原链http://houjixin.blog.163.com/blog/static/35628410201432205042955/
1、 SSL简介
SSL(SecureSocket Layer)安全套接层,是网景公司提出的用于保证Server与client之间安全通信的一种协议,该协议位于TCP/IP协议与各应用层协议之间,即SSL独立于各应用层协议,因此各应用层协议可以透明地调用SSL来保证自身传输的安全性,SSL与TCP/IP协议及其其他应用层协议之间的关系如图1所示。
图1 SSL/TLS协议与应用层协议及tcp/ip层协议的关系
目前,SSL被大量应用于http的安全通信中,MQTT协议与http协议同样属于应用层协议,因此也可以像http协议一样使用ssl为自己的通信提供安全保证。
SSL与TLS(Transport LayerSecurity Protocol)之间的关系:TLS(TransportLayer Security,传输层安全协议)是IETF(InternetEngineering Task Force,Internet工程任务组)制定的一种新的协议,它建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本。在TLS与SSL3.0之间存在着显著的差别,主要是它们所支持的加密算法不同,所以TLS与SSL3.0不能互操作。
开源的算法Openssl对SSL以及TLS1.0都能提供较好的支持,因此,后面使用mosquitto时也采用Openssl作为SSL的实现。
2、 Openssl安装与常用命令说明
2.1、安装
在CentOS6.3上安装Openssl的命令如下:
yum install openssl-devel
注意在安装的时候要安装“openssl-devel”,而不是“openssl”。
安装成功之后可以使用如下命令查看openssl的版本:
[root@cddserver1~]# openssl version
OpenSSL1.0.1e-fips 11 Feb 2013
2.2、常用命令说明
SSL在身份认证过程中需要有一个双方都信任的CA签发的证书,CA签发证书是需要收费的,但是在测试过程中,可以自己产生一个CA,然后用自己产生的CA签发证书,下面的mosquitto的ssl功能的测试过程就是采用这一方式,其过程如下:
1) 产生自己的CA,该过程将为CA产生两个文件:ca.key和ca.crt(文件的名字可以修改),其中ca.key是我们自己产生的CA的“密钥文件“,ca.crt是我们自己产生的CA的”证书文件“,本步结束CA将拥有两个文件ca.key和ca.crt,然后将为CA产生的这两个文件分别拷贝到mosquitto server及客户端所在的机子上;
2) 在server所在的机子上,使用这个自己产生的CA为mosquitto的server端签发证书,本步将产生server.key,server.csr和server.crt三个文件(文件名字可以修改),这里server.csr是签发证书的请求文件,CA为server端产生证书文件时将用到它,产生完证书文件之后,该文件就不用了;server.key和 server.crt这两个文件将会在后续的SSL通信过程中用到。
3) 在测试客户端所用的机子上,使用这个自己产生的CA为mosquitto的客户端签发证书;本步将产生client.key,client.csr和client.crt三个文件(文件名字可以修改),各文件的含义跟server端类似。
上述三个过程将使用openssl完成,将用到如下几条相关的命令:
l 产生CA的key和证书文件
openssl req -new -x509 -days 36500-extensions v3_ca -keyout ca.key -out ca.crt
该命令将为CA产生一个名字为“ca.key”的key文件和一个名字为“ca.crt”的证书文件,这个crt就是CA自己给自己签名的证书文件。
该命令中选项“-x509”表示该条命令将产生自签名的证书,一般都是测试的时候采用。
l 为mosquittoserver私钥文件“server.key”和证书文件”server.crt”
(1)为mosquittoserver产生一个私钥文件server.key
opensslgenrsa -out server.key 2048
该命令将产生一个不加密的RSA私钥,其中参数“2048”表示私钥的长度,这里产生的私钥文件“server.key”将在下一步使用,同时在mosquitto程序的配置文件中也需要使用。
如果需要为产生的RSA私钥加密,则需加上选项“-des3”,对私钥文件加密之后,后续使用该密钥的时候都要求输入密码。产生加密RSA私钥文件的命令如下:
opensslgenrsa -des3 -out server.key 2048
如果为RSA私钥文件加密了,则一定要记好密码,后面产生csr文件时以及后续使用该私钥文件都会用到该密码。
(2)为mosquitto server产生一个签发证书的请求文件“server.csr”
opensslreq -out server.csr -key server.key -new
该命令将使用上一步产生的“server.key”文件为server产生一个签发证书所需要的请求文件:server.csr,使用该文件向CA发送请求才会得到CA签发的证书。
(3)CA为mosquitto server产生一个证书文件
openssl x509 -req -in server.csr -CA ca.crt-CAkey ca.key -CAcreateserial -out server.crt -days 36500
该命令将使用CA的密钥文件ca.key,CA的证书文件ca.crt和上一步为mosquitto server产生证书请求文件server.csr文件这三个文件向CA请求产生一个证书文件,证书文件的名字为:server.crt。该命令中的36500可以修改为自己定义的时间值。
l 为mosquitto的客户端程序产生私钥文件”client.key”和证书文件“client.crt”,过程与为server端类似,这里将不再累述。
(1) 为mosquittoserver产生一个私钥文件”client.key”
openssl genrsa-out client.key 2048
(2) 为mosquitto客户端产生一个签发证书的请求文件“client.csr “
openssl req-out client.csr -key client.key-new
产生证书请求文件时需要第一步产生的私钥文件client.key作为输入。
(3) CA为mosquitto客户端产生一个证书文件”client.crt”
opensslx509 -req -in client.csr-CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 36500
3、 Mosquito使用ssl功能的具体操作方法
下面的例子中,将使用:A(192.168.4.222),B(192.168.4.223)和C(192.168.4.221)这三台机子,其中使用A制作CA证书;在B上运行mosquitto实例,在C上运行一个订阅端,一个发布端。
3.1、产生CA
测试过程中CA在主机cddserver3上;另外,测试过程中,无需采用真正的CA,使用我们自己产生的CA即可,使用命令为:
openssl req -new-x509 -days 36500 -extensions v3_ca -keyout ca.key -out ca.crt
命令执行过程中将需要输入国别、省份(或州)、市、Common Name等参数,其中最需要注意的是” Common Name”这个参数,它必须是当前机子的IP地址,使用主机名不行。如下截图所示
特别要注意的是Common Name参数需要填写主机的IP地址,使用主机名不行。
本步结束即产生自己的CA,它有两个文件“ca.key“和”ca.crt“:
3.2、使用自己产生的CA为server签发证书
将3.1中产生的CA文件拷贝mosquitto server所在机子上(其主机名字为cddserver3)的某个位置,例如:/home/jason.hou/ssl,然后使用该CA为server产生证书文件。如下截图所示:
(1)产生密钥文件server.key,为了减少测试过程中总是提出输入密码的麻烦,这里将为server产生一个不加密的密钥文件。过程如下截图所示:
图3-4
(2)产生证书签发的请求文件server.csr。过程如下截图所示:
图3-5
同样该过程需要注意Common Name参数需要填写当前主机的IP地址。
(3)为mosquitto server产生证书文件:server.crt,这一步将需要输入CA的密码,同样,这里也可以看到刚才为CA输入的参数国别、省份等参数,过程如下截图所示:
图3-6
3.3、使用自己产生的CA为client签发证书
该过程与3.2类似。首先,将3.1中产生的CA文件拷贝mosquittoclient所在机子(其主机名字为cddserver1)上的某个位置,例如:/home/jason.hou/ssl,然后使用该CA为server产生证书文件。如下截图所示:
图3-7
(1) 产生密钥文件client.key,过程如下截图所示:
图3-8
(2) 产生证书请求文件client.csr,过程如下截图所示:
图3-9
(3) 为客户产生证书文件Client.crt,过程如下截图所示:
图3-10
3.4、修改mosquitto配置文件
为了使用SSL功能Mosquito的配置文件mosquitto.conf需要修改以下四个地方:
(1) port 参数,mosquitto官方网站建议在使用功能的时候使用8883端口,如下所示:
图3-11(1)
图3-11(2)
(2) 修改cafile参数,该参数表示CA的证书文件的位置,需将其设置为正确的位置,例如下图所示
图3-12
(3) 修改certfile参数,该参数表示CA为server端签发的证书文件的位置,如上图所示。
(4) 修改keyfile参数,该参数表示server端使用的key文件的位置。如上图所示。
3.5、运行程序
(1)启动mosquitto server端
使用修改后的配置文件启动mosquitto程序,上面修改的配置文件的路径,在mosquitto目录下,因此需要用-c参数指定其位置,如下图所示:
图3-13
(2)启动订阅端:
订阅端所在ssl文件的路径为:/home/jason.hou/ssl,启动时所使用的命令为:
./mosquitto_sub-h 192.168.4.223 -i 111 -p 8883 -t "111" --cafile/home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key
如下图所示:
图3-14
(4) 启动发布端
启动时所使用的命令为:
./mosquitto_pub -h192.168.4.223 -p 8883 -t "111" -m "this is jason.hou"--cafile /home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key
如下图所示:
图3-15
(5) 发布消息之后,mosquitto、订阅端、发布端的截图如下:
Mosquito:
图3-16
发布端:
图3-17
订阅端:
图3-18
1、 注意事项
(1) 制作签发证书的请求文件时,需要输入Common Name参数,此参数一定为当前主机的IP地址,否则将会显示证书错误。
(2) 如果不想SSL在身份认证的时候检查主机名(也即上面不检查第1条中Common Name参数),则需要在启动订阅端的时候,加上“--insecure”参数,例如:
./mosquitto_sub-h 192.168.4.223 -i 111 -p 8883 -t "111" --cafile/home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key --insecure
(3) 自测过程中,server端与所有客户端所使用的证书必须由一个CA签发,否则,将会提示CA不识别的问题。
问题提示为:
1398166026:New connection from 192.168.4.221 on port 8883.
1398166026:OpenSSL Error: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknownca
1398166026:OpenSSL Error: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshakefailure
1398166026:Socket error on client (null), disconnecting.
如下图所示:
图3-19