用SSL保护EMQ连接(pem格式证书)

最新推荐文章于 2024-06-03 11:50:50 发布
最新推荐文章于 2024-06-03 11:50:50 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: MQTT IOT 文章标签: EMQ emqx OPENSSL PEM证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/king_jie0210/article/details/103314720
版权
IOT 同时被 2 个专栏收录
2 篇文章 0 订阅
订阅专栏
MQTT
1 篇文章 0 订阅
订阅专栏

SSL是一种加密协议,可通过计算机网络提供通信安全性。 不出所料,它也可以用于MQTT消息交换。
SSL具有许多安全优势,例如:
强认证性:创建一个SSL连接时,通信方可以检查其伙伴的身份并确定其是否可信任。 通常,在此阶段,可以使用X.509证书来确保证书持有者的身份。
隐私性:协议启动时,通信双方会生成唯一的会话密钥。 该会话密钥对通信过程进行了加密。 任何未授权用户都无法查看交换的信息。
完整性:不可能篡改SSL上的通信。
EMQ和EMQX支持SSL。 在本文中,将展示如何在EMQ上启用SSL。

SSL协议

SSL协议是SSL记录协议和SSL握手协议的组合。记录协议与任何其他数据携带协议非常相似,一条记录消息包括内容类型,版本,长度和消息有效负载,其中包含加密数据。 有时,一条记录消息还具有消息身份验证代码和/或填充。SSL连接启动时使用握手协议,它控制通信方式。 握手本身也承载在SSL记录(内容类型22)中。
一个典型的SSL握手协议:
在这里插入图片描述
握手的目的是创建通信通道,识别彼此的身份并协商密码规范。 握手以“ hello”消息开始,以“ finished”消息结束。

准备工作:在EMQ中使用SSL

通常,我们使用证书进行SSL通信。 因此在启动SSL之前,我们将需要一些证书。 它们是:CA证书,EMQ证书。如果我们要启用双向身份验证,我们还将需要客户端证书。通常在demo或实验室环境中,我们会亲自生成证书并签名,而不是从受信任的第三方获得证书。接下来,我们将使用OpenSSL附带的工具来生成所需的证书。
首先,我们需要一个用于自签名CA根证书的密钥key,以下命令会生成密钥长度为2048的RSA私钥并将其保存在文件“ MyRootCA.key”中:

openssl genrsa -out MyRootCA.key 2048

下一步是使用我们刚得到的密钥生成根证书:

openssl req -x509 -new -nodes -key MyRootCA.key -sha256 -days 3650 -out MyRootCA.pem

根证书是信任链的起点,我们假定:如果从证书颁发者到链上根证书的所有节点都是可信的,则该链上的证书是可信的。拥有自签名的CA根证书后,我们可以使用它为其他身份(例如EMQ服务器)颁发证书。 同样,我们首先需要一个私钥:

openssl genrsa -out MyEMQ1.key 2048

然后生成针对EMQ1的证书请求:

openssl req -new -key ./MyEMQ1.key -out MyEMQ1.csr

然后,使用CA根证书颁发EMQ1的证书:

openssl x509 -req -in ./MyEMQ1.csr -CA MyRootCA.pem -CAkey MyRootCA.key -CAcreateserial -out MyEMQ1.pem -days 3650 -sha256

现在我们可以开始在EMQ上使用SSL。

在EMQ上启用SSL

在EMQ上启用SSL非常简单,我们只需要修改“ emq.conf/emqx.conf中的一些配置。 默认的侦听端口是8883

listener.ssl.external = 8883

密钥和证书文件的位置:

#private key for emq cert:
listener.ssl.external.keyfile = etc/certs/MyEMQ1.key
#emq cert:
listener.ssl.external.certfile = etc/certs/MyEMQ1.pem
#CA cert:
listener.ssl.external.cacertfile = etc/certs/MyRootCA.pem

修改conf后,重新启动EMQ,并使用mosquitto_sub对其进行测试:

mosquitto_sub -t abc -h emq1 -p 8883 -d --cafile ~/test_certs/MyRootCA.pem --insecure
Client mosqsub|10617-Zhengyus- sending CONNECT
Client mosqsub|10617-Zhengyus- received CONNACK
Client mosqsub|10617-Zhengyus- sending SUBSCRIBE (Mid: 1, Topic: abc, QoS: 0)
Client mosqsub|10617-Zhengyus- received SUBACK
Subscribed (mid: 1): 0

启用客户端证书
在某些情况下,有必要通过检查客户端证书来确保客户端身份(双向认证)。 通过启用以下指令可以轻松完成此操作(修改emq.conf):

#enable the client side certificates
listener.ssl.external.verify = verify_peer

强制使用客户端证书(仅允许具有客户端证书的ssl)

#set it to 'true' to allow the ssl with client side certificate only 
listener.ssl.external.fail_if_no_peer_cert = true

做了上述更改后,我们继续使用相同的命令进行测试后,得到了一个tls错误

mosquitto_sub -t abc -h emq1 -p 8883 -d --cafile ~/test_certs/MyRootCA.pem --insecure
Client mosqsub|10738-Zhengyus- sending CONNECT
Error: A TLS error occurred.

双向认证我们将需要客户端证书,通过用生成服务器端证书的相同方式生成客户端证书:

openssl genrsa -out MyClient1.key 2048
openssl req -new -key ./MyClient1.key -out MyClient1.csr
openssl x509 -req -in ./MyClient1.csr -CA MyRootCA.pem -CAkey MyRootCA.key -CAcreateserial -out MyClient1.pem -days 3650 -sha256

生成证书后我们可以通过以下命令验证证书的有效性

openssl verify -CAfile MyRootCA.pem MyEMQ1.pem MyClient1.pem
MyEMQ1.pem: OK
MyClient1.pem: OK

我们用新生成的客户端证书进行测试:

mosquitto_sub -t abc -h emq1 -p 8883 -d --key ~/test_certs/MyClient1.key --cert ~/test_certs/MyClient1.pem --cafile ~/test_certs/MyRootCA.pem --insecure
Client mosqsub|10796-Zhengyus- sending CONNECT
Client mosqsub|10796-Zhengyus- received CONNACK
Client mosqsub|10796-Zhengyus- sending SUBSCRIBE (Mid: 1, Topic: abc, QoS: 0)
Client mosqsub|10796-Zhengyus- received SUBACK
Subscribed (mid: 1): 0

一切都按预期运行

king_jie0210
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EMQ 启用 SSL/TLS 加密连接
奋斗者潘的博客
09-09 3420
EMQ 启用 SSL/TLS 加密连接 使用加密连接的时候选择wss协议,并使用域名连接:绑定域名-证书之后,必须使用域名而非 IP 地址进行连接,这样浏览器才会根据域名去校验证书以在通过校验后建立连接。 在 EMQ 上配置 打开etc/emqx.conf配置文件,修改以下配置 # wss 监听地址 listener.wss.external = 8084 # 修改密钥文件地址...
emq.conf emq配置文件
12-04
emqttd-windows10-v2.3.11.zip的tls配置文件、双向认证、单项认证、EMQ Configuration R2
emq安装使用 以及ssl单向双向验证及代码实现 小白使用手册
码灵的博客
07-21 2817
1 openssl安装 opensll emq安装包及客户端下载路径 https://download.csdn.net/download/h4241778/12647477 用于证书生产 $ tar zxf openssl openssl-1.0.1.tar.gz $ cd openssl-1.0.1 $ ./config --prefix=/usr/local 我记得执行到这就可以了,openssl version 可查看版本 $ make $ make clean $ sudo m.
[MQTT]服务器EMQX搭建SSL/TLS连接过程(wss://)
最新发布
Better than yesterday.
06-03 1560
一、采用8084端口进行连接,是EMQX 默认提供了四个常用的监听器之一,如果需要添加其他类型的监听器,可参考官方文档 二、使用自签名CA,需要提前在Linux系统上安装OpenSSL,具体安装教程请自行搜索 三、采用SSL/TLS连接,需要提前在EMQX上启用,可参考链接如下
EMQ配置SSL访问的一个坑
qq_42670703的博客
03-09 2596
前言 近期在做一个微信小程序,里面用到WebSocket实时推送。众所周知,微信小程序要求的request合法请求域必须是https,而且ws也要变为wss,于是进入正题,mqtt配置ssl 踩坑 ## SSL Options listener.ssl.external.handshake_timeout = 15 listener.ssl.external.keyfile = etc/certs/key.pem listener.ssl.external.certfile = etc/certs/cert
nginxPlus配置上游emq服务器负载均衡及SSL Termination
weixin_30649859的博客
04-01 251
nginxPlus配置上游emq服务器负载均衡及SSL Termination 公司业务访问量大,因此需要对后端emq服务器进行性能调优,在前端配置,以提高服务的健壮性。同时,由于mqtts传输方式中加解密的操作较占资源,所以需要把这部分操作让nginx服务器完成,让后端通信均为mqtt方式,减少服务器压力。 本文所有配置基于nginx-pl...
EMQX开启SSL/TSL及生成证书流程
08-31
EMQX,全称Erlang MQTT Broker,是一款基于Erlang OTP构建的开源MQTT消息代理,广泛应用于物联网(IoT)...以上就是关于EMQX开启SSL/TLS及生成证书的详细流程,遵循这些步骤,你将能确保EMQX在物联网环境中的通信安全。
阿里云部署SSL证书详解
09-30
主要介绍了阿里云部署SSL证书详解,需要的朋友可以参考下
EMQ客户端连接认证的配置教程.pdf
07-02
EMQ中的认证是当一个客户端连接EMQ的时候,通过服务器端的配置来控制客户端连接服务器的权限。EMQ认证方式有:使用内置数据源(文件、内置数据库)、JWT、外部主流数据库和自定义 HTTP API 作为身份认证数据源。
STM32通过SIM800C连接EMQ服务器
03-29
自己搭建了一个EMQ的服务器,用SIM800C跑MQTT协议与EMQ服务器通信,定时ping服务器(定时器来完成的),8秒内没收到心跳保护就重连,这个时间也是定时器设置了,可以在初始化里面改,客户端ID采用的串口输入的方式,ID...
Android 基于MQTT连接EMQX
10-13
其它参考[MQTT Java 客户端库 | EMQX 4.3 文档](https://www.emqx.io/docs/zh/v4.3/development/java.html#%E9%80%9A%E8%BF%87-maven-%E5%AE%89%E8%A3%85-paho-java)
emq开启SSL连接
Jessie_YYY的博客
11-16 960
我想要在微信小程序中收发mqtt消息。小程序开发要求比较苛刻,开发配置中必须使用websocket的wss协议(ws和wss的差异类似于http和https,表示是否是加密传输)。故需要开启emq服务器的SSL连接。步骤如下: 搞到域名的SSL证书 修改emq配置 我搜了很多教程,还有人改了nginx的配置。反正我最后是没有改nginx的配置就成功了。 我的服务器一个是Ubuntu14.04,一个是16.04; emq版本都是2.3.0。 SSL证书 ( 在搞到SSL证书前, 要有注册过域名并解析到IP
emq常见的认证方式 概述 和 使用
小哇
03-02 925
更多认证方式可查询官网https://docs.emqx.cn/broker/latest/advanced/auth.html 1 线上使用建议关闭 匿名登陆 打开安装目录下的\etc\emqx.conf文件 修改allow_anonymous = false 重启 emq ,即可 emqx restart 2 Client ID 和 Username 认证,高版本的认证数据可直接通过 emq的Dashboard控制台中的插件直接添加,如下低版本的emqx,则需要通过 emqx内置的api 来添加,并使.
MQTT系列:(三)EMQ X配置SSL/TLS,并使用MQTT X进行链接
qq_15506067的博客
09-29 4486
介绍emqx设置ssl/tls的方法
EMQX 启用 SSL/TLS 加密连接
get_py的博客
03-12 6930
EMQX启用SSL/TLS加密连接
开启EMQXSSL模式及SSL证书生成流程
qq_39231899的博客
08-31 2552
1.EMQX开启ssl\tsl证书认证模式流程 2.emqx如何生成和配置证书
nignx emqx获取客户端真实ip
weixin_41459256的博客
03-03 718
emqx nginx负载均衡tcp连接获取用户真实ip
MQTT.fx工具测试mqtt
测试领域技术分享
10-16 1344
一、环境搭建 MQTT.fx是一款基于Eclipse Paho,使用Java语言编写的MQTT客户端工具。支持通过Topic订阅和发布消息,用来前期和物理云平台调试非常方便。 下载地址:http://mqttfx.jensd.de/index.php/download 二、界面介绍 1.主界面 2.通用设置界面 3.用户信息设置界面 4.SSL/TLS安全证书界面 5.网络代理界面 6.遗属设置 三、案例 本次案例采用...
怎么用android连接emqx
04-22
您可以按以下步骤使用 Android 连接 EMQX: 1. 在您的 Android 项目中添加 Eclipse Paho MQTT 客户端库。 2. 在 EMQX 的管理界面中创建一个 MQTT 用户。 3. 在 Android 代码中使用以下代码片段连接EMQX: ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值