MQTT broker搭建并用SSL加密

已于 2024-09-06 10:07:05 修改
阅读量305 收藏 5
点赞数 2
文章标签: md5
于 2024-09-04 18:12:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gloriaied/article/details/141900303
版权

系统为centos,基于emqx搭建broker,流程参考官方

安装好后,用ssl加密。

进入/etc/emqx/certs,可以看到
在这里插入图片描述
分别为

  • cacert.pem CA 文件
  • cert.pem 服务端证书
  • key.pem 服务端key
  • client-cert.pem 客户端证书
  • client-key.pem 客户端key
    编辑emqx配置:vim /etc/emqx/emqx.conf,添加ssl配置:
listeners.ssl.default {
  # 端口
  bind = "0.0.0.0:8883"
  ssl_options {
    cacertfile = "/etc/emqx/certs/cacert.pem" #CA文件
    certfile = "/etc/emqx/certs/cert.pem"    #服务端证书
    keyfile = "/etc/emqx/certs/key.pem"   #服务端key
    verify = verify_peer  # 双向认证
    fail_if_no_peer_cert = true
  }
}

再在客户端(如MQTTX)配置连接信息:在这里插入图片描述

Springboot订阅MQTTS

添加依赖

        <!--mqtt-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-integration</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.integration</groupId>
            <artifactId>spring-integration-stream</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.integration</groupId>
            <artifactId>spring-integration-mqtt</artifactId>
        </dependency>

        <!--ssl-->
        <dependency>
            <groupId>org.bouncycastle</groupId>
            <artifactId>bcpkix-jdk15on</artifactId>
            <version>1.64</version>
        </dependency>

配置

spring:
  mqtt:
    provider:
      #MQTTS服务地址,端口号默认8883,如果有多个,用逗号隔开
      url: ssl://192.168.1.xx:8883
      #用户名
      username: xx
      #密码
      password: xxxx
      #客户端id(不能重复)
      client:
        id: provider-id
      #MQTT默认的消息推送主题,实际可在调用接口是指定
      default:
        topic: topic
    consumer:
      url: ssl://192.168.1.xx:8883
      #用户名
      username: xx
      #密码
      password: xxxx
      #客户端id(不能重复)
      client:
        id: consumer-id
      #MQTT默认的消息推送主题,实际可在调用接口时指定
      default:
        topic: topic

Mqtt配置

@Configuration
public class MqttConsumerConfig {
    @Value("${spring.mqtt.consumer.username}")
    private String username;

    @Value("${spring.mqtt.consumer.password}")
    private String password;

    @Value("${spring.mqtt.consumer.url}")
    private String hostUrl;

    @Value("${spring.mqtt.consumer.client.id}")
    private String clientId;

    @Value("${spring.mqtt.consumer.default.topic}")
    private String defaultTopic;

	// 把证书文件放在在resource的ssl_certs目录下
    String caFilePath = "/ssl_certs/cacert.pem";
    String clientCrtFilePath = "/ssl_certs/client-cert.pem";
    String clientKeyFilePath = "/ssl_certs/client-key.pem";


    /**
     * 客户端对象
     */
    private MqttClient client;

    /**
     * 在bean初始化后连接到服务器
     */
    @PostConstruct
    public void init() {
        connect();
    }

    /**
     * 客户端连接服务端
     */
    @SneakyThrows
    public void connect() {
//        try {
            //创建MQTT客户端对象
            client = new MqttClient(hostUrl, clientId, new MemoryPersistence());
            //连接设置
            MqttConnectOptions options = new MqttConnectOptions();

            SSLSocketFactory socketFactory = getSocketFactory(caFilePath,
                    clientCrtFilePath, clientKeyFilePath, "");
            options.setSocketFactory(socketFactory);

            /*允许所有host连接*/
            options.setSSLHostnameVerifier((s, sslSession) -> true);

            /*不配置可能出现报错java.security.cert.CertificateException: No subject alternative names present*/
            options.setHttpsHostnameVerificationEnabled(false);


            //是否清空session,设置为false表示服务器会保留客户端的连接记录,客户端重连之后能获取到服务器在客户端断开连接期间推送的消息
            //设置为true表示每次连接到服务端都是以新的身份
            options.setCleanSession(true);
            //设置连接用户名
            options.setUserName(username);
            //设置连接密码
            options.setPassword(password.toCharArray());
            //设置超时时间,单位为秒
            options.setConnectionTimeout(100);
            //设置心跳时间 单位为秒,表示服务器每隔1.5*20秒的时间向客户端发送心跳判断客户端是否在线
            options.setKeepAliveInterval(20);
            //设置遗嘱消息的话题,若客户端和服务器之间的连接意外断开,服务器将发布客户端的遗嘱信息
            options.setWill("willTopic", (clientId + "与服务器断开连接").getBytes(), 0, false);
            options.setAutomaticReconnect(true);
            //设置回调
            client.setCallback(new MqttCallbackImpl());
            client.connect(options);
            System.out.println(" 客户端连接成功 ");
            //订阅主题
            //消息等级,和主题数组一一对应,服务端将按照指定等级给订阅了主题的客户端推送消息
            int[] qos = {1, 1};
            //主题
            String[] topics = {"topicX#", "topicY#"};
            //订阅主题
//            client.subscribe("topicX",1);
            client.subscribe(topics);
//        } catch (Exception e) {
//            e.printStackTrace();
//        }
    }

    /**
     * 断开连接
     */
    public void disConnect() {
        try {
            client.disconnect();
        } catch (MqttException e) {
            e.printStackTrace();
        }
    }


    /**
     * 订阅主题
     */
    public void subscribe(String topic, int qos) {
        try {
            client.subscribe(topic, qos);
        } catch (MqttException e) {
            e.printStackTrace();
        }
    }

    private static SSLSocketFactory getSocketFactory(final String caCrtFile,
                                                     final String crtFile, final String keyFile, final String password)
            throws Exception {

        ClassPathResource caCrtFileRes = new ClassPathResource(caCrtFile);
        ClassPathResource crtFileRes = new ClassPathResource(crtFile);
        ClassPathResource keyFileRes = new ClassPathResource(keyFile);


        // add BouncyCastle provider
        Security.addProvider(new BouncyCastleProvider());

        // load CA certificate
        X509Certificate caCert = null;

        BufferedInputStream bis = new BufferedInputStream(caCrtFileRes.getStream());
        CertificateFactory cf = CertificateFactory.getInstance("X.509");

        while (bis.available() > 0) {
            caCert = (X509Certificate) cf.generateCertificate(bis);
            // System.out.println(caCert.toString());
        }

        // load client certificate
        bis = new BufferedInputStream(crtFileRes.getStream());
        X509Certificate cert = null;
        while (bis.available() > 0) {
            cert = (X509Certificate) cf.generateCertificate(bis);
            // System.out.println(caCert.toString());
        }

        // load client private key
        PEMParser pemParser = new PEMParser(new InputStreamReader(keyFileRes.getStream()));
        Object object = pemParser.readObject();
        PEMDecryptorProvider decProv = new JcePEMDecryptorProviderBuilder()
                .build(password.toCharArray());
        JcaPEMKeyConverter converter = new JcaPEMKeyConverter()
                .setProvider("BC");
        KeyPair key;
        if (object instanceof PEMEncryptedKeyPair) {
            System.out.println("Encrypted key - we will use provided password");
            key = converter.getKeyPair(((PEMEncryptedKeyPair) object)
                    .decryptKeyPair(decProv));
        } else {
            System.out.println("Unencrypted key - no password needed");
            key = converter.getKeyPair((PEMKeyPair) object);
        }
        pemParser.close();

        // CA certificate is used to authenticate server
        KeyStore caKs = KeyStore.getInstance(KeyStore.getDefaultType());
        caKs.load(null, null);
        caKs.setCertificateEntry("ca-certificate", caCert);
        TrustManagerFactory tmf = TrustManagerFactory.getInstance("X509");
        tmf.init(caKs);

        // client key and certificates are sent to server so it can authenticate
        // us
        KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
        ks.load(null, null);
        ks.setCertificateEntry("certificate", cert);
        ks.setKeyEntry("private-key", key.getPrivate(), password.toCharArray(),
                new java.security.cert.Certificate[]{cert});
        KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory
                .getDefaultAlgorithm());
        kmf.init(ks, password.toCharArray());

        // finally, create SSL socket factory
        SSLContext context = SSLContext.getInstance("TLSv1.2");
        context.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);

        return context.getSocketFactory();
    }

}


@Slf4j
@Component
public class MqttCallbackImpl implements MqttCallback {

    @Override
    public void connectionLost(Throwable throwable) {
        log.info("[MQTT] 连接断开");
    }

    @Override
    public void messageArrived(String topic, MqttMessage message) throws Exception {
        String msg = new String(message.getPayload());
        log.info(String.format("接收消息主题 : %s", topic));
        log.info(String.format("接收消息Qos : %d", message.getQos()));
        log.info(String.format("接收消息内容 : %s", msg));
        log.info(String.format("接收消息retained : %b", message.isRetained()));
    }

    @Override
    public void deliveryComplete(IMqttDeliveryToken iMqttDeliveryToken) {
        log.info("发送消息成功");

    }
}
FlowingRiver
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第12课:搭建 MQTT Broker 和安全实践
sufish的专栏
10-28 585
到目前为止,我们使用的都是一个公有的 Broker,对于学习和演示来说,应该是足够的。但是对于实际生产来说,我们需要有一个私有、可控的 Broker。 正如本课程开头所说,现在很多云服务商都提供了 MQTT Broker 服务,在这里我列举几个较大的: 阿里云的物联网套件 腾讯云的 IoT Hub 青云的 EMQ IoT Hub 百度天工 云服务商的 MQTT Broker 服务是一个很好的选...
MQTT与 TLS/SSL
qq_31532979的博客
04-26 1808
相比之下,MQTT 的发布/订阅模式和多种 QoS 级别虽然非常适合物联网设备间的异步通信,但在一些设备或平台对 MQTT 支持不足的情况下,可能需要额外的工作来实现兼容或转换。总结来说,MQTT 在消息保证、连接会话管理和安全实现等方面确实存在一定的挑战和局限性,特别是在大规模部署时,可能会面临性能瓶颈、资源消耗、设备兼容性等问题。综上所述,MQTT 对 TLS/SSL 的依赖体现在它借助这些安全协议提供的功能来保障通信的私密性、完整性和真实性,确保 IoT 环境中的设备、应用和服务能够安全地交换信息。
paho.mqtt链接openssl库实现ssl加密连接
weixin_43647723的博客
07-11 579
paho.mqtt.c通过ssl加密连接
mqtt配置使用ssl加密通信
热门推荐
我走路带风的博客
01-18 1万+
作者使用的是docker版elipse-mosquitto(mqtt),没有使用docker版的mqtt配置与本文相同,进入正题: **请确保你的ca证书所在目录与作者相同!!!!**作者证书制作及所在目录请看自制CA证书,自制客户端,服务端证书 1.准备一个mqtt配置文件mosquitto.conf # Config file for mosquitto # # See mosquitto.c...
MQTT协议和相关概念介绍 && 搭建一个mosquitto的MQTT Broker
weixin_43647723的博客
07-02 320
MQTT Broker
支持加密通讯的mqtt服务器,mqtt配置使用ssl加密通讯
weixin_34431283的博客
07-29 1453
做者使用的是docker版elipse-mosquitto(mqtt),没有使用docker版的mqtt配置与本文相同,进入正题:**请确保你的ca证书所在目录与做者相同!!!!**做者证书制做及所在目录请看自制CA证书,自制客户端,服务端证书1.准备一个mqtt配置文件mosquitto.confnode# Config file for mosquitto## See mosquitto.co...
基于 mosquitto,安装部署MQTT broker环境
BullKing8185的博客
02-29 890
基于 mosquitto,安装部署MQTT broker环境 1、MQTT 介绍 2、mosquitto介绍 3. Ubuntu下的安装 3.1. 方式一:源码安装 3.2. 方式二:直接安装 4. mosquitto 服务管理 5. mosquitto 常用命令 5.1. mosquitto 服务器(broker)命令 5.2. mosquitto_pub 客户端(发布者)命令 5.3. mosquitto_sub 客户端(订阅者)命令 6. 客户端下载
mqtt android简书,Android客户端通过Paho MQTTBroker建立SSL/TLS的单向连接
weixin_30270715的博客
06-03 566
MQTT是物联网时代的基础通讯协议。Paho Mqtt Client是android应用开发中广泛使用的Mqtt Client库。为了确保通讯安全,通常会使用SSL来进行通讯的加密。Paho Mqtt Client官网上并没有详细说明解释如何建立SSL/TLS连接,下面记录一下。1 生成证书转换BKS格式的步骤将jar放到JDK或者JRE目录下的/lib/ext中运行命令keytool -impo...
MQTT笔记(三)MQTT Broker 选型
Angellyouran的专栏
08-04 2224
MQTT 官方相关链接 MQTT官方整理的开源Broker简要列表 MQTT官方整理的开源Broker详细介绍 MQTT官方整理的开源Broker特性和性能对比 MQTT Broker选型需考虑的因素 支持的协议:目前有 mqtt3.1 、mqtt3.1.1、mqtt5.0。3.1 和3.1.1 是最常见的协议。 支持的QoS。 Qos0:发布者只发送一次消息,不进行重试,Broker不会返回确认消息。在Qos0情况下,Broker可能没有接收到消息。 Qos1:发送者最少发送一次消息,确保消
C# MQTT客户端服务端broker
02-25
C# MQTT客户端与服务端(broker)是网络通信领域中的一种常见实现,主要应用于物联网(IoT)场景,因为MQTT(Message Queuing Telemetry Transport)协议设计时考虑了低带宽、高延迟以及不可靠的网络环境。...
(全新整理)上市公司数字经济与实体经济融合发展程度测算数据(2008-2022年)
09-06
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/141966339 2、代码特点:今年全新,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理
目标检测相关,yolo系列.zip
09-06
1 目标检测的定义 目标检测(Object Detection)的任务是找出图像中所有感兴趣的目标(物体),确定它们的类别和位置,是计算机视觉领域的核心问题之一。由于各类物体有不同的外观、形状和姿态,加上成像时光照、遮挡等因素的干扰,目标检测一直是计算机视觉领域最具有挑战性的问题。 目标检测任务可分为两个关键的子任务,目标定位和目标分类。首先检测图像中目标的位置(目标定位),然后给出每个目标的具体类别(目标分类)。输出结果是一个边界框(称为Bounding-box,一般形式为(x1,y1,x2,y2),表示框的左上角坐标和右下角坐标),一个置信度分数(Confidence Score),表示边界框中是否包含检测对象的概率和各个类别的概率(首先得到类别概率,经过Softmax可得到类别标签)。 1.1 Two stage方法 目前主流的基于深度学习的目标检测算法主要分为两类:Two stage和One stage。Two stage方法将目标检测过程分为两个阶段。第一个阶段是 Region Proposal 生成阶段,主要用于生成潜在的目标候选框(Bounding-box proposals)。这个阶段通常使用卷积神经网络(CNN)从输入图像中提取特征,然后通过一些技巧(如选择性搜索)来生成候选框。第二个阶段是分类和位置精修阶段,将第一个阶段生成的候选框输入到另一个 CNN 中进行分类,并根据分类结果对候选框的位置进行微调。Two stage 方法的优点是准确度较高,缺点是速度相对较慢。 常见Tow stage目标检测算法有:R-CNN系列、SPPNet等。 1.2 One stage方法 One stage方法直接利用模型提取特征值,并利用这些特征值进行目标的分类和定位,不需要生成Region Proposal。这种方法的优点是速度快,因为省略了Region Proposal生成的过程。One stage方法的缺点是准确度相对较低,因为它没有对潜在的目标进行预先筛选。 常见的One stage目标检测算法有:YOLO系列、SSD系列和RetinaNet等。 2 常见名词解释 2.1 NMS(Non-Maximum Suppression) 目标检测模型一般会给出目标的多个预测边界框,对成百上千的预测边界框都进行调整肯定是不可行的,需要对这些结果先进行一个大体的挑选。NMS称为非极大值抑制,作用是从众多预测边界框中挑选出最具代表性的结果,这样可以加快算法效率,其主要流程如下: 设定一个置信度分数阈值,将置信度分数小于阈值的直接过滤掉 将剩下框的置信度分数从大到小排序,选中值最大的框 遍历其余的框,如果和当前框的重叠面积(IOU)大于设定的阈值(一般为0.7),就将框删除(超过设定阈值,认为两个框的里面的物体属于同一个类别) 从未处理的框中继续选一个置信度分数最大的,重复上述过程,直至所有框处理完毕 2.2 IoU(Intersection over Union) 定义了两个边界框的重叠度,当预测边界框和真实边界框差异很小时,或重叠度很大时,表示模型产生的预测边界框很准确。边界框A、B的IOU计算公式为: 2.3 mAP(mean Average Precision) mAP即均值平均精度,是评估目标检测模型效果的最重要指标,这个值介于0到1之间,且越大越好。mAP是AP(Average Precision)的平均值,那么首先需要了解AP的概念。想要了解AP的概念,还要首先了解目标检测中Precision和Recall的概念。 首先我们设置置信度阈值(Confidence Threshold)和IoU阈值(一般设置为0.5,也会衡量0.75以及0.9的mAP值): 当一个预测边界框被认为是True Positive(TP)时,需要同时满足下面三个条件: Confidence Score > Confidence Threshold 预测类别匹配真实值(Ground truth)的类别 预测边界框的IoU大于设定的IoU阈值 不满足条件2或条件3,则认为是False Positive(FP)。当对应同一个真值有多个预测结果时,只有最高置信度分数的预测结果被认为是True Positive,其余被认为是False Positive。 Precision和Recall的概念如下图所示: Precision表示TP与预测边界框数量的比值 Recall表示TP与真实边界框数量的比值 改变不同的置信度阈值,可以获得多组Precision和Recall,Recall放X轴,Precision放Y轴,可以画出一个Precision-Recall曲线,简称P-R
8051Proteus仿真c源码用数组的指针控制P0口8位LED流水点亮
最新发布
09-06
8051Proteus仿真c源码用数组的指针控制P0 口8 位LED流水点亮提取方式是百度网盘分享地址
常见各类算法的习题和解析.zip
09-06
常见各类算法的习题和解析.zip
STM32+74HC595驱动4位数码管显示0-3.zip
09-06
STM32+74HC595驱动4位数码管显示0-3,代码逻辑参考:https://blog.csdn.net/MANONGDKY/article/details/141952401
ASP.NET001通用作业批改系统毕业课程设计项目+论文+答辩ppt
09-06
编号:52 程序开发环境:Visual Studio 2005以上版本 数据库:Sqlserver2000以上版本 程序设计语言:C# 程序实现功能: 该系统主要完成学生注册,登陆,作业的上传,教师对作业进行发布,批改等功能。包括登陆子系统,学生子系统,教师子系统和管理员子系统。 登陆子系统功能设计:登陆子系统要求,选择好自己的用户类别,均能登入,要求正确填写好登入信息。学生,老师,管理员以用户名与密码进行登入。如果用户名错误或不存在、密码错误,应当有提示[11]。注:本系统只带学生注册功能,每位老师与位学生只能对应唯一的ID。 学生用户子系统功能 1、上传作业 要求先找到上传的对象(老师),浏览本地计算机目录,找到要提交的文件,提交到对应的老师目录下,系统会自动记录下该作业提交的信息,完成提交过程,返回成功信息。 2、管理作业 要求能查询本人的成绩。对作业进行查看,删除。 3、修改个人信息 要求输入密码时候,需要密码隐藏模式现实;输入新密码时,要对密码进行二次检验,和长度检验;修改成功后提示成功。可修改除帐户以外的所有信息。 教师子系统功能设计 1、修改个人资料
国产数据库DM8预研报告
09-06
国产数据库DM8预研报告
8051Proteus仿真c源码将数据0xaa写入X5045再读出送P1口显示
09-06
8051Proteus仿真c源码将数据0xaa写入X5045再读出送P1口显示提取方式是百度网盘分享地址
mqtt broker 生产环境
09-20
MQTT Broker 是一种常用于物联网应用的消息代理服务器,用于实现设备间的通信。在生产环境中,MQTT Broker 扮演着重要的角色。 首先,MQTT Broker 能够提供高性能的消息传递服务。在物联网应用中,设备可能需要频繁地向服务器发送数据。MQTT Broker 采用轻量级的协议,能够实现快速、可靠的消息传递,确保设备间实时通信的需求得到满足。 其次,MQTT Broker 具备可扩展性和弹性扩展的能力。在生产环境中,设备数量可能会很大,因此需要一个能够扩展的系统来处理大量的设备连接和消息传递。MQTT Broker 的设计允许通过增加服务器节点,以及使用负载均衡和集群技术来实现高可用性和高伸缩性,有效地应对不断增长的设备数量。 此外,MQTT Broker 还提供了安全性和身份验证机制。在物联网应用中,设备的安全性和数据的隐私保护至关重要。MQTT Broker 支持使用用户名和密码进行身份验证,并可使用 SSL/TLS 协议进行加密传输,确保设备和服务器之间的通信是安全可靠的。 最后,MQTT Broker 还提供了高级的消息路由和过滤功能,允许设备和应用根据需要进行消息的发布和订阅。这样,设备可以根据自身的需求选择性地接收特定类型的消息,减少不必要的数据传输,提高通信效率。 综上所述,在生产环境中,MQTT Broker 是一种理想的选择。它能够提供高性能、可扩展、安全的消息传递服务,满足物联网应用中设备间实时通信的需求,并提供丰富的功能和灵活的配置选项,适用于各种规模和类型的物联网应用场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值