EMQ X 服务器 SSL/TLS 安全连接配置指南

最新推荐文章于 2023-08-29 15:54:07 发布
最新推荐文章于 2023-08-29 15:54:07 发布
阅读量1.2k 收藏
点赞数
文章标签: git 运维 数据库
原文链接:http://www.cnblogs.com/emqx/p/11401278.html
版权

目录

前言

EMQ X 内置对 TLS/DTLS 的支持,包括支持单双向认证、X.509 证书等多种身份认证和 LB Proxy Protocol V1/2 等。你可以为 EMQ X 支持的所有协议启用 TLS/DTLS,也可以将 EMQ X 提供的 HTTP API 配置为使用 TLS。本文以自签证书的方式介绍如何在 EMQ X 中为 MQTT 启用 TLS。

自签 CA 并签发证书

创建证书

1.准备
$ docker pull centos:centos7
$ docker run -it --name centos7 centos:centos7 /bin/sh
$ yum install openssl
$ yum install vim
$ mkdir /opt/ssl
$ cd /opt/ssl/
$ cp /etc/pki/tls/openssl.cnf ./
$ rm -rf /etc/pki/CA/*.old
## 生成证书索引库数据库文件
$ touch /etc/pki/CA/index.txt
## 指定第一个颁发证书的序列号
$ echo 01 > /etc/pki/CA/serial
$ rm -rf certs;mkdir certs
2.生成 CA 自签名证书
$ openssl genrsa -out certs/root-ca.key 2048
$ openssl req -new -x509 -days 365 -config ./openssl.cnf -key certs/root-ca.key -out certs/root-cacert.pem -subj "/C=CN/ST=hangzhou/O=EMQ/CN=RootCA"

查看证书

$ openssl x509 -in certs/root-cacert.pem -noout -text
...
            X509v3 Basic Constraints:
                CA:TRUE
...
3.签发客户端证书
$ openssl genrsa -out certs/client.key 2048
$ openssl req -new -days 365 -key certs/client.key -out certs/client-cert.csr -subj "/C=CN/ST=hangzhou/O=EMQ/CN=Client"
$ openssl ca -config ./openssl.cnf -extensions v3_req -days 365 -in certs/client-cert.csr -out certs/client-cert.pem -cert certs/root-cacert.pem -keyfile certs/root-ca.key

查看证书

$ openssl x509 -in certs/client-cert.pem -noout -text
...
            X509v3 Basic Constraints:
                CA:FALSE
...
4.签发服务端证书
$ openssl genrsa -out certs/server.key 2048
$ openssl req -new -days 365 -key certs/server.key -out certs/server-cert.csr -subj "/C=CN/ST=hangzhou/O=EMQ/CN=Server"
$ openssl ca -config ./openssl.cnf -extensions v3_req -days 365 -in certs/server-cert.csr -out certs/server-cert.pem -cert certs/root-cacert.pem -keyfile certs/root-ca.key
5.验证
$ openssl verify -CAfile certs/root-cacert.pem certs/server-cert.pem

单向认证测试

$ openssl s_server -accept 2009 -key certs/server.key -cert certs/server-cert.pem
$ openssl s_client -connect localhost:2009 -CAfile certs/root-cacert.pem -showcerts
Verify return code: 0 (ok)

双向认证测试

$ openssl s_server -accept 2009 -key certs/server.key -cert certs/server-cert.pem -CAfile certs/root-cacert.pem -Verify 1
$ openssl s_client -connect localhost:2009 -key certs/client.key -cert certs/client-cert.pem -CAfile certs/root-cacert.pem -showcerts
Verify return code: 0 (ok)

自签二级 CA 并签发证书

创建证书

1.创建 Root CA

创建 Root CA 自签名证书的步骤与前文一致,不再赘述。

$ ls certs
root-ca.key  root-cacert.pem
2.创建二级 CA
$ openssl genrsa -out certs/second-ca.key 2048
$ openssl req -new -days 365 -key certs/second-ca.key -out certs/second-cacert.csr -subj "/C=CN/ST=hangzhou/O=EMQ/CN=SecondCA"
$ openssl ca -config ./openssl.cnf -extensions v3_ca -days 365 -in certs/second-cacert.csr -out certs/second-cacert.pem -cert certs/root-cacert.pem -keyfile certs/root-ca.key
3.签发客户端证书与服务器证书

与前文类似,只不过需要将 Root CA 的信息替换成 Second CA 的。最后我们将得到以下文件:

$ ls -l certs
total 48
-rw-r--r-- 1 root root  948 Aug  6 05:58 client-cert.csr
-rw-r--r-- 1 root root 3973 Aug  6 05:59 client-cert.pem
-rw-r--r-- 1 root root 1679 Aug  6 05:58 client.key
-rw-r--r-- 1 root root 1675 Aug  6 05:53 root-ca.key
-rw-r--r-- 1 root root 1212 Aug  6 05:53 root-cacert.pem
-rw-r--r-- 1 root root 1679 Aug  6 05:54 second-ca.key
-rw-r--r-- 1 root root  952 Aug  6 05:54 second-cacert.csr
-rw-r--r-- 1 root root 4194 Aug  6 05:54 second-cacert.pem
-rw-r--r-- 1 root root  948 Aug  6 05:59 server-cert.csr
-rw-r--r-- 1 root root 3973 Aug  6 05:59 server-cert.pem
-rw-r--r-- 1 root root 1675 Aug  6 05:59 server.key
4.验证
$ openssl verify -CAfile certs/root-cacert.pem -untrusted certs/second-cacert.pem certs/server-cert.pem
certs/server-cert.pem: OK
$ openssl verify -CAfile certs/root-cacert.pem -untrusted certs/second-cacert.pem certs/client-cert.pem
certs/client-cert.pem: OK
$ cat certs/root-cacert.pem > certs/cacert.pem;cat certs/second-cacert.pem >> certs/cacert.pem
$ openssl verify -CAfile certs/cacert.pem certs/client-cert.pem
certs/client-cert.pem: OK

单向认证测试

1.OpenSSL 作为 Server 与 Client
$ openssl s_server -accept 2009 -key certs/server.key -cert certs/server-cert.pem
$ openssl s_client -connect localhost:2009 -CAfile certs/cacert.pem -showcerts
Verify return code: 0 (ok)

Note: Client 既可以使用 root-cacert.pemsecond-cacert.pem 合并后的 cacert.pem,也可以使用 second-cacert.pem

2.OpenSSL 作为 Client, EMQ X 作为 Server

假设你已经成功安装了 EMQ X,我们将之前生成的证书一并拷贝到 emqx/etc/certs 目录下:

$ cp certs/* emqx/etc/certs/

然后修改 emqx.conf 配置如下:

listener.ssl.external.keyfile = etc/certs/server.key
listener.ssl.external.certfile = etc/certs/server-cert.pem

启动 EMQ X 并将日志等级改为 Debug。

$ ./emqx/bin/emqx start
$ ./emqx/bin/emqx_ctl log set-level debug

使用 openssl s_client 连接 EMQ X 并发送一个 Client ID 为 "a" 的 MQTT Connect 报文。

$ echo -en "\x10\x0d\x00\x04MQTT\x04\x00\x00\x00\x00\x01a" | openssl s_client -connect localhost:8883 -CAfile certs/cacert.pem -showcerts
Verify return code: 0 (ok)

如果你在 emqx/log/erlang.log.1 中看到以下日志,说明 SSL 认证成功。

2019-08-06 15:13:30.748 [debug] 127.0.0.1:60737 [Protocol] RECV CONNECT(Q0, R0, D0, ClientId=a, ProtoName=MQTT, ProtoVsn=4, CleanStart=false, KeepAlive=0, Username=undefined, Password=undefined)
3.emqtt 作为 Client,EMQ X 作为 Server

EMQ X 继续保持运行,编译并启动 emqtt

$ git clone -b v1.0.1 https://github.com/emqx/emqtt.git
$ cd emqtt
$ make
$ erl -pa _build/default/lib/*/ebin
## connect to broker
1> {ok, ConnPid} = emqtt:start_link([{client_id, <<"my_client">>}, {ssl, true}, {ssl_opts, [{cacertfile,"../certs/cacert.pem"}]}, {port, 8883}]).
{ok,<0.80.0>}
2> {ok, _Props} = emqtt:connect(ConnPid).
{ok,undefined}
## subscribe
3> {ok, _Props, _ReasonCodes} = emqtt:subscribe(ConnPid, {<<"hello">>, 0}).
{ok,undefined,[0]}
## publish
4> ok = emqtt:publish(ConnPid, <<"hello">>, <<"Hello World!">>, 0).
ok
## receive message
5> receive
    {publish, Message} ->
        io:format("Message: ~p~n", [Message])
after
    1000 ->
        io:format("Error: receive timeout!~n")
end.
Message: #{client_pid => <0.80.0>,dup => false,packet_id => undefined,
           payload => <<"Hello World!">>,properties => undefined,qos => 0,
           retain => false,topic => <<"hello">>}
ok
## disconnect from broker
6> ok = emqtt:disconnect(ConnPid).

连接建立成功,可以正常订阅发布,SSL 单向认证测试通过。

4.mqtt.fx 作为 Client, EMQ X 作为 Server

EMQ X 继续保持运行,启动 mqtt.fx,参照下图完成配置:

1775668-20190823170647594-1770680703.png

Note: 这里只能使用 second-cacert.pem 作为 CA Certificate。

点击 Connect 按钮,连接成功,并且可以正常订阅发布,SSL 双向认证通过。

1775668-20190823170657256-1311915742.png

双向认证测试

1.OpenSSL 作为 Server 与 Client
$ openssl s_server -accept 2009 -key certs/server.key -cert certs/server-cert.pem -CAfile certs/cacert.pem -Verify 1
## Use root CA
$ openssl s_client -connect localhost:2009 -key certs/client.key -cert certs/client-cert.pem -CAfile certs/cacert.pem -showcerts
Verify return code: 0 (ok)
## Use second CA
$ openssl s_client -connect localhost:2009 -key certs/client.key -cert certs/client-cert.pem -CAfile certs/second-cacert.pem -showcerts
Verify return code: 19 (self signed certificate in certificate chain)
2.OpenSSL 作为 Client, EMQ X 作为 Server

修改 emqx.conf 配置如下:

listener.ssl.external.keyfile = etc/certs/server.key
listener.ssl.external.certfile = etc/certs/server-cert.pem
listener.ssl.external.cacertfile = etc/certs/cacert.pem
## 开启双向认证
listener.ssl.external.verify = verify_peer
## 禁止单向认证
listener.ssl.external.fail_if_no_peer_cert = true

启动 EMQ X 并将日志等级改为 Debug。

$ ./emqx/bin/emqx start
$ ./emqx/bin/emqx_ctl log set-level debug

使用 openssl s_client 连接 EMQ X 并发送一个 Client ID 为 "a" 的 MQTT Connect 报文。

## Use root CA
$ echo -en "\x10\x0d\x00\x04MQTT\x04\x00\x00\x00\x00\x01a" | openssl s_client -connect localhost:8883 -CAfile certs/cacert.pem -cert certs/client-cert.pem -key certs/client.key -showcerts
Verify return code: 0 (ok)
## Use second CA
$ echo -en "\x10\x0d\x00\x04MQTT\x04\x00\x00\x00\x00\x01a" | openssl s_client -connect localhost:8883 -CAfile certs/second-cacert.pem -cert certs/client-cert.pem -key certs/client.key -showcerts
Verify return code: 19 (self signed certificate in certificate chain)

如果你在 emqx/log/erlang.log.1 中看到以下日志,说明 SSL 双向认证成功。

2019-08-06 15:47:03.925 [debug] 127.0.0.1:61343 [Protocol] RECV CONNECT(Q0, R0, D0, ClientId=a, ProtoName=MQTT, ProtoVsn=4, CleanStart=false, KeepAlive=0, Username=undefined, Password=undefined)
3.emqtt 作为 Client,EMQ X 作为 Server

EMQ X 继续保持运行,启动 emqtt

$ erl -pa _build/default/lib/*/ebin
## connect to broker
1> {ok, ConnPid} = emqtt:start_link([{client_id, <<"my_client">>}, {ssl, true}, {ssl_opts, [{certfile,"../certs/client-cert.pem"},{keyfile,"../certs/client.key"}, {cacertfile,"../certs/cacert.pem"}]}, {port, 8883}]).
{ok,<0.182.0>}
2> {ok, _Props} = emqtt:connect(ConnPid).
{ok,undefined}
## subscribe
3> {ok, _Props, _ReasonCodes} = emqtt:subscribe(ConnPid, {<<"hello">>, 0}).
{ok,undefined,[0]}
## publish
4> ok = emqtt:publish(ConnPid, <<"hello">>, <<"Hello World!">>, 0).
ok
## receive message
5> receive
    {publish, Message} ->
        io:format("Message: ~p~n", [Message])
after
    1000 ->
        io:format("Error: receive timeout!~n")
end.
Message: #{client_pid => <0.182.0>,dup => false,packet_id => undefined,
           payload => <<"Hello World!">>,properties => undefined,qos => 0,
           retain => false,topic => <<"hello">>}
ok
## disconnect from broker
6> ok = emqtt:disconnect(ConnPid).

连接建立成功,可以正常订阅发布,SSL 双向认证测试通过。

4.mqtt.fx 作为 Client, EMQ X 作为 Server

EMQ X 继续保持运行,启动 mqtt.fx,参照下图完成配置:

1775668-20190823170720885-1835934991.png

Note: CA File 可以使用 root-cacert.pemsecond-cacert.pem 合并后的 cacert.pem,也可以使用 second-cacert.pem

点击 Connect 按钮,连接成功,并且可以正常订阅发布,SSL 双向认证通过。

1775668-20190823170730174-1607551025.png

转载于:https://www.cnblogs.com/emqx/p/11401278.html

aoyi2439
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EMQ 启用 SSL/TLS 加密连接
奋斗者潘的博客
09-09 3401
EMQ 启用 SSL/TLS 加密连接 使用加密连接的时候选择wss协议,并使用域名连接:绑定域名-证书之后,必须使用域名而非 IP 地址进行连接,这样浏览器才会根据域名去校验证书以在通过校验后建立连接。 在 EMQ配置 打开etc/emqx.conf配置文件,修改以下配置 # wss 监听地址 listener.wss.external = 8084 # 修改密钥文件地址...
配置mqtt服务器及客户端ssl/tls双向认证(详细)
最新发布
Zsxsxx的博客
01-19 2923
1、使用openssl进行自签证书的创建(以下为下载链接)5、SSL/TLS 双向连接的启用及验证(服务器配置)4、执行完以上命令之后便可以获得如下几个密钥及证书。3.2、创建服务器密钥及证书。3.3、创建客户端密钥及证书。6、使用mqttx进行连接测试(客户端配置)2、下载完成后进入如下界面,使用cmd进入。3.1、创建自签名ca证书。将前文中通过 OpenSSL 工具生成的。文件拷贝到 EMQX 的。
MQTT系列:(三)EMQ X配置SSL/TLS,并使用MQTT X进行链接
qq_15506067的博客
09-29 4445
介绍emqx设置ssl/tls的方法
emq开启SSL连接
Jessie_YYY的博客
11-16 948
我想要在微信小程序中收发mqtt消息。小程序开发要求比较苛刻,开发配置中必须使用websocket的wss协议(ws和wss的差异类似于http和https,表示是否是加密传输)。故需要开启emq服务器SSL连接。步骤如下: 搞到域名的SSL证书 修改emq配置 我搜了很多教程,还有人改了nginx的配置。反正我最后是没有改nginx的配置就成功了。 我的服务器一个是Ubuntu14.04,一个是16.04; emq版本都是2.3.0。 SSL证书 ( 在搞到SSL证书前, 要有注册过域名并解析到IP
亲测 EMQ X 启用双向 SSL/TLS 全连接
咕噜咕噜wy的博客
10-04 372
https://blog.csdn.net/qq_39668819/article/details/102979223 https://www.emqx.com/zh/blog/enable-two-way-ssl-for-emqx 文章目录EMQX SSL双向认证配置mqtt.fx客户端验证 EMQX SSL双向认证配置mqtt.fx客户端验证 yum install openssl yum install vim ...
EMQX开启SSL/TSL及生成证书流程
08-31
1.如何开启配置EMQX的SSL\TSL模式 2.如何生成SSL模式所需的证书
emqx配置装.docx
06-22
EMQX 配置指南 EMQX 是基于 Erlang/OTP 平台开发的开源物联网 MQTT 消息服务器。它的设计目标是实现高可靠,并支持承载海量物联网终端的 MQTT 连接,支持在海量物联网设备间低延时消息路由。EMQX 可以稳定...
DockerEMQX服务免费版并配置持久化到服务器
12-20
dockerEMQX服务免费版,dockerEMQX服务配置持久化到服务器,dockerEMQX5.3.2版本步骤
mqtt服务器emqx的centos7装包
10-27
mqtt消息中间件emqx,centos7装包。 EMQ X 是一个开源的 MQTT 消息代理(broker),它用于支持 MQTT(Message Queuing Telemetry Transport)协议的消息传递。MQTT 是一种轻量级的、基于发布/订阅的消息传递协议,...
物联网项目实战开发之基于STM32+W5500以太网口连接EMQX 私有部署MQTT服务器平台代码程序(单路继电器)
05-25
1、连接EMQX MQTT平台,主动上报本地数据到平台端,使用MQTT协议通讯。 2、接收平台端下发的数据或者指令。 3、继电器状态及控制。 4、代码使用KEIL开发,当前在STM32F103C8T6运行,如果是STM32F103其他型号芯片,...
EMQX启用TLS全连接
兰博儿
02-19 1178
参考资料 emqx代码库issues:https://github.com/emqx/emqx/issues/4202 emqx官网博客:https://www.emqx.cn/blog/emqx-server-ssl-tls-secure-connection-configuration-guide,博客入口: emqx官方C端工具:https://docs.emqx.cn/broker/latest/development/resource.html或https://github.com/emq.
SSL保护EMQ连接(pem格式证书)
king_jie0210的专栏
11-29 1285
SSL是一种加密协议,可通过计算机网络提供通信全性。 不出所料,它也可以用于MQTT消息交换。 SSL具有许多全优势,例如: 强认证性:创建一个SSL连接时,通信方可以检查其伙伴的身份并确定其是否可信任。 通常,在此阶段,可以使用X.509证书来确保证书持有者的身份。 隐私性:协议启动时,通信双方会生成唯一的会话密钥。 该会话密钥对通信过程进行了加密。 任何未授权用户都无法查看交换的信息。 完...
EMQ(TLS)
weixin_33711647的博客
10-11 512
1.TLS证书验证 为了保障全.我们常常会使用HTTPS来保障请求不被篡改,作为MQTT使用TLS加密的方式来保障传输EMQ默认使用的TLS加密的端口是8883端口,默认证书在EMQ目录下etc/certs: 对应的配置文件在emq.conf中,可以修改你的端口和配置文件路径 listener.ssl.external = 8883 listener.ssl.external.keyfi...
EMQ X MQTT 服务器启用 SSL/TLS 全连接
emqx_broker的博客
07-13 5897
作为基于现代密码学公钥算法的全协议,TLS/SSL 能在计算机通讯网络上保证传输全,EMQ X 内置对 TLS/SSL 的支持,包括支持单/双向认证、X.509 证书、负载均衡 SSL 等多种全认证。你可以为 EMQ X 支持的所有协议启用 SSL/TLS,也可以将 EMQ X 提供的 HTTP API 配置为使用 TLS。本文将介绍如何在 EMQ X 中为 MQTT 启用 TLSSSL/TLS 带来的全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中,很
单例模式
www.yiye.tech
06-02 177
创建型模式 1、单例类只能有一个实例。 2、单例类必须自己创建自己的唯一实例。 3、单例类必须给所有其他对象提供这一实例。 当一个全局使用的类频繁的创建和销毁,又需要控制实例数目,节省系统资源的时候。 重要:构造函数私有,不可创建实例。 一 直接创建实例 public class SingleObject { //创建 SingleObject 的一个对象 pri...
使用openssl生成证书,emqx tls 双向认证
yhtppp的专栏
01-12 473
1、生成 CA 自签名证书 openssl genrsa -out certs/root-ca.key 2048 生成私钥 openssl req -new -x509 -days 365 -config ./openssl.cnf -key certs/root-ca.key -out certs/root-cacert.pem -subj "/C=CN/ST=NANJING/O=EMQ/CN=RootCA" 生成证书,pem文件,包含公钥和一些其他信息 openssl ...
EMQX启用双向SSL/TLS全连接以及java连接
qq_34533703的博客
08-29 3046
EMQX启用双向SSL/TLS全连接以及java连接
五重保险,EMQX Cloud 如何保障公有云上数据
emqx_broker的博客
05-16 553
本文将从基础架构、数据通信、认证鉴权、权限管理、隐私数据全这 5 个方面来解读 EMQX Cloud 的数据全保障机制。
emqx 配置 MQTT tls/ssl
05-27
要在EMQX中配置MQTT TLS/SSL,需要进行以下步骤: 1. 在EMQX服务器上生成证书和密钥文件。可以使用OpenSSL工具生成自签名证书。 2. 将证书和密钥文件放置在EMQX服务器上,并将其路径添加到EMQX配置文件中。可以使用以下命令编辑EMQX配置文件: ``` sudo nano /etc/emqx/emqx.conf ``` 在配置文件中添加以下配置项: ``` ## Enable SSL listener listener.ssl.external = 8883 listener.ssl.internal = 8884 ## SSL certificates listener.ssl.keyfile = /path/to/keyfile.pem listener.ssl.certfile = /path/to/certfile.pem listener.ssl.cacertfile = /path/to/cacertfile.pem ``` 其中,`listener.ssl.external`和`listener.ssl.internal`分别是EMQX监听的外部和内部端口。`listener.ssl.keyfile`、`listener.ssl.certfile`和`listener.ssl.cacertfile`是证书和密钥文件的路径。 3. 保存并重启EMQX服务器,以使配置生效: ``` sudo systemctl restart emqx ``` 现在,EMQX服务器已经配置为支持MQTT TLS/SSL连接。可以使用TLS/SSL协议连接到EMQX服务器的端口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值