EMQX TSL/SSL自生成证书双向验证

最新推荐文章于 2024-06-03 11:50:50 发布
最新推荐文章于 2024-06-03 11:50:50 发布
阅读量2k 收藏 4
点赞数 3
分类专栏: 系统环境 文章标签: ssl ubuntu 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sunada2401/article/details/117087635
版权

服务器工具:
    EMQX:(版本:4.2.8/4.3.0)
客户端工具:
    MQTTX(版本:5.0)

参考链接:使用 openssl 生成证书(含openssl详解)_未来,你好!-CSDN博客_生成证书原文一、openssl 简介openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。官网:https://www.openssl.org/source/构成部分密码算法库密钥和证书封装管理功能SSL通信API接口用途建立 RSA、DH、DSA key 参数建立 X.5https://blog.csdn.net/gengxiaoming7/article/details/78505107

 

注意事项:

        1.在生成ca.crt、服务端证书请求emqx.csr,客户端证书请求client.csr过程中有出现输入配置时,COMMON NAME一定要填,而且是互不相同:例如ca.crt->common name: sunada.com;emqx.csr->common name: emqx.sunada.com; client.csr->common name: emqx-client.sunada.com.其他的可以默认,直接按回车键
自生成证书工具openssl(ubuntu/windos base):

一:生成自签名的CA key和证书(mqtt服务端和mqtt客户端公用一个CA)
    (备注:自签名证书在ubuntu/windows 用任意系统上的openssl生成均可,建议在ubuntu上,理由是快捷方便,反正最终签发客户端/服务端证书都要用同一个自签名证书)
    1.生成自签名证书的私钥:
        openssl genrsa -out ca.key 2048
    2.用该私钥生成根证书:
        openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt(ca.pem,后面crt都可以定义为pem)
    3.用此根证书是用来给其他实体(指EMQX/不同的client)签发实体证书的。
        解释根证书:
            1).根证书是整个信任链的起点
            2).有了这个根证书,我们就可以用它来给其他实体签发实体证书了
            3).可以有多级根证书,且如果一个证书的每一级签发者向上一直到根证书都是可信的,那个我们                就可以认为这个证书也是可信的

二:生成EMQX(一个mqtt服务端的实体),并且用上面生成的ca.crt跟证书签发EMQX的实体证书
    1.用ubuntu 侧操作
    2.生成emqx的私钥:
        openssl genrsa -out server.key 2048
    3.生成一个用来配置相关配置的配置文件openssl.cnf文件,也可以用默认的
        openssl.cnf(etc/ssl/openssl.cnf):
            1).[req_distinguished_name] :根据情况进行修改
            2).[alt_names]: BROKER_ADDRESS 修改为 EMQ X 服务器实际的 IP 或 DNS 地址,例如:IP.1 = 127.0.0.1,DNS代理也可以不填

[req]
default_bits  = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
countryName = CN
stateOrProvinceName = ShangHai
localityName = Shanghai
organizationName = EMQX
commonName = minion.lemonstudio.tech
[req_ext]
subjectAltName = @alt_names
[v3_req]
subjectAltName = @alt_names
[alt_names]
IP.1 = BROKER_ADDRESS
DNS.1 = BROKER_ADDRESS


    4.用私钥emqx.key 和配置openssl.cnf签发一个证书的请求 emqx.csr
        1).用emqx.key和自定义配置openssl.cnf签发生成:
            openssl req -new -key ./emqx.key -config ./openssl.cnf -out emqx.csr
        2).只要emqx.key 和默认配置生成:
            openssl req -new -key ./emqx.key -out emqx.csr
            备注:用此方式确认的过程中输入指定参数配置,也可以直接按回车用默认的

        3).带subj参数输入(此先输入要注释掉/etc/ssl/openssl # RANDFILE   = $ENV::HOME/.rnd)

                 openssl req -new -key emqx.key -out emqx.csr -subj "/C=CN/ST=ShangHai/L=ShangHai/CN=emqx.xxxx.com"
    5.用根证书ca来签发实体EMQX的实体证书:
        1).用自定义的配置openssl.cnf
            openssl x509 -req -in ./emqx.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out emqx.crt -days 3650 -sha256 -extensions v3_req -extfile ./openssl.cnf
        2).用默认的配置生成:
            openssl x509 -req -in ./emqx.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out emqx.crt -days 3650 -sha256
        3).查看证书内容:
            openssl x509 -in ./emqx.crt -noout -text
            内容省略
        4).验证签发证书是否被根证书通过:
            openssl verify -CAfile ./ca.crt ./emqx.crt
            备注:要是失败说明验证不通过,检查生成文件失败的原因,重新生成,下面是通过的

 sudo openssl verify -CAfile ./ca.crt ./emqx.crt 
./emqx.crt: OK

三:用根证书给客户端实体签发证书:
    1).可以用ubuntu 生成,也可以用windows上,注意windows 利用openssl.cnf会报错,为少麻烦建议在ubuntu 上操作。
    2.生成客户端私钥:
        openssl genrsa -out client.key 2048
    3).用客户端私钥签发一个证书的请求client.csr
        a).用client.key 和自定义的openssl.cnf签发:
            openssl req -new -key ./client.key -config ./openssl.cnf -out client.csr
        b).用client,key签发证书请求
            openssl req -new -key ./client.key -out client.csr
        c).也可以设置自定义配置(该配置验证过,需要注释掉/etc/ssl/openssl.cnf的 # RANDFILE              = $ENV::HOME/.rnd 否则会报Can't load /root/.rnd into RNG
140032261984704:error:2406F079:random number generator:RAND_load_file:Cannot open file:../crypto/rand/randfile.c:88:Filename=/root/.rnd
错误)
            openssl req -new -key ./client.key -out client.csr -subj "/C=CN/ST=Shanghai/L=Shanghai/O=EMQ/CN=mqtt-client.xxx.com"
            备注:此方法在windows上无法通过,是由于环境没有做好,为少麻烦还是建议用ubuntu吧
    4).用根证书ca来签发实体client的实体证书:
            a).用自定义的配置openssl.cnf
                openssl x509 -req -in ./client.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out client.crt -days 3650 -sha256 -extensions v3_req -extfile ./openssl.cnf
            b)..用默认的配置生成
                openssl x509 -req -in ./client.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out client.crt -days 3650 -sha256
    5).查看证书:
        openssl x509 -in ./client.crt -noout -text
        内容省略
    6).验证签发证书是否被根证书通过:
        openssl verify -CAfile ./ca.crt ./client.crt
        备注:要是失败说明验证不通过,检查生成文件失败的原因,重新生成,下面是通过的

sudo openssl verify -CAfile ./ca.crt ./client.crt 
./client.crt: OK


四:用openssl单向认证测试
    1).在一个终端开启server:
        openssl s_server -accept 2009 -key ./emqx.key -cert ./emqx.crt 
    2).在另一个终端开启client:
        openssl s_client -connect localhost:2009 -key ./client.key -cert ./client.crt -CAfile ./ca.crt -showcerts
    出现下面说明通过:并且在此状态client 输入啥,server侧也会出现相同数据

......
0b0 - 0f cb 29 3d 6e 1a 0c 71-52 1b 36 80 4a 12 96 61   ..)=n..qR.6.J..a

    Start Time: 1621504608
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK

五: 用openssl 双向认证测试:
    1).在一个终端开启server:
        openssl s_server -accept 2009 -key ./emqx.key -cert ./emqx.crt -CAfile ./ca.crt -Verify 5
    2).在另一个终端开启client:
        openssl s_client -connect localhost:2009 -key ./client.key -cert ./client.crt -CAfile ./ca.crt -showcerts
        出现下面说明通过:并且在此状态client 输入啥,server侧也会出现相同数据:

.....
0400 - 2f cb 98 e0 45 0b 59 d7-e5 89 f6 ab 90 3f 35 b3   /...E.Y......?5.

    Start Time: 1621504956
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK


六:在EMQX与MQTTX上验证:
    1).将生成的ca.crt /emqx.key /emqx.crt /emqx.key /client.key /client.crt给最高权限(可读可写)
        sudo chmod 777 ca.crt /emqx.key /emqx.crt /emqx.key /client.key /client.crt
        **注意:这步一定要做非则在client连接的时候会一直出现ERROR: TSL相关的错误**
        **注意:这步一定要做非则在client连接的时候会一直出现ERROR: TSL相关的错误**
        **注意:这步一定要做非则在client连接的时候会一直出现ERROR: TSL相关的错误**
    2).将ca.crt /emqx.key /emqx.crt /emqx.key 拷贝到/etc/emqx/certs下面
        备注:建议将该文件下的做个备份,有备无患嘛
    3).更改/etc/emqx/emqx.conf配置文件:
        sudo vi /etc/emqx/emqx.conf

## MQTT/SSL - External SSL Listener for MQTT Protocol

## listener.ssl.$name is the IP address and port that the MQTT/SSL
## listener will bind.
##
## Value: IP:Port | Port
##
## Examples: 8883, 127.0.0.1:8883, ::1:8883
listener.ssl.external = 8883
....
## Value: File
listener.ssl.external.keyfile = /etc/emqx/certs/emqx.key

## Path to a file containing the user certificate.
##
## See: http://erlang.org/doc/man/ssl.html
##
## Value: File
listener.ssl.external.certfile = /etc/emqx/certs/emqx.crt

## Path to the file containing PEM-encoded CA certificates. The CA certificates
## are used during server authentication and when building the client certificate chain.
##
## Value: File
listener.ssl.external.cacertfile = /etc/emqx/certs/ca.crt
....

## Value: verify_peer | verify_none
## listener.ssl.external.verify = verify_pee
....
## Value: true | false
## listener.ssl.external.fail_if_no_peer_cert = true
备注:listener.ssl.external.verif和listener.ssl.external.fail_if_no_peer_cert用默认值


        4).保存好后启动EMQX:
            sudo emqx foreground  或者 sudo emqx start
        5).MQTTX 客户端如下配置:
            

七:到此就验证完了:
    如果此时还是无法连接成功,四五验证能通过,就是生成的证书文件权限没有给,不然换个EMQX的版本吧,本人用的4.2.8和4.3.1都能通过。


 

Sunada2401
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
记录:Linux 安装 EMQX MQTT 并启用 SSL/TLS 安全连接
ljy-博客
11-12 3597
文章仅为记录,如有错误请联系本人进行修改,以免误导他人~ 前提 项目中需要新增消息推送功能,原本计划使用websocket
SSL/TLS 双向认证(二) -- 基于mosquittto的MQTT双向认证
热门推荐
ustccw
08-08 1万+
MQTT双向认证
[MQTT]服务器EMQX搭建SSL/TLS连接过程(wss://)
最新发布
Better than yesterday.
06-03 1419
一、采用8084端口进行连接,是EMQX 默认提供了四个常用的监听器之一,如果需要添加其他类型的监听器,可参考官方文档 二、使用自签名CA,需要提前在Linux系统上安装OpenSSL,具体安装教程请自行搜索 三、采用SSL/TLS连接,需要提前在EMQX上启用,可参考链接如下
emqx配置ssl/tsl实现双向认证
feinifi的博客
01-21 5852
emqx是一种基于mqtt协议实现的消息框架,目前很多地方已经开始使用。简单的emqx安装配置,其实就可以作为一个broker来使用,客户端只需要通过ip、端口、用户名、密码、clientid就可以连接了,至于发送消息,直接在发送的时候指定topic即可。 简单的emqx安装配置,使用的协议是:mqtt:tcp,使用的url是tcp://ip:1883。这种方式,其实可以很容易被模拟(理论上的可能),所以有了mqtts:tls协议,一般使用ssl协议来实现。这也是本文所要阐述的问题。 ...
emqx 配置ssl/tls 双向认证(亲自测试有效)
ZHANGHUI3239619的专栏
02-23 1279
mqtt ssl 双向认证
EMQX 配置打开SSL 双向验证
weixin_43869518的博客
06-25 905
emqx配置打开SSL双向验证
使用自签发CA证书EMQX开启双向认证
架构师实战感悟
06-11 1550
使用不同的 CA 服务,证书签发的流程以及需要的参数不同,如大部分支持安全芯片的设备,其私钥通常由设备端生成,通过向 CA 发送 csr 请求文件的方式获取CA机构签发的证书。下文仅借助流行的 cfssl 工具来完成证书的创建工作,设备端私钥由 cfssl 工具生成,如果尚未安装 cfssl 工具,请查看。根CA为EMQX服务签发服务器端证书,以及给中间CA签发中间证书,由中间CA给设备签发设备证书。通过上边的命令,将会得到 emqx 服务端的私钥。通过上边的命令,将会得到中间CA的私钥。
EMQX开启SSL/TSL生成证书流程
08-31
首先,你需要编辑EMQX的配置文件,通常位于`etc/emqx.conf`。在该文件中找到`listener`部分,这里定义了EMQX的监听端口和协议。为了启用SSL/TLS,你需要创建一个新的监听器,指定端口为8883(默认的MQTT over SSL...
netty实现SSL/TSL双向加密认证示例
09-21
双向认证中,不仅服务器需要证明其身份,客户端也需要通过数字证书验证其身份,这增强了安全性,防止中间人攻击。 在 Netty 中,我们可以使用 `SslContext` 类来配置 SSL/TLS 安全参数。对于服务器端,我们需要...
SSL TSL证书1.2版本升级.zip
03-03
"SSL TSL证书1.2版本升级.zip"这个压缩包文件,显然是一个针对这个问题的解决方案。它包含了升级服务器TLS版本所需的文件和步骤。在执行这个升级过程时,你需要首先下载这个压缩包,然后根据内部的指南或脚本,在你...
https,ssltsl证书详细解读
04-07
单向认证仅验证服务器身份,而双向认证则要求服务器和客户端都提供有效的证书,增加了安全性,但也可能增加配置复杂性。 在配置HTTPS服务时,通常会涉及OpenSSL工具生成证书,Apache等服务器软件配置SSL模块(如mod...
SSL/TSL一键设置.7z
05-20
2. **证书**:SSL/TLS证书包含公钥和身份信息,由证书颁发机构(CA)签名以验证服务器的身份。证书用于初始化安全会话,并让客户端信任服务器。 3. **加密套件**:加密套件定义了协商加密的算法组合,包括对称加密...
一、Ubuntu22.0安装EMQX5.0——用自签证书开启SSL实现双向认证
ywt092的博客
11-19 1208
Ubuntu20安装EMQX5.0,开启SSL实现双向认证,帮助想初步了解MQTT的小白,大神请绕过。
EMQX安全证书
m0_57213528的博客
08-11 223
EMQX安全证书
emqx 配置证书
jonathan_joestar的博客
09-08 401
emqx 配置证书cat /etc/emqx/emqx.conf |grep listener.wss.external.keyfile。
EMQX 入门教程⑥——SSL/TLS | 基于Apecha证书/合并客户端证书 配置单向/双向认证和不认证
小康师兄
10-30 1219
EMQX 入门教程⑥——SSL/TLS | 基于Apecha证书/合并客户端证书 配置单向/双向认证和不认证
mqtt雙向ssl認證
lawrence_loh的博客
05-25 602
mqtt雙向認證const mosca = require('mosca'); const tls = require('tls'); var CAFILE = './ca.crt'; var SECURE_KEY = './server.key.insecure'; var SECURE_CERT = './server.crt'; var sslsetting = { port: ...
EMQX - 启用OPENSSL自制SSL证书,进行双向连接
迦南的专栏
02-11 2013
参考资料EMQX官网博客: 启用SSL单向验证 购买证书 如果有购买证书的话,就不需要自签名证书。 为方便 EMQ X 配置,请将购买的证书文件重命名为 emqx.crt,证书密钥重命名为 emqx.key 启用SSL双向验证 1. centos 7 安装openssl 1.1 方式一 $ yum install openssl 1.2 方式二 官网地址选择版本进行下载 当前最新版本为OpenSSL_1_1_1k.tar.gz 1、选择一个服务器文件夹地址,放入压缩包,并解压 ta.
emq安装使用 以及ssl单向双向验证及代码实现 小白使用手册
码灵的博客
07-21 2803
1 openssl安装 opensll emq安装包及客户端下载路径 https://download.csdn.net/download/h4241778/12647477 用于证书生产 $ tar zxf openssl openssl-1.0.1.tar.gz $ cd openssl-1.0.1 $ ./config --prefix=/usr/local 我记得执行到这就可以了,openssl version 可查看版本 $ make $ make clean $ sudo m.
SSL/TSL协议信息泄露漏洞(CVE-2016-2183)修复下载
12-13
根据提供的引用内容,修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183)的方法主要是参考链接中的方法。具体步骤如下: 1.升级OpenSSL版本到1.0.1s或1.0.2g及以上版本。 2.修改OpenSSL配置文件,禁用RC4密码套件。 3.重启OpenSSL服务。 以下是具体的操作步骤: 1.使用以下命令升级OpenSSL版本: ```shell yum update openssl ``` 2.修改OpenSSL配置文件,禁用RC4密码套件。打开OpenSSL配置文件,一般在/etc/pki/tls/openssl.cnf或/etc/ssl/openssl.cnf中,找到以下内容: ```shell [system_default_sect] Options = SSL_OP_NO_SSLv2, SSL_OP_NO_SSLv3, SSL_OP_NO_COMPRESSION ``` 在Options后面添加以下内容: ```shell , SSL_OP_NO_RC4 ``` 3.重启OpenSSL服务。使用以下命令重启OpenSSL服务: ```shell systemctl restart openssl ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值