emqx用自签证书开启SSL实现双向认证

已于 2024-07-06 15:53:56 修改
阅读量961 收藏 24
点赞数 12
文章标签: ssl 物联网
于 2024-07-06 09:49:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzi_1998/article/details/140210161
版权

emqx启动SSL/TLS 证书认证方式

1、OpenSSL相关配置

emqx的搭建可以查看另一篇文章

1.1.下载openssl:

openssl安装包下载地址
在这里插入图片描述

有4种安装包:
Win64 OpenSSL v3.3.2 Light,安装Win64 OpenSSL v3.3.2最常用的软件包
Win64 OpenSSL v3.3.2,安装Win64 OpenSSL v3.3.2完整软件包(一般安装此版本)
Win32 OpenSSL v3.3.2Light,安装Win32 OpenSSL v3.3.2最常用的软件包
Win32 OpenSSL v3.3.2,安装Win32 OpenSSL v3.3.2完整软件包

在这里插入图片描述

1.2.安装openssl

路径自行选择
在这里插入图片描述
最后一步,是否捐款,去掉所有勾选即可,如下:
在这里插入图片描述

1.3.配置环境变量

在系统变量里面的path中添加OpenSSL的bin路径
在这里插入图片描述
查看openssl安装版本

openssl version

在这里插入图片描述

1.4.配置SSL双向认证

1.4.1.生成根证书私钥

openssl genrsa -out ca.key 2048

1.4.2.生成根证书

openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.pem

中间根据提示填写相关信息,需要输入省份、城市、公司、组织、姓名、邮件,填写内容一般不影响
在这里插入图片描述

1.4.3.生成服务端证书私钥

openssl genrsa -out emqx.key 2048

1.4.4.生成服务端证书请求

在bin录下手动创建一个openssl.cnf的文件,仅需设置IP地址,其中将IP.1和DNS.1修改为服务器地址。这里配置的国家省份城市要和上面配置的一致

[req]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
countryName = CN
stateOrProvinceName = Jiangsu
localityName = Suzhou
organizationName = EMQX
commonName = CA
[req_ext]
subjectAltName = @alt_names
[v3_req]
subjectAltName = @alt_names
[alt_names]
IP.1 = 替换为自己的mqtt服务器地址
DNS.1 = 替换为自己的mqtt服务器地址

1.4.5.文件建立完成后,生成服务端证书请求

openssl req -new -key ./emqx.key -config openssl.cnf -out emqx.csr

1.4.6.生成服务端证书

openssl x509 -req -in ./emqx.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out emqx.pem -days 3650 -sha256 -extensions v3_req -extfile openssl.cnf

1.4.7.生成客户端证书私钥

openssl genrsa -out client.key 2048

1.4.8.生成客户端证书请求

这里配置的国家省份城市及用户名要和上面配置的一致

openssl req -new -key client.key -out client.csr -subj "/C=CN/ST=Jiangsu/L=Suzhou/O=EMQX/CN=client"

1.4.9.生成客户端证书

openssl x509 -req -days 3650 -in client.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out client.pem

生成成功标志

2.EMQX相关配置

2.1.拷贝文件

将前文中通过 OpenSSL 工具生成的 emqx.pem、emqx.key 及 ca.pem 文件拷贝到 EMQX 的 etc/emqx/certs/ 目录下
在这里插入图片描述

2.2.修改文件的用户及用户组

进到相关目录

cd etc/emqx/certs/

修改文件用户及用户组

sudo chown emqx:emqx ca.pem
sudo chown emqx:emqx emqx.key
sudo chown emqx:emqx emqx.pem

2.3.配置EMQX开启SSL

修改监听器

在这里插入图片描述

配置ssl
在这里插入图片描述
点击default,配置路径
在这里插入图片描述

3.测试证书验证方式

3.1.打开MQTTX测试工具

注意证书认证方式的端口是8883

选择mqtts连接方式
输入emqx服务器地址
证书验证方式选择 CA or Self signed certificates
选择之前生成好的证书,对应存放
在这里插入图片描述

3.2.测试连接(证书方式+用户方式)

如果只想使用证书认证,不想使用用户密码认证的话需要关闭对应的
如果你的客户端认证及授权都是用的myqsl方式的话,则选择证书后还需要填写用户名密码
在这里插入图片描述在这里插入图片描述
添加订阅,确认消息是否到达
在这里插入图片描述

3.2.测试连接(只使用证书方式)

需要关闭客户端的认证方式
在这里插入图片描述
关闭客户端授权认证方式
在这里插入图片描述
客户端授权中的未匹配时执行必须是allow,不然会出现未授权
在这里插入图片描述
测试连接
在这里插入图片描述

huzi_1998
关注
  • 12
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EMQX 入门教程⑥——SSL/TLS | 基于Apecha证/合并客户端证 配置单向/双向认证和不认证
小康师兄
10-30 1219
EMQX 入门教程⑥——SSL/TLS | 基于Apecha证/合并客户端证 配置单向/双向认证和不认证
【ESP 保姆级教程】玩转emqx SSL篇① ——认证 SSL
单片机菜鸟哥的博客
02-04 606
数据安全是一个大的课题,远远不止这些,本篇主要是通过emqx ssl来简单学习一下数据加密传输的一些知识,并且带领大家创建自己的证并应用到esp模块上。
一、Ubuntu22.0安装EMQX5.0——用自签证开启SSL实现双向认证
ywt092的博客
11-19 1185
Ubuntu20安装EMQX5.0,开启SSL实现双向认证,帮助想初步了解MQTT的小白,大神请绕过。
使用自签发CA证EMQX开启双向认证
架构师实战感悟
06-11 1544
使用不同的 CA 服务,证签发的流程以及需要的参数不同,如大部分支持安全芯片的设备,其私钥通常由设备端生成,通过向 CA 发送 csr 请求文件的方式获取CA机构签发的证。下文仅借助流行的 cfssl 工具来完成证的创建工作,设备端私钥由 cfssl 工具生成,如果尚未安装 cfssl 工具,请查看。根CA为EMQX服务签发服务器端证,以及给中间CA签发中间证,由中间CA给设备签发设备证。通过上边的命令,将会得到 emqx 服务端的私钥。通过上边的命令,将会得到中间CA的私钥。
HAProxy终结TLS双向认证代理EMQX集群
架构师实战感悟
09-08 767
MQTT协议已经成为当前物联网领域的关键技术之一,当前市面上主流的实现MQTT协议的产品主要有 EMQX、Mosquito、NanoMQ等。本文以EMQX开源版为基础,构建 MQTT Broker 集群,并使用 HAProxy代理 MQTT Broker 集群,由 HAProxy 开启双向认证,并终结TLS,HAProxy 到 MQTT Broker 集群的流量采用非加密模式。
emqx使用自制CA证登录配置(双向认证
u011089760的博客
05-08 6687
1)服务器环境 操作系统:centos 7 Emtqq版本:v3.1.0 Mysql版本:V5.6+ 2).生成自签名的CA key和证(简单起见客户端和服务端共用一个CA证) openssl genrsa -out ca.key 2048 openssl req -x509 -new -nodes -key ca.key -sha25...
EMQX SSL双向认证配置与编码实现【JAVA】
qq_39668819的博客
11-09 4856
一准备工作 在这里插入代码片 yum install openssl yum install vim 在opt目录下创建ssl目录用来临时存储生成的证文件 mkdir /opt/ssl cd /opt/ssl/ cp /etc/pki/tls/openssl.cnf ./ rm -rf /etc/pki/CA/*.old 生成证索引库数据库文件 touch /etc/pki/CA/index....
emq安装使用 以及ssl单向双向验证及代码实现 小白使用手册
码灵的博客
07-21 2802
1 openssl安装 opensll emq安装包及客户端下载路径 https://download.csdn.net/download/h4241778/12647477 用于证生产 $ tar zxf openssl openssl-1.0.1.tar.gz $ cd openssl-1.0.1 $ ./config --prefix=/usr/local 我记得执行到这就可以了,openssl version 可查看版本 $ make $ make clean $ sudo m.
EMQX TSL/SSL自生成证双向验证
Sunada2401的博客
05-20 2088
服务器工具: EMQX:(版本:4.2.8/4.3.0) 客户端工具: MQTTX(版本:5.0) 自生成证工具openssl(ubuntu/windos base): 一:生成自签名的CA key和证(mqtt服务端和mqtt客户端公用一个CA) (备注:自签名证在ubuntu/windows 用任意系统上的openssl生成均可,建议在ubuntu上,理由是快捷方便,反正最终签发客户端/服务端证都要用同一个自签名证) 1.生成自签名证的私钥: ...
EMQX开启SSL/TSL及生成证流程
08-31
EMQX,全称Erlang MQTT Broker,是一款基于Erlang OTP构建的开源MQTT消息代理,广泛应用于物联网(IoT)...以上就是关于EMQX开启SSL/TLS及生成证的详细流程,遵循这些步骤,你将能确保EMQX物联网环境中的通信安全。
linux系统openssl 实现ssl签证
12-02
通过shell脚本生成CA根证,并且通过CA根证自签服务器、客户端等证; 自签后可以实现局域网内https证信任。该证可以实现V3(SAN)证扩展名,解决谷歌浏览(Google Chrome)提示没有主题备用名称的问题。
C# TLS SSL TCP双向认证 X509Store SslStream Certificate
09-25
C# TLS SSL TCP双向认证 X509Store SslStream Certificate Visual Studio 2017 命令提示 键入: makecert -r -pe -n “CN=TestServer” -ss Root -sky exchange 等待来自客户端的连接... 显示安全等级 密钥套件: Aes...
Java实现SSL双向认证的方法
09-01
实现Java SSL双向认证通常涉及以下几个步骤: 1. **生成密钥库(KeyStore)**: - 服务器端需要一个KeyStore,存储其私钥,通常使用`keytool`命令生成,例如:`keytool -genkey -alias serverkey -keystore ...
JAVA实现SSL/TLS双向认证源代码
02-02
本篇将深入探讨如何使用Java实现SSL/TLS双向认证,以及涉及到的相关工具和步骤。 首先,让我们理解什么是SSL/TLS双向认证。通常,SSL/TLS连接采用单向认证,即服务器验证客户端的身份,而客户端不需要验证服务器。...
(1, ‘[SSL: WRONG_VERSION_NUMBER] wrong version number (_ssl.c:1124)
weixin_41850878的博客
07-03 223
//mirrors.aliyun.com/pypi/simple/ 修改为。pip install的时候遇到这错误。第三步:终于可以了。
IPsec连接 和 SSL连接
最新发布
weixin_61015632的博客
07-05 187
Psec和SSL连接是两种用于保障网络通信安全的技术。建立连接的初始阶段可能涉及复杂的协商过程。出差员工的便携设备需要访问公司内网时使用。网络层(OSI模型的第3层)的安全。对网络层安全有严格要求的场合。注重灵活的端到端的安全性。本地IDC与云端VPC。站点间的稳定通讯需求。
OpenSSL的一些使用案例
我要出家当道士
07-03 606
本篇博客重点不是详细描述 OpenSSL 的用法,只是作为日常使用中的一个备忘,方便下次使用时快速索引。后续还会继续补充。
SSL/CA 证及其相关证文件解析
Sgirll的博客
07-04 900
通过深入了解SSL/CA证及其相关证文件,我们能够更好地保障网络通信的安全,保护用户的隐私和数据安全。在选择和使用证时,建议选择受信任的CA机构颁发的证,并确保正确配置和管理证,以充分发挥其安全保护作用。顶层的根CA具有最高的信任级别,其他CA证的颁发者是它的上一级CA。CA证的重要性在于它是构建信任链的基础。当客户端收到服务器的证时,会验证该证是否由受信任的CA机构颁发。CA证是由权威的CA机构颁发的证。CA机构作为受信任的第三方,负责验证申请者的身份,并颁发相应的数字证
WEB服务器SSL双向认证安装使用指南.docx
12-02
WEB服务器SSL双向认证安装使用指南.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值