MQTT协议TLS SSL部分测试双向验证出现的问题

最新推荐文章于 2024-04-26 18:29:15 发布
最新推荐文章于 2024-04-26 18:29:15 发布
阅读量1.6k 收藏
点赞数
文章标签: 网络 前端 lua ViewUI
原文链接:https://juejin.im/post/5a310331518825296421b001
版权

Mosquitto官方提供了一个测试地址供我们使用。其中8883和8884端口是支持TLS/SSL的。区别在于端口8883只需要客户端验证服务端的链接即可,端口8884需要双向验证客户端也需要向服务器上传证书。

两个端口的测试代码我在之前的文章iOS开发中MQTTKit的TLS/SSL支持方案已经提供。关于客户端证书,我们需要向Generate a TLS client certificate for test.mosquitto.org请求。根据官网的提示,我们可以借助openssl来实现。

  • 生成密钥 openssl genrsa -out client.key
  • 生成CSR文件 openssl req -out client.csr -key client.key -new

执行完这两个命令之后终端当前所在路径下会生成两个文件

用记事本将csr文件的内容拷贝进 Generate a TLS client certificate for test.mosquitto.org的输入框,验证合法之后就会自动下载生成的客户端证书 client.crt。我们将 client.keyclient.crt导入工程,可是一直验证的结果是身份验证失败。但是端口8883是没有问题成功建立连接的。

先简单捋一下TLS/SSL的流程

双向验证多出的部分就在于对客户端证书的请求和验证。我们首先应该排除密钥和证书不匹配的问题,因为在SSL_Connect()之前配置客户端密钥和证书的时候我们已经通过SSL_CTX_check_private_key验证过了。那么客户端证书和密钥没有问题的情况下,链接究竟是被谁主动断开的?

  • 服务端断开 最大的可能是客户端证书验证不通过
  • 客户端断开 配置代码出现问题/服务端证书验证不过/参数设置出错/openssl的问题...

这个时候我们可以借助一下Wireshark来帮助我们查看一下客户端和服务端之间通讯的情况究竟是怎样。首先我们查看一下连接成功的端口8883整个通讯过程

我们简单分析一下。No.73之后的报文是PINGREQ和PINGRES的过程,查看Time也可以发现No.72和No.73两个报文之间间隔了60s的实现,这一部分我们不需要关心。No.34 - No.72是TCP的三次握手,TLS/SSL连接验证,MQTT协议CONNECT和ACK的整个流程。 以下是作者手画的流程,已经过滤了TCP的三次握手

图中标示的包的大小包含了IP首部和TCP首部,所以不是MQTT协议报文的真实大小,为了大家对比方便我就按照Wireshark显示的大小来标注了。这个流程对比上面标准的TLS/SSL流程少了很多的步骤。报文中我们可以看到PSH这个标志位,这是告诉当前网络立刻将当前的数据发送出去,其中一些步骤可能合并成一个报文发出。因为TCP协议本身有一个特性是ACK捎带,所以报文看起来比较混杂而不是清清楚楚的Request和ACK一一对应。MQTT协议本身的内容因为被加密无法被Wireshark识别出来,所以识别成了TCP报文。

分析完端口8883,让我们看一下端口8884的通讯情况

这个看起来就简单多了。

  1. TCP三次握手
  2. 大小为359的报文发出,这是Client Hello
  3. 1480是Server Hello的部分
  4. 再往下看就和端口8883不一样了,之前端口8883服务端发送了大小为976的报文,但是端口8884发送的报文大小是1018。为什么报文的大小不一样呢?因为双向验证中服务器会多发送Cerificate Request的部分,这对于单向验证的端口8883是可选略过的。
  5. No.25是No.24的确认,No.26客户端发送给服务端的报文FIN置1了。

也就是说连接是在客户端接收了服务端证书和请求之后,被客户端主动关闭的。我尝试在源码添加了打印信息,着重在证书验证的部分,在对服务端证书验证的回调int _mosquitto_server_certificate_verify(int preverify_ok, X509_STORE_CTX *ctx)里我找到了一个返回错误码的地方。

return _mosquitto_verify_certificate_hostname(cert, mosq->host);
复制代码

作者在这添加了一个FIXME,提示我们如果你的openssl版本足够新的话(>=1.1.x),这里请使用X509_check_host()。在修改代码之后这一部分验证成功,但是... 客户端还是发送了一个FIN关闭了连接。 = 。=

因为Client Hello是成功发送并接收到Server Hello的,这说明SSL这一部分的代码,SSL_Connect()之前配置的部分是没有问题的。我尝试打印了SSL_Connect()的返回码,果然出现了问题,返回了SSL_ERROR_SSL = 1。我获取了具体出错的原因

char msg[1024];
ERR_error_string_n(ERR_get_error(), msg, sizeof(msg));
_mosquitto_log_printf(mosq, MOSQ_LOG_ERR, "SSL Connect Error: %s", msg);
复制代码

rsa routines:RSA_sign:digest too big for rsa key"

这里有一个具体的讨论OpenSSL - What is the reason for error "SSL negotiation failed: error:04075070:rsa routines:RSA_sign:digest too big for rsa key"。如果你有兴趣可以自行查看一下讨论,我在这里简单总结一下。

记得Mosquitto测试地址提示我们可以使用Openssl来生成私钥,使用的Command是openssl genrsa -out client.key。缺省情况下生成的是RSA-512。但是

Or use another hash type for signature which can produce not more than 53 bytes of hashed data. (i.e MD5, SHA1, SHA256, SHA384) while using 512-bit keys. OpenSSL by default uses SHA512 hash for signature. Change the code to use any other hash. 512 bit(64 byte) RSA key can only encrypt 53 bytes at max. 64 - 11 byte padding and SHA512 produces 64 bytes of hashed data.

Openssl默认使用的是SHA512来签名。RSA-512包含64个字节,移除了padding部分能够编码的最大长度是64 - 11 = 53个字节,但是SHA512生成了64个字节。我们可以使用其它的哈希类型来签名比如说*(MD5, SHA1, SHA256, SHA384) ,或者使用RSA-1024*及其它更长的密钥。

所以我们生成证书的时候后面要添加一个长度参数

openssl genrsa -out client.key 1024

重新生成客户端密钥和证书以后,端口8884的测试顺利通过了 :)

Vincent8080
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSL/TLS 双向认证(二) -- 基于mosquittto的MQTT双向认证
ustccw
08-08 1万+
MQTT双向认证
mqtt雙向ssl認證
lawrence_loh的博客
05-25 610
mqtt雙向認證const mosca = require('mosca'); const tls = require('tls'); var CAFILE = './ca.crt'; var SECURE_KEY = './server.key.insecure'; var SECURE_CERT = './server.crt'; var sslsetting = { port: ...
MQTTTLS/SSL
最新发布
qq_31532979的博客
04-26 1380
相比之下,MQTT 的发布/订阅模式和多种 QoS 级别虽然非常适合物联网设备间的异步通信,但在一些设备或平台对 MQTT 支持不足的情况下,可能需要额外的工作来实现兼容或转换。总结来说,MQTT 在消息保证、连接会话管理和安全实现等方面确实存在一定的挑战和局限性,特别是在大规模部署时,可能会面临性能瓶颈、资源消耗、设备兼容性等问题。综上所述,MQTTTLS/SSL 的依赖体现在它借助这些安全协议提供的功能来保障通信的私密性、完整性和真实性,确保 IoT 环境中的设备、应用和服务能够安全地交换信息。
EMQX TSL/SSL自生成证书双向验证
Sunada2401的博客
05-20 2095
服务器工具: EMQX:(版本:4.2.8/4.3.0) 客户端工具: MQTTX(版本:5.0) 自生成证书工具openssl(ubuntu/windos base): 一:生成自签名的CA key和证书(mqtt服务端和mqtt客户端公用一个CA) (备注:自签名证书在ubuntu/windows 用任意系统上的openssl生成均可,建议在ubuntu上,理由是快捷方便,反正最终签发客户端/服务端证书都要用同一个自签名证书) 1.生成自签名证书的私钥: ...
EMQ Broker 如何配置MQTT加密认证,单向、双向加密
baiaiai0120的博客
06-17 1540
#EMQ Broker 如何配置MQTT加密认证,单向、双向加密 ##生成证书 ###自签名CA openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus (2 primes) ........................+++++ .+++++ e is 65537 (0x010001) openssl req -x509 -new -nodes -key ca.key -
mqtt java ssl_MQTT研究之EMQ:【SSL证书链验证
weixin_33499715的博客
02-17 805
package com.taikang.iot.re.security;import org.apache.log4j.Logger;import org.bouncycastle.asn1.pkcs.RSAPrivateKey;import org.bouncycastle.util.io.pem.PemObject;import org.bouncycastle.util.io.pem.Pem...
SSL双向验证范例
02-23
使用上述配置,你可以进行测试以确保服务器和客户端之间的SSL双向验证正常工作。如果遇到问题,如证书不受信任,可能需要检查keystore和truststore的配置,以及密码和别名是否正确。 以上就是Eclipse中使用Jetty...
mqtt-js测试页面
08-05
它实现了连接、发布、订阅、断开连接等基本功能,并支持WebSocket、TCP、SSL/TLS等多种连接方式,使得Web应用可以方便地接入MQTT服务。 3. **发布/订阅模式**: MQTT采用发布/订阅模型,其中客户端可以作为发布者...
activemq ssl双向认证连接
08-21
SSL(Secure Socket Layer)是用于确保网络通信安全的一种标准协议,而双向认证(Mutual SSL/TLS Authentication)则进一步增强了这种安全性,它要求服务器验证客户端的身份,同时也要求客户端验证服务器的身份。...
MQTT3.1中文版使用手册通信协议解释
10-27
- **安全性**:实现安全连接,如使用TLS/SSL加密,以及验证客户端身份。 - **资源管理**:在资源有限的环境中优化内存和网络使用。 - **故障恢复**:设计容错机制,处理网络波动和服务器故障。 总结,MQTT 3.1.1...
利用C#实现SSLSocket加密通讯的方法详解
12-17
SSL Socket通讯是对socket的扩展,增加Socket通讯的数据安全性,SSL认证分为单向和双向认证。单向认证只认证服务器端的合法性而不认证客户端的合法性。双向认证是同时认证服务端和客户端。下面我分别说说使用C#实现...
org.eclipse.paho.mqttv5.client-1.2.5.jar解决SSL认证连接SNIHostName类不存在的问题
03-25
MQTTv5版的客户端库,原地址:https://github.com/eclipse/paho.mqtt.java。 本资源合入了解决低于android7.0报错Caused by: java.lang.ClassNotFoundException: Didn't find class "javax.net.ssl.SNIHostName"的问题
双向认证时客户端没有发送身份证书给服务端
Terisadeng的博客
05-14 654
场景: 双向认证的客户端身份证书快要过期了,因此更换了客户端证书的证书库中的身份证书。 调服务端报找不到证书或者证书验证失败,经过抓包,发现,服务端发送了服务端身份证书,且请求客户端发送客户端身份证书,但是客户端没有发送身份证书。 原因: 双向认证场景,服务端发送身份证书的同时,告诉客户端服务端运行接受的CA列表,然后客户端根据这个列表在证书文件(导入的双向认证证书文件)找这个证书,如果没找到就发送空证书 导致这种情况出现的原因是,客户端更换了身份证书,但是服务端证书库却没有导入更新的证书,导致发
EMQX + SSL双向认证配置 JAVA 连接验证
qq_41127739的博客
05-14 2431
1.生成CA key和证书(为了方便我这里客户端与服务器共用一个) cd /etc/pki/CA 生成CA key【采用2048字节】 openssl genrsa -out ca.key 2048 生成CA 证书【默认3650天】 openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -subj "/CN=www.emqx.io" -out ca.pem 2.生成服务端key和证书 openssl genr
emq安装使用 以及ssl单向双向验证及代码实现 小白使用手册
码灵的博客
07-21 2814
1 openssl安装 opensll emq安装包及客户端下载路径 https://download.csdn.net/download/h4241778/12647477 用于证书生产 $ tar zxf openssl openssl-1.0.1.tar.gz $ cd openssl-1.0.1 $ ./config --prefix=/usr/local 我记得执行到这就可以了,openssl version 可查看版本 $ make $ make clean $ sudo m.
SVN错误:SSL negotiation failed: SSL error: parse tlsext 解决方法
绿萝园
02-28 5030
SVN错误:SSL negotiation failed: SSL error: parse tlsext 解决方法 症状: SVN服务器如果使用了https协议,当commit提交大数据时,有时候会失败,提示这样的错误: SSL negotiation failed: SSL error: parse tlsext 原因: 大多数的原因都是subversion客户端软件OpenSSL
JAVA+MQTT+Paho,开启SSL双向认证,解决异常:No subject alternative names matching IP address x.x.x.x found
liuwei_666的博客
06-24 2576
项目运行时报如下异常: MqttException (0) - javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternative names matching IP address x.x.x.x found at org.eclipse.paho.client.mqttv3.internal.ExceptionHelper.createMqttException(Exc
MQTT开源库mosquitto安装和使用(三)使用TLS
skytering的博客
07-29 4127
MQTT开源库mosquitto安装和使用(三)使用TLS一、关键接口 mosquitto_tls_set二、tls双向认证官方示例代码三、说明 一、关键接口 mosquitto_tls_set 接口声明: int mosquitto_tls_set(struct mosquitto *mosq,const char *cafile, const char *capath,const char *certfile, const char *keyfile,int (*pw_callback)(char *b
windows端口被占用
zona
12-29 235
windows端口被占用 找到被占用的端口号进程信息 获取端口占用进程命令, netstat -aon | findstr 端口 号, 最后一列为进程id netstat -aon | findstr 8884 kill相关进程 关闭进程命令, taskkill /T /F /PID 进程id taskkill /T /F /PID 24776 再次启动项目 ......
MQTT tls/ssl
05-27
TLS/SSL是一种基于公共密钥加密的协议,它通过使用证书来验证服务器和客户端的身份,并为通信提供加密和完整性保护。在MQTT通信中,TLS/SSL协议可以通过在MQTT客户端和服务器之间建立安全的加密连接来保护消息的机密...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值