MQTT mosquitto --capath参数的使用问题

已于 2022-04-08 17:06:38 修改
阅读量1k 收藏 1
点赞数 1
分类专栏: TLS 文章标签: 后端
于 2022-04-02 18:10:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunshine_ysu/article/details/123925515
版权

1. 问题

站在server的角度,使用mosquitto例程测试时发现不对劲的地方:

使用cafile参数来指定client的ca证书文件时,client可以正常接入到服务中来;

但使用capath参数指定client的证书文件时,client不能正常接入,报错如下

1648891572: New connection from 10.0.2.2:64977 on port 8883.
1648891572: OpenSSL Error[0]: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed
1648891572: Client <unknown> disconnected: Protocol error.

2.分析

测试过程中使用自签名的ca系列证书来进行验证。按照capath的设定,应该是可以允许多个CA签发的证书对应的client来接入的,否则没必要用一个capath列表,用一个固定的cafile就足够了。

CA证书制作完成后,将其(ca.crt)放到capath指定路径下,启动mosquitto broker,之后发现对应CA签发的client始终报错(如上所示),而一旦将broker的ca参数指定为cafile,对应的client就可以接入了。

这说明而对应的client证书、CA证书本身是没有问题的,而是在使用过程中,capath目录下的证书文件并没有被正常解析。

3.解决

Mosquitto with SSL and wildcard certificate does not work without --capath option - Stack Overflow

经查询,按照上面的链接中的解释,mosquitto在使用capath时,并不是直接将CA证书文件直接放到capath目录下就可以了,而是要进行解析才可以。

46.8K的点赞,实在是太6了,说明遇到这个问题的人还真是不少,很奇怪为啥官方不把这个写明白了。 

对于不同的发行版来说,用法也有可能是 c_rehash 、rehash等,是一个perl的脚本工具,如下所介绍。

openssl-rehash(1)

4. 扩展

4.1 rehash干了点啥呢?

请看下图,执行完该指令后,可以看到该目录下产生了两个软链接文件,而上文的rehash函数介绍中提到了,链接文件名的生成规则。

是否是因为证书文件名符合规则,才导致mosquitto 没有正常解析呢?

4.2 自己hash证书怎么样?

根据rehash的介绍,自己创建新的证书,并重命名成对应的文件名,之后测试果然成功了。

因此,如果不是什么复杂的系统的话,我们也没必要使用rehash这种工具了,直接自己计算重命名一下就可以了。

如何计算证书文件的hash值?

4.3为啥重命名证书就能解析了呢?

查到如下说明。

 ​​​​​​https://docs.infor.com/ln/10.5/it-it/lnolh/help/tt/onlinemanual/https_soap_generate_hash.html

 

验证下我自己的Ubuntu电脑看下?

果然。。。

_Mars__
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php openssl.capath,利用openssl创建一个简单的CA
weixin_42551967的博客
03-21 697
本文旨在利用开源openssl软件,在Linux(或UNIX/Cygwin)下创建一个简单的CA。我们可以利用这个CA进行PKI、数字证书相关的测试。比如,在测试用Tomcat或Apache构建HTTPS双向认证时,我们可以利用自己建立的测试CA来为服务器端颁发服务器数字证书,为客户端(浏览器)生成文件形式的数字证书(可以同时利用openssl生成客户端私钥)。该简单的CA将建立在用户自己的目录下...
Clientunknowndisconnected, not authorised
觅食小鱼的博客
11-11 1304
mosquitto 2.0.x版本常见设置问题
Centos7安装mosquitto
云下的你
09-18 426
安装基础软件 yum install gcc-c++ yum install cmake yum install openssl-devel //mosquitto默认支持openssl 下载安装 mkdir /usr/local/mqtt cd /usr/local/mqtt wget http://mosquitto.org/files/source/mosquitto-1.6.6....
mqtt搭建基础教程(转载)
weixin_43673603的博客
04-08 2575
点击看原文 下面是自己拷贝过来做个笔记,方便自己以后查找。 搭建工具: jdk8 apache-apollo1.7.1 百度网盘:链接:https://pan.baidu.com/s/1uZuqNqtovS3nHv47_SBE5Q 提取码:iku1 1.搭建命令: **1.下载解压好以后,用cmd 进入到下一级的bin目录 cd /dD:\apache - apollo\apache-apoll...
看见协议,浅析TCP、HTTP、MQTT
Zzhou1990的博客
05-28 1万+
如果对tcp还不了解的,可以看看计算机网络基础简单了解一下; 如果对tcp的深入感兴趣,看了上一篇还不过瘾的可以看吊打面试官!近 40 张图解被问千百遍的 TCP 三次握手和四次挥手面试题 好了,如果看回来了我们来进入正题,首先了解一下wireshark 抓包工具wireshark 首先去官网下载对应安装包https://www.wireshark.org/download.html window安装下一步下一步、默认就行,其中有一个统计usb的包是否安装,可以不装 启动服务,.
mosquitto-docker:运行MQTT Mosquitto Broker的Docker映像
05-12
Mosquitto-Docker(正在开发中) 运行MQTT Mosquitto Broker的Docker映像要实施的架构x64的手臂实施的版本蚊子蚊子身份验证跑步docker run -it --rm -p 1883:1883 -p 8083:8083 mosquitto-test sh# Utilizando ...
mosquitto-2.0.14-install-windows-x64.exe
12-28
MQTT服务器mosquitto-2.0.14-install-windows-x64.exe
mosquitto-go-auth:用于 mosquitto 的 Auth 插件
07-24
Mosquitto Go 认证Mosquitto Go Auth 是 Mosquitto MQTT 代理的身份验证和授权插件。 这个名字很糟糕,我知道,但现在改变它已经太晚了。 而且,您知道:命名、缓存失效、一对一错误等等。当前状态该插件是最新的...
mosquitto:Eclipse Mosquitto-开源MQTT代理
02-26
请参见以下链接: 社区页面: : MQTT v3.1.1标准: ://docs.oasis-open.org/mqtt/mqtt/v3.1.1/mqtt-v3.1.1.html MQTT v5.0标准: ://docs.oasis-open.org/mqtt/mqtt/v5.0/mqtt-v5.0.html Mosquitto项目信息可在以下...
mosquitto:mqtt-mosquitto-出口商
03-07
mosquitto:mqtt-mosquitto-出口商
系统时间不对导致证书验证无法通过
xcw1234的博客
04-30 2348
(get_openssL_error:128): SSL_accept error, get openssL error: 3016997168:error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed:s3_srvr.c:3276: 服务器的证书(及涉及到的其他证书)的有效验证时间需要包含当前时间。每个证书都有notBefore(不早于)和notAfter(不晚于)字段,当前时间必须落在这两者之间。
ubuntu64位 交叉编译openssl,使用时出错,如何强制使用32位编译
u011983700的专栏
09-30 2576
使用openssl库来进行Mqtt的tls加密通信时,发现交叉编译过程序,在连接Mqtt服务器时一直失败,服务器报错信息 1632986987: OpenSSL Error[0]: error:1409441B:SSL routines:ssl3_read_bytes:tlsv1 alert decrypt error 1632986987: OpenSSL Error[1]: error:140940E5:SSL routines:ssl3_read_bytes:ssl handshake failu
创建 MQTT 连接时如何设置参数
emqx_broker的博客
11-03 1112
本文将详细讲解创建MQTT连接时各个连接参数的作用,帮助开发者迈出使用MQTT的第一步。
Python报Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')])
金丹童丹铁蛋的博客
11-07 3946
import requests session = requests.session() header = { 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.62 Safari/537.36' } response = s...
关于curl访问https的若干问题
sunshine
09-23 1万+
cURL对HTTPS的支持是通过--cacert, --capath, --with-ca-bundle等参数来对HTTPS加以支持的,详细信息可以curl --help来得到参数明细。[url]http://curl.haxx.se/docs/sslcerts.html[/url]里是curl的官方文档介绍,其中讲了如何导入CA的具体方法,以及使用CA的方法。其中--with-ca-bundle
关于Connection aborted问题的解决
热门推荐
古月--的博客
08-22 8万+
错误类型 在爬虫中报如下的错误: requests.exceptions.ConnectionError: (‘Connection aborted.’, RemoteDisconnected(‘Remote end closed connection without response’,)) 解决方法 (1)随机切换User-Agent: user_agent_list = ["Mo...
ssh远程登录可能出现的问题以及解决办法
samuel
12-11 1万+
首先、确保server端的ssh服务是开的(service shhd start) 然后在client端输入: ssh usrname@serverip (远程登录) scp filename usrname@serverip:/URL (远程传输) 常出现的问题问题一 ssh登录的时候链接端口失败 提示(1): # ssh 192.1
mosquitto-1.6.10使用
最新发布
09-10
使用mosquitto-1.6.10,你需要按照以下步骤进行操作: 1. 首先,从Mosquitto官方网站(https://mosquitto.org/)下载...这样,你就可以使用mosquitto-1.6.10来进行MQTT消息传递了。记得根据你的需求进行配置和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值