版本的 https 端口為 6034），如果不想升級，那可以調(diào)整 yml 文件映射的端口
3. 安裝證書時候需要選擇安裝到 受信任的根證書頒發(fā)機構(gòu)，否則無法認證通過

參考：https://idmpdocs.taosdata.com/operation/installation/excel-addin-guide/