ESP32用自签CA进行MQTT的TLS双向认证通信

已于 2022-11-05 21:29:06 修改
阅读量3.2k 收藏 9
点赞数 2
文章标签: linux ssl 物联网
于 2022-11-05 21:17:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44409491/article/details/127708084
版权

基于IDF版本v4.3.4,ESP32S2,mqtt服务器为mosquitto。

首先生成证书和密钥,参考MQTT服务-Mosquitto简单安装及TLS双向认证配置 - 程序员大本营,得到以下文件:

ca.crt  #自签CA自己的证书,mqtt服务端和客户端需要各持一份,用来校验对方的证书的有效性

ca.key #CA自己的密钥,不能泄漏出去  

client.crt #CA颁发给客户端的证书,由客户端保留,服务端用这个校验客户端

client.key #客户端的密钥

server.crt #CA颁发给服务端的证书,由服务端保留,客户端用这个校验服务端

server.key #服务端的密钥

特别注意自签CA时填写的common name部分,由于是自己签发的,所以通常没有域名,可以用服务器ip代替或者干脆空着,这会可能导致校验时报服务器与证书不匹配的错误,需要客户端关闭校验服务端域名的(hostname  verify或者common name check)。

然后mosquitto服务器添加一份配置如下,可以不指定tls_version,如果限制了tls版本,则需在idf中确保所支持的tls版本与服务器的一致:idf.py menuconfig->Component config->mbed

TLS->Support TLS xxx protocol。配置完成后重启mosquitto。

log_type all

#不设置端口,那么在外网访问不到该mqtt服务
listener 1883 #mqtt非加密端口
#8883端口是默认的mqtt tls端口,和1883不同,向8883端口发起非加密连接会报Protocol error
listener 8883 

cafile /etc/mosquitto/MyCA/ca.crt
certfile /etc/mosquitto/MyCA/server.crt
keyfile /etc/mosquitto/MyCA/server.key

tls_version tlsv1.2
allow_anonymous true    #不允许匿名用户require_certificate true #必须提供证书以保证数据安全性use_identity_as_username true  # 若require_certificate值为true,use_identity_as_username也必须为true

然后是ESP32的代码部分,基于esp-idf-v4.3.4的样例代码中的ssl_mutual_auth例程,这个例程是与正式网站test.mosquitto.org进行TLS双向认证通信,由于这里用自签CA,没有正式域名,所以需要对原有mqtt客户端配置做修改如下:


    const esp_mqtt_client_config_t mqtt_cfg = {
        .host = "192.168.0.40",//mqtt服务器的ip
        .uri = NULL,//没有正式域名,不要写‘mqtts://192.168.0.40’
        .port = 8883,//指定8883端口
        .username = "admin",
        .password = "123456",
        .client_cert_pem = (const char *)client_cert_pem_start,//client.crt
        .client_key_pem = (const char *)client_key_pem_start,//client.key
        .cert_pem = (const char *)server_cert_pem_start, //ca.crt
        .transport = MQTT_TRANSPORT_OVER_SSL,//必须显式指明用ssl,
        //.disable_auto_reconnect = false,
        .skip_cert_common_name_check = true,//不要校验服务器的域名
    };

特别注意以下几个成员:

cert_pem:这个用的是给服务器颁发证书的CA机构的证书,也就是上面的ca.crt,不是服务器的证书server.crt,如果这个证书不能校验和服务器证书,那么在mosquitto的日志中会记录Protoco Error。

transport:因为服务器没有域名,仅通过host和port项无法判断是否启动用ssl,所以这里必须赋值成MQTT_TRANSPORT_OVER_SSL,否则ESP32会输出日志告警“SSL related configs set, but the transport protocol is a non-SSL scheme”,并且无法建立mqtt连接。

skip_cert_common_name_check:由于是自签CA,服务器和签CA机器的都没域名,而且当服务器ip与CA证书的common name内的ip不匹配时,会导致客户端报证书和服务器不匹配的错误,比如返回错误码-0x2700,此时设置skip_cert_common_name_check=true,则即使是服务器与证书不匹配,客户段端也会与服务器建立mqtt连接。

然后编译,烧写程序,运行ok。

 查看mosquitto的日志 cat /var/log/mosquitto/mosquitto.log

DataPriest
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
ESP32-C3学习笔记:HTTP的POST连接
qq_61354302的博客
11-12 1642
/获取http响应内容长度。esp_http_client_get_status_code(client), //获取状态码。.event_handler: 为回调函数,参考下文示例_http_event_handler。.keep_alive_enable: 使能keep-alive。注意:HTTP post示例(仅适用于HTTP)
315-STM32+BC26丨260Y基本控制篇(自建物联网平台)-加密通信测试-STM32+BC260Y+MbedtlsSSL单向认证方式连接MQTT服务器(不验证服务器证书)
杨奉武的博客
03-30 1065
说明 这节说明一下STM32+BC260Y+MdebtlsSSL单向认证(不校验服务器证书)方式连接MQTT服务器. BC260Y内部没有做上SSL,所以使用单片机控制模组连接上TCP服务器,然后再利用Mbedtls包实现SSL. 提示(单向SSL认证,忽略服务器证书通信过程) 1.TCP客户端连接上TCP服务器 2.TCP客户端发送消息(明文消息)给服务器,告诉他自己都支持哪种加密方式(加密套件) 3.TCP服务器返回消息(明文消息)告诉客户端咱使用的加密套件,当然还有服务器的证书数据.
ESP32-S3的MQTT实战
最新发布
weixin_74923758的博客
04-28 951
昨天,我们讲了socket通信,当服务器和客户端建立起连接时,就可以互相通信了。而在物联网的应用中,常常出现这种情况:海量的传感器,需要时刻保持在线,传输数据量非常低,有着大量用户使用。通信的角色有两个,分别是服务器和客户端。订阅机制,服务器不需要存储数据(当然也可以在服务器的设备上建立一个客户端来订阅保存信息),因此非常适合海量设备的传输。那么所有订阅了这个主题编号的客户端(手机应用)就会收到相关信息,从而实现通信。从以上代码可以看到发布者和订阅者的编程方式相近,另外本实验需要一个MQTT 服务器(
ESP32 之 ESP-IDF 教学(十六)——MQTT客户端(ESP-MQTT
Augtons 的博客
08-24 6265
MQTT协议(消息队列遥测传输协议),是一种基于publish/subscribe(即发布与订阅)模式的轻量通讯协议。此协议基于TCP/IP。MQTT是一种低开销、低带宽占用的即时通讯协议。轻量、简单、开放和易于实现的。其最大优点在于,可以以极少的代码和有限的带宽,为连接远程设备提供实时可靠的消息服务。使其在物联网、小型设备、移动应用等方面有较广泛的应用。如:机器与机器(M2M)通信物联网(IoT)。其在,通过卫星链路通信传感器、偶尔拨号的医疗设备、智能家居、及一些小型化设备中已广泛使用。
ESP32接入米家-小爱同学-IDF环境-巴法平台
w0shishabi的博客
01-12 8972
ESP32接入米家-小爱同学-IDF环境-巴法平台
ESP32 HTTPS客户端POST请求(跳过证书验证)
qq_17833651的博客
11-28 2475
ESP32 HTTPS客户端POST请求
5-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案安全篇(配置MQTTSSL证书,验证安全通信)...
weixin_30491641的博客
05-30 332
4-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案安全篇(为域名申请SSl证书) 前面的准备工作终于完了 复制这两个证书 放到云端MQTT的这个位置,其实放哪里都可以,只要知道路径就可以 记得重新启动一下MQTT 现在做测试,先做一个上位机测试 说一下哎,以前的篇章都是用的MQ...
ESP32 -- 使用MQTT协议连接云平台(带图文说明)
herui_2的博客
12-31 3145
今天给大家带来的是ESP32系列联网教程,因为是使用Arduino开发,Arduino有很多库函数可以让我们直接使用,可谓是站在巨人的肩膀上乘凉。当然网上教程一抹多,我也只是其中之一,只是给大家提供一写思路和我实践出来的方法,给大家避避雷。
Android 连接MQTT SSL/TLS协议 单向加密
xuzhoude_han的博客
08-02 1624
网上很多文章都说android仅支持BKS格式的证书 ,要使用keytool装换CRT成为BKS格式,按照步骤试了一下,乱七八糟的,也还是没有成功,最后还是找到靠谱的方法,Android支持CRT!Android支持CRT!Android支持CRT! 下面就按照步骤做,不出意外的话,会成功的。至于CRT哪来的,去问问搞服务器的搭档。 代码是从项目中摘出来的,可能有些地方会报错 最关键的是 M...
esp32连接自建MQTT服务器
05-11
esp32连接基于EMQX搭建的MQTT服务器,通过MQTT协议将采集到的温湿度(DHT11)、光照强度(BH1750)、土壤湿度、水位高度等数据传输,同时也可以通过客户端发送指令控制两个继电器 ,此代码已跑通,欢迎下载使用
ESP32-C3 使用 MQTT 连接 ONENet 平台
04-18
使用 自己画的 ESP32-C3 开发板《自己画一块ESP32-C3 的开发板(立创EDA)(PCB到手)》 。 实现了 ESP32-C3 通过 MQTT 协议连接 ONENET 云平台,实现了数据的上传,平台的下行控制等功能 。 使用了ESP32-C3的 ADC...
ESP8266 MQTT SSL/TLS 阿里物联网套件 百度天工 Onenet等MQTT服务器(注意:是固件)
12-13
(注意:是固件) ESP8266 MQTT SSL/TLS 支持连接阿里物联网套件,百度天工,Onenet等MQTT服务器,支持SSL通信
ESP32通过HTTPS获取天气的简单DEMO
06-11
ESP32的平台下,通过HTTPS获取天气的简单DEMO。 总结: 1、 该DEMO不进行证书的验证 2、 学习了HTTPS连接流程 3、 学习cJSON
esp32-ota-update-mqtt
05-02
通过MQTT启动ESP32 OTA更新 此源允许通过MQTT触发ESP OTA更新。 您只需提供主机名/ binfile,ESP就会解析URL。 之后,更新将自动开始。 目前,这仅在端口80上有效! 触发更新的示例MQTT消息(不要向主机名添加任何...
esp32-ble2mqtt:在ESP32上运行的BLE到MQTT
05-05
该项目是BLE到MQTT的桥梁,即它将BLE GATT特性作为MQTT主题公开,用于双向通信。 它是为ESP32 SoC开发的,基于版本v4.1。 请注意,使用任何其他ESP-IDF版本可能不稳定,甚至无法编译。 例如,如果MAC地址为a0:e6:...
esp-mqtt:ESP32 mqtt组件
04-28
ESP32 MQTT库 特征 基于: : 支持基于TCP的MQTT,具有mbedtlsSSL,基于Websocket的MQTT,基于Websocket Secure的MQTT 易于设置URI 多个实例(一个应用程序中有多个客户端) 支持订阅,发布,身份验证,将消息...
linux查看mqtt使用的端口号,MQTT通讯 安全性(linux下配置)
weixin_32023109的博客
05-01 2121
1.MQTT通讯 安全性说明MQTT 协议没有对安全性设置强制标准,只是在第五章提出了建议,提供合适的安全功能是实现者的责任。默认情况下,mosquitto 不需要任何验证,用户可以匿名连接。如果设置了 allow_anonymous false ,客户端必须提供正确的用户名和密码进行验证,连接时应该将用户名和密码加密传输,否则有被拦截的危险。此外,mosquitto 还提供基于 SSL/TLS ...
如何对 ESP32 设备的明文固件使用固定秘钥进行手动加密
ESP 技术分享,推动万物互联
06-10 4336
ESP32 量产加密烧录固件流程
ESP32+Arduino+Mbed TLS实现RSA加密解密
imba_wolf的博客
01-10 5605
ESP32+Arduino+Mbed TLS实现RSA加密解密 最近有一个实现RSA加密的任务,要在ESP32上面做,首先我尝试了openssl的方案,结果做完了才发现Arduino不支持动态链接C语言库…在网上找了好久的资料,终于找到一个叫做mbedtls的库,奈何相关的文章实在是太少太少,好多都是注水的文章。为了造福挣扎于嵌入式苦海的小伙伴们,下面我将介绍如何使用Mbed TLS实现在ESP32上的RSA加密。 开发环境 上位机:Mac Pro 64位 下位机:ESP32 DevKitC V4 IDE:
mqttesp32通信
03-20
可以使用Arduino IDE中的PubSubClient库来实现MQTTESP32通信。具体实现可以参考以下代码: #include <WiFi.h> #include <PubSubClient.h> const char* ssid = "your_SSID"; const char* password = "your_PASSWORD"; const char* mqtt_server = "your_MQTT_SERVER"; WiFiClient espClient; PubSubClient client(espClient); void setup() { Serial.begin(115200); WiFi.begin(ssid, password); while (WiFi.status() != WL_CONNECTED) { delay(1000); Serial.println("Connecting to WiFi..."); } Serial.println("Connected to WiFi"); client.setServer(mqtt_server, 1883); client.setCallback(callback); while (!client.connected()) { if (client.connect("ESP32Client")) { Serial.println("Connected to MQTT broker"); client.subscribe("test_topic"); } else { Serial.print("Failed to connect to MQTT broker, rc="); Serial.print(client.state()); Serial.println(" retrying in 5 seconds"); delay(5000); } } } void loop() { if (!client.connected()) { reconnect(); } client.loop(); } void callback(char* topic, byte* payload, unsigned int length) { Serial.print("Message received on topic: "); Serial.println(topic); Serial.print("Message: "); for (int i = 0; i < length; i++) { Serial.print((char)payload[i]); } Serial.println(); } void reconnect() { while (!client.connected()) { Serial.print("Attempting MQTT connection..."); if (client.connect("ESP32Client")) { Serial.println("Connected to MQTT broker"); client.subscribe("test_topic"); } else { Serial.print("Failed to connect to MQTT broker, rc="); Serial.print(client.state()); Serial.println(" retrying in 5 seconds"); delay(5000); } } }

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值