MQTT在多linux主机的TLS加密通讯实现

最新推荐文章于 2024-06-16 22:53:52 发布
最新推荐文章于 2024-06-16 22:53:52 发布
阅读量487 收藏
点赞数
分类专栏: mqtt 文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcai724/article/details/126413134
版权

MQTT在多linux主机的TLS加密通讯实现

文章目录

环境

  • 局域网主机R3600:Ubuntu20
  • 局域网主机Ubuntu on VMware
  • 公网主机:118.195.183.14

TLS基础

组成

主要分为3类文件,分别为

  1. 证书文件,xxx.crt;其中有种特殊的证书,用于生成证书的证书一般叫ca.crt,certificate authority certificate的简写
  2. 秘钥,xxx.key
  3. 待签名证书,xxx.csr;certificate signing request的简写,一般csr需要发给CA去签名,签名后成为crt
思路
  1. 在服务端主机(这里为公网服务器broker)生成ca.key和ca.crt
  2. 在任意主机(这里同样选择公网服务器broker)生成server.key和server.csr
  3. 在服务端主机(这里为公网服务器broker)使用ca.key和ca.crt对server.csr进行签名生成server.crt
  4. 将server.key、server.crt和ca.crt 3个文件打包发给mqtt server
  5. 上面只对server侧进行单向验证,如果同时要对client端进行双向验证只需要将步骤234的server换为client即可
多client共用证书

肯定是可以的,不然不可能为这么多client单独生成证书,正常应该是签名好的证书由CA发放给client

过程

使用脚本生成证书
mkdir -p ~/cert
cd ~/cert
vi cert.sh
chmod u+x cert.sh
./cert.sh

cert.sh脚本;注意"/CN=server" 替换为server的IP地址

#!/usr/bin/env bash
# When OpenSSL prompts you for the Common Name for each certificate, use different names.

# CA key
openssl genrsa -out ca.key 2048
# CA csr
openssl req -new -subj "/CN=ca" -key ca.key -out ca.csr
# CA crt
openssl x509 -req -in ca.csr -out ca.crt -signkey ca.key -days 3650

# server key
openssl genrsa -out server.key 2048
# server.csr
openssl req -new -subj "/CN=server" -key server.key -out server.csr
# server.crt
openssl x509 -req -in server.csr -out server.crt -CA ca.crt -CAkey ca.key \
-CAcreateserial -days 3650
# server.crt verify
openssl verify -CAfile ca.crt  server.crt

# client key
openssl genrsa -out client.key 2048
# client.csr
openssl req -new -subj "/CN=client" -key client.key -out client.csr
# client.crt
openssl x509 -req -in client.csr -out client.crt -CA ca.crt -CAkey ca.key \
-CAcreateserial -days 3650
# client.crt verify
openssl verify -CAfile ca.crt  client.crt

生成过程,其中"/CN=server"替换为了公网主机的公网地址

image-20220818175423480

将生成的ca.crt, client.crt, client.key复制到各个client中备用

修改mosquitto.conf配置文件
sudo vi /etc/mosquitto/mosquitto.conf

新增如下内容

listener 8883
cafile /home/ubuntu/cert/ca.crt
certfile /home/ubuntu/cert/server.crt
keyfile /home/ubuntu/cert/server.key

# one-way or two-way authentication
require_certificate true

改好后如下

image-20220818175754782

重新运行broker

结束当前broker进程,并重新启动(也许上面配置文件改完就生效不用重新启动,未验证)

ps -ef | grep mosquitto
sudo kill [mosquitto_pid]
sudo mosquitto -d -c /etc/mosquitto/mosquitto.conf

image-20220818165931591

TLS加密通讯测试

拓扑结构是局域网主机R3600发布消息,局域网主机vm-ubuntu和公网主机VM-0-2-ubuntu订阅消息

mosquitto_pub --cafile ca.crt --cert client.crt --key client.key -h 118.195.183.14 -t hello -m "hello"

mosquitto_sub --cafile ca.crt --cert client.crt --key client.key -h 118.195.183.14 -t hello

mosquitto_sub --cafile ca.crt --cert client.crt --key client.key  -t hello --insecure

如下现象表示测试成功

image-20220818185843002

image-20220818185900064

image-20220818185909081

注意
  1. 如果脚本里server的证书CN字和域名不一致时会连接错误,需要加–insecure才可以
  2. 公网主机也做client时,需要加–insecure才能连接ok

参考

  1. mosquitto-tls man page | Eclipse Mosquitto
  2. MQTT Host name verification failure (SSL) - Configuration - Home Assistant Community (home-assistant.io)
  3. mosquitto 开启 TLS 问题总结_aggresss的博客-CSDN博客
mcai33
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ARM海思MQTT开发系列(三)MQTT服务器加密TLS支持与测试
一只海星的主页
03-11 1088
背景 上一节我们调通MQTT基本功能,真正要用了,总不能裸奔吧 所以,搞tls支持~ 加密介绍 关于加密解密SSL/TLS,对称非对称、公钥私钥、签名验签你想知道的加密全在这里 Configure SSL/TLS support for Mosquitto 这里参考官方文档就好了 生成ca证书和密钥: 日期自选,单位天 openssl req -new -x509 -days 3650 -extensions v3_ca -keyout ca.key -out ca.crt 服务器 生成服务器私钥: op
基于MQTT协议的SSL/TLS加密传输的讨论
热门推荐
嫌疑人X的解忧杂货店
04-27 2万+
本文就MQTT到底单向加密还是双向加密做一个简单的讨论。具体mqtt加密的搭建过程,请参考: https://blog.csdn.net/sullivan_jia/article/details/80103813 到底是单项加密还是双向加密?我们要从不同的角度去分析这件事情。但是在分析之前,我们还是有必要回顾一下基础知识。 SSL/T...
MQTT使用TLS加密
lhh2333的博客
11-15 4913
使用TLS加密MQTT的使用中是比较常见的,TLS加密过程在网上有很多说明,但是没几个应用教程的,MQTT软件中的EMQX软件是支持TLS加密的,只不过要进行一些设置
MQTT】 物联网 EMQX本地部署及消息发布/订阅
最新发布
深漂小码哥
06-16 1234
MQTT 是用于物联网 (IoT) 的 OASIS 标准消息传递协议。它被设计为一种极其轻量级的发布/订阅消息传递传输,非常适合连接具有小代码占用空间和最小网络带宽的远程设备。如今,MQTT被广泛应用于各种行业,如汽车、制造、电信、石油和天然气等。EMQ X (简称 EMQ), 是一款完全开源,高度可伸缩,高可用的分布式 MQTT消息服务器,同时也支持 CoAP/LwM2M 一站式 IoT 协议接入。EMQ 是 5G时代万物互联的消息引擎,适用于 IOT、M2M 和移动应用程序,可处理千万级别的并发客户端。
MQTT协议应用TLS
qq_41381461的博客
06-30 7713
前言 做了很久的实验,一直没能成功,最后还是down的大佬的源码,侵删。 正文 简介 MQTT协议是物联网应用中重要的应用层协议,上一次实验开展了MQTT协议的分析,对MQTT协议的长连接机制、发布/订阅工作模式交互机制进行了分析。但如果MQTT协议不进行安全实现,黑客可以恶意发布信息给服务器,特别是在工业、交通等物联网应用场合后果不堪设想。本实验旨构建MQTT协议安全通信。 要求 (1)掌握MQ...
mqtt-tls_mqtttls_mqtt_mqtt客户端_TLS.zip
10-10
mqtt-tls_mqtttls_mqtt_mqtt客户端_TLS.zip
mqtt-tls_mqtttls_mqtt_mqtt客户端_TLS
09-11
实现MQTT+TLS的过程中,有以下几个关键知识点: 1. **TLS握手**:这是TLS协议的核心部分,包括证书交换、密钥协商、身份验证等步骤。客户端首先发起连接请求,服务器回应其证书,客户端验证证书的有效性,然后...
mqtt_linux.rar
04-09
此外,结合Linux的系统调用和多线程技术,可以实现更高效和复杂的MQTT应用。 总之,"mqtt_linux.rar"提供的源码是学习和实践MQTTLinux平台上的理想资源。通过深入源码,开发者可以掌握MQTT协议的内在机制,提高在...
C#实现MQTT消息发布订阅,即时聊天通讯源码
01-20
在IT行业中,MQTT(Message Queuing Telemetry Transport)是一种轻量级的发布/订阅式消息...在实际应用中,可以基于这些基础进行扩展,例如添加身份验证、消息加密、消息存储与回溯等功能,以满足更复杂的通讯需求。
mqtt-tls_mqtttls_mqtt_mqtt客户端_TLS_源码.rar
09-29
本压缩包“mqtt-tls_mqtttls_mqtt_mqtt客户端_TLS_源码.rar”或“mqtt-tls_mqtttls_mqtt_mqtt客户端_TLS_源码.zip”可能包含了一个实现MQTT客户端与服务器之间通过TLS连接的源代码示例。下面将详细介绍MQTTTLS的...
RV1126实现MQTT通信【Linux C驱动】.zip
03-08
10. **安全考虑**:在实际应用中,还需考虑MQTT的安全性,如使用TLS加密连接,以及认证和授权机制。 通过以上知识的结合,你可以实现一个能在RV1126处理器上运行的Linux C驱动程序,以支持MQTT通信。这个项目代码...
ESP8266 MQTT SSL/TLS 阿里物联网套件 百度天工 Onenet等MQTT服务器(注意:是固件)
12-13
(注意:是固件) ESP8266 MQTT SSL/TLS 支持连接阿里物联网套件,百度天工,Onenet等MQTT服务器,支持SSL通信
linux配置tls隐式加密,技术|使用 TLS 加密保护 VNC 服务器的简单指南
weixin_35728411的博客
05-15 724
在本教程中,我们将学习安装 VNC 服务器并使用 TLS 加密保护 VNC 会话。此方法已经在 CentOS 6&7 上测试过了,但是也可以在其它的版本/操作系统上运行(RHEL、Scientific Linux 等)。安装 VNC 服务器在机器上安装 VNC 服务器之前,请确保我们有一个可用的 GUI(图形用户界面)。如果机器上还没有安装 GUI,我们可以通过执行以下命令来安装:yum grou...
非常详细的MQTT+TLS(二)----TLS铺垫篇
ZR
08-27 5687
非常详细的MQTT+TLS----TLS铺垫篇 在移植TLS之前先熟悉一下TLS、TCP/IP、MQTT三者的关系,这很重要!! “TCP/IP、MQTT、SSL之间是什么关系呢?”通过MQTT章节的说明已经明确了TCP/IP和MQTT之间的关系,那SSL在MQTTs处于什么位置嘞。那就要从TLS的定义说起 TLS称为安全传输层协议,用于在两个应用程序之间提供保密性和数据完整性。说白了TLS就在TCP之上建立了一个通道,将我们TCP传输的明文进行加密,从而保证通信的私密性。 如图为MQTTMQTTs的区
linux多线程:tls实现方式
09-01 3698
Linux系统中使用C/C++进行多线程编程时,我们遇到最多的就是对同一变量的多线程读写问题,大多情况下遇到这类问题都是通过锁机制来处理,但这对程序的性能带来了很大的影响,当然对于那些系统原生支持原子操作的数据类型来说,我们可以使用原子操作来处理,这能对程序的性能会得到一定的提高。那么对于那些系统不支持原子操作的自定义数据类型,在不使用锁的情况下如何做到线程安全呢?本文将从线程局部存储方面,简单讲解处理这一类线程安全问题的方法。 1、数据类型 在C/C++程序中常存在全局变量、函数内定义的静态变量以及
使用 SSL/TLS 加强 MQTT 通信安全
emqx_broker的博客
08-11 1845
本文将着重介绍 TLS 以及它如何保证 MQTT 通信的完整性、机密性和真实性。
基于MQTT协议的SSL/TLS
weixin_51120512的博客
08-20 3034
SSL“安全套接层”协议,TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私和数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者和接收者才能完全访问并传输信息。SSL/TLS单向认证:客户端会认证服务器端身份,服务器端不对客户端进行认证。SSL/TLS双向认证:客户端和服务端都会互相认证,即双发之间要证书交换。
MQTTTLS/SSL
qq_31532979的博客
04-26 1614
相比之下,MQTT 的发布/订阅模式和多种 QoS 级别虽然非常适合物联网设备间的异步通信,但在一些设备或平台对 MQTT 支持不足的情况下,可能需要额外的工作来实现兼容或转换。总结来说,MQTT 在消息保证、连接会话管理和安全实现等方面确实存在一定的挑战和局限性,特别是在大规模部署时,可能会面临性能瓶颈、资源消耗、设备兼容性等问题。综上所述,MQTTTLS/SSL 的依赖体现在它借助这些安全协议提供的功能来保障通信的私密性、完整性和真实性,确保 IoT 环境中的设备、应用和服务能够安全地交换信息。
EMQ百万级MQTT消息服务(TLS Docker Golang)
文振熙 -- 云计算技术博客站
04-24 1472
附上: 喵了个咪的博客:w-blog.cn EMQ官方地址:http://emqtt.com/ EMQ中文文档:http://emqtt.com/docs/v2/guide.html 1.TLS证书验证 为了保障安全.我们常常会使用HTTPS来保障请求不被篡改,作为MQTT使用TLS加密的方式来保障传输安全 EMQ默认使用的TLS加密的端口是8883端口,默认证书在EMQ目录下et...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值