mosquitto支持ssl/tls双向认证

最新推荐文章于 2024-05-05 09:07:26 发布
最新推荐文章于 2024-05-05 09:07:26 发布
阅读量1.2k 收藏 8
点赞数
分类专栏: # MQTT 通信安全 文章标签: ssl java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lizhiwei309/article/details/127322326
版权

一、生成证书

1、生成根证书ca

#
# Generate the certificate.
#

PROJECT_NAME="TLS Project"

#配置文件
# Generate the openssl configuration files.
cat > ca_cert.conf << EOF 
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no
[ req_distinguished_name ]
O                      = $PROJECT_NAME Dodgy Certificate Authority
EOF

mkdir ca

#生成证书
openssl genrsa -out ca.key 2048
openssl req -out ca.req -key ca.key -new -config ./ca_cert.conf
openssl x509 -req -in ca.req -out ca.crt -sha256 -days 365 -signkey ca.key

mv ca.crt ca.key ca/
rm ca.srl

说明:

        上边shell脚本可直接使用,建议生成脚本文件createCa.sh

        根证书ca目前秘钥长度一般都为2048,如上所示,如果改成更小的1024,可能会报错。

        同样哈希算法建议采用sha256,如上所示,使用sha1也可能会报错。 

2、生成server端证书

#
# Generate the server certificates and keys.
#

PROJECT_NAME="TLS Project"

#配置文件
# Generate the openssl configuration files.
cat > server_cert.conf << EOF 
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no
[ req_distinguished_name ]
O                      = $PROJECT_NAME
CN                     = 192.168.0.11
EOF

mkdir server

#生成证书
openssl genrsa -out server.key 2048
openssl req -out server.req -key server.key -new -config ./server_cert.conf
openssl x509 -req -in server.req -out server.crt -sha256 -CAcreateserial -days 365 -CA ca/ca.crt -CAkey ca/ca.key

mv server.crt server.key server/

rm server_cert.conf
rm server.req

说明:

        上边shell脚本可直接使用,建议生成脚本文件createServer.sh

        上边CN是服务器的ip地址,使用者需要改成自己的服务器ip。 

3、生成client端证书

#
# Generate the client certificates and keys.
#

PROJECT_NAME="TLS Project"

#配置文件
# Generate the openssl configuration files.
cat > client_cert.conf << EOF 
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no
[ req_distinguished_name ]
O                      = $PROJECT_NAME Device Certificate
CN                     = 192.168.0.3
EOF

mkdir client

#生成证书
openssl genrsa -out client.key 2048
openssl req -out client.req -key client.key -new -config ./client_cert.conf
openssl x509 -req -in client.req -out client.crt -sha256 -CAcreateserial -days 365 -CA ./ca/ca.crt -CAkey ./ca/ca.key

mv client.crt client.key client/

rm client_cert.conf
rm client.req

说明:

        上边shell脚本可直接使用,建议生成脚本文件createClient.sh

        上边CN是客户端的ip地址,使用者需要改成自己的客户端ip。 

4、验证证书是否可用

$openssl verify -CAfile ca/ca.crt server/server.crt

$openssl verify -CAfile ca/ca.crt client/client.crt

 二、配置mosquitto服务器

1、拷贝证书

#创建文件夹
sudo mkdir /etc/mosquitto/CA
sudo mkdir /etc/mosquitto/CA/server

#拷贝证书文件
sudo cp ca/ca.crt /etc/mosquitto/CA/
sudo cp server/server.crt /etc/mosquitto/CA/server
sudo cp server/server.key /etc/mosquitto/CA/server

#设置权限
sudo chmod 777 /etc/mosquitto/CA/server/server.crt
sudo chmod 777 /etc/mosquitto/CA/server/server.key

2、设置mosquitto配置文件

1)双向认证配置如下: 

        打开配置文件mosquitto.conf,增加如下脚本。

listener 8883

cafile /etc/mosquitto/CA/ca.crt

certfile /etc/mosquitto/CA/server/server.crt

keyfile /etc/mosquitto/CA/server/server.key

require_certificate true

use_identity_as_username true

说明:

        配置文件默认是没有的,执行一次下边第6节的指令便会自动生成。

2)单向认证注释掉下边两行 

#require_certificate true

#use_identity_as_username true

 3)不需要认证时全部注释掉

#listener 8883

#cafile /etc/mosquitto/CA/ca.crt

#certfile /etc/mosquitto/CA/server/server.crt

#keyfile /etc/mosquitto/CA/server/server.key

#require_certificate true

#use_identity_as_username true

4、是否允许匿名登入

#true允许匿名访问,false不允许。
allow_anonymous true

5、设置用户名和密码

mosquitto_passwd -c /etc/mosquitto/passwd.file admin

说明:

        输入命令后,会提示输入两次密码,输入即可。

         -c为新建文件夹,如果增加用户名和密码,不要加此参数。

6、启动mosquitto服务器

sudo mosquitto -c /etc/mosquitto/mosquitto.conf

说明:

        系统重启后会自动在后台启动以上命令。

         有时杀死后会自动重启该服务,如果想关闭,可修改mosquitto.conf文件名后,再杀死进程。

三、客户端调试

1、消息订阅

        1)单向认证订阅

mosquitto_sub -h 192.168.0.11 -p 8883 -u "admin" -P "123456" -i "client1" -t "test" --cafile /home/xxx/xxx/ca/ca.crt

        2)双向认证订阅 

mosquitto_sub -h 192.168.0.11 -p 8883 -u "admin" -P "123456" -i "client1" -t "test" --cafile /home/xxx/xxx/ca/ca.crt --cert /home/xxx/xxx/client/client.crt --key /home/xxx/xxx/client/client.key

 2、发布消息

        1)单向认证发布

mosquitto_pub -h 192.168.0.11 -p 8883 -u "admin" -P "123456" -i "client2" -t "test" -m "hello world" --cafile /home/xxx/xxx/ca/ca.crt

        2)双向认证发布 

mosquitto_pub -h 192.168.0.11 -p 8883 -u "admin" -P "123456" -i "client2" -t "test" -m "hello world" --cafile /home/xxx/xxx/ca/ca.crt --cert /home/xxx/xxx/client/client.crt --key /home/xxx/xxx/client/client.key
觅食小鱼
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mosquitto SSL配置
zhaozhencn的专栏
08-07 2774
mosquitto.conf port 8883 cafile /home/ubuntu/ca/ca.crt certfile /home/ubuntu/ca/server.crt keyfile /home/ubuntu/ca/server.key ca directory: /home/ubuntu/ca ca openssl genrsa -des3 -...
windows10-64bit环境下mosquitto环境搭建及所需DLL文件
02-04
包含libeay32.dll、pthreadVC2.dll、ssleay32.dll与最新版本mosquitto安装包,dll直接覆盖到C:\Windows\SysWOW64下再安装安装包
搭建mqtt服务器mosquitto以及添加CA证书
hzlarm的博客
12-30 7149
搭建mqtt服务器 mosquitto是 一款实现了消息推送)协议 MQTT v3.1 的开源消息代理软件,提供轻量级的,支持可发布/可订阅的 的消息推送模式,使设备对设备之间的短消息通信变得简单,比如现在应用广泛的低功耗传感器,手机、嵌入式计 算机、微型控制器等移动设备。 官网有各种安装方式教程,这里安装在ubuntu18.04中采用ppa方式: mosquitto-dev PPA 。 执行 s...
基于MQTT协议的SSL/TLS
weixin_51120512的博客
08-20 2815
SSL“安全套接层”协议,TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私和数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者和接收者才能完全访问并传输信息。SSL/TLS单向认证:客户端会认证服务器端身份,服务器端不对客户端进行认证SSL/TLS双向认证:客户端和服务端都会互相认证,即双发之间要证书交换。
Windows系统下安装Mosquitto的步骤(7)
最新发布
phmatthaus的专栏
05-05 919
Windows系统下安装Mosquitto的步骤(7)
mosquitto 给服务器与客户端--生成服务器证书--openssl
11-20 623
3.生成服务器证书  openssl req -new -x509 -days 3650 -keyout m2mqtt_ca.key -out m2mqtt_ca.crt openssl genrsa -des3 -out m2mqtt_srv.key 1024 openssl req -out m2mqtt_srv.csr -key m2mqtt_srv.key -new openssl
SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
RayPick的博客
08-25 6962
SSL 证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为服务器证书。SSL 证书只有正确安装到 Web 服务器,才能实现客户端与服务器间的 https 通信。由于涉及到不同类型 Web 服务器的配置,需要在证书签发后,根据实际服务器环境来安装证书。CA 是一种电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。其发布的证书就是 CA 证书。
mosquito服务器实现 ssl/tls 安全配置通信
vincen_zhaozhao的博客
12-08 3175
mosquito服务器实现 ssl/tls 安全配置通信
搭建mosquitto ssl/tls 认证保姆级教学
liu942947766的博客
07-13 1074
生成服务器ca-cert.pem,client-cert.pem和client-key.pem来支持SSL连接。我设法通过以下步骤将Java客户端连接到Cloud SQL。执行openssl脚本生成ca.crt ca.key client.crt client.key server.key server.crt。cmd命令工具,输入一下命令:会生成 truststore、keystore 2个文件。保姆级别教学
mosquitto使用与openssl证书配置
sy84436446的博客
01-06 2364
mosquitto使用与openssl证书配置
如何为 Mosquitto MQTT Broker 配置 MQTT TLS 和基于证书的授权
网络技术联盟站
07-02 1115
通过本文的指南,您学习了如何为 Mosquitto MQTT Broker 配置 MQTT TLS 和基于证书的授权。配置 MQTT TLS 可以加密通信数据,并确保连接的身份验证。配置基于证书的授权可以限制客户端的访问权限,并提供更安全的授权机制。以下是本文中涵盖的主要步骤:安装 Mosquitto MQTT Broker和生成证书和密钥:在开始配置之前,您需要安装 Mosquitto MQTT Broker并生成用于加密通信的证书和密钥。
JAVA实现的SSL/TLS双向认证源代码
02-02
本篇将深入探讨如何使用Java实现SSL/TLS双向认证,以及涉及到的相关工具和步骤。 首先,让我们理解什么是SSL/TLS双向认证。通常,SSL/TLS连接采用单向认证,即服务器验证客户端的身份,而客户端不需要验证服务器。...
netty实现SSL/TSL双向加密认证示例
09-21
在本文中,我们将深入探讨如何使用 Netty 实现 SSL/TLS(Secure Sockets Layer/Transport Layer Security)双向加密认证SSL/TLS 是互联网上广泛采用的安全通信协议,确保数据在网络传输过程中保持私密性和完整性。...
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
.net中为 SSL/TLS 安全通道建立信任关系
09-14
.net 中为 SSL/TLS 安全通道建立信任关系 在 .NET 中,建立 SSL/TLS 安全通道时,需要建立信任关系,以确保数据的安全传输。在本文中,我们将讨论如何在 .NET 中建立 SSL/TLS 安全通道的信任关系,并解决常见的调试...
mosquitto项目实战二三事(2):mosquitto + openssl
Mr.Sugarcane
07-29 937
加密是保证数据安全的重要手段之一,大多数的mqtt项目,mosquitto也好,emqx也罢,zeroMQ等等,都为我们提供了openssl的数据加密支持,大大的提高了数据在经由mqtt传输过程中的安全性。 一、 openssl下载 curl https://www.openssl.org/source/openssl-1.1.0l.tar.gz -o openssl-1.1.0l.tar.gz sudo mv openssl-1.1.0l.tar.gz /usr/local sudo tar -xzvf
mosquitto 证书的配置
Jely.guan的博客
07-03 1690
文章目录第一部分:OpenSSL创建证书第一步:创建自签名根证书命令窗口中输入以上命令创建完成后可以在目录中看到ca证书第二步:创建服务端证书1. 打开命令窗口,...
Mosquitto SSL通讯环境搭建
qq_41227198的博客
09-06 723
一、Mosquitto环境搭建 这个就考验各位面向百度编程的能力了,资料很多,自己找。 二、SSL通讯环境搭建 1.选择一个签发数字证书的机器,假设ip地址为192.168.103.88 2.生成CA证书: openssl req -new -x509 -days 36500 -extensions v3_ca -keyout ca.key -out ca.crt //注意:命令执行过程中将需要输入国别、省份(或州)、市、Common Name等参数,其中最需要注意的是” Common Name”这个参数
Mosquito使用SSL/TLS进行安全通信时的使用方法
热门推荐
逍遥子曰:
04-22 3万+
1、 SSL简介 SSL(SecureSocket Layer)安全套接层,是网景公司提出的用于保证Server与client之间安全通信的一种协议,该协议位于TCP/IP协议与各应用层协议之间,即SSL独立于各应用层协议,因此各应用层协议可以透明地调用SSL来保证自身传输的安全性,SSL与TCP/IP协议及其其他应用层协议之间的关系如图1所示。  图1 SSL/TLS协议与应用层
TLS_introduct.docx
04-21
SSL/TLS双向认证中起着重要作用。双向认证要求客户端和服务器之间彼此验证对方的身份,确保只有合法的客户端和服务器才能建立安全连接。在SSL/TLS的工作原理中,首先进行握手阶段,通过协商密钥等步骤建立安全连接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值