MQTT TLS 加密传输
MQTT TLS 加密传输git
Mosquitto原生支持了TLS加密,TLS(传输层安全)是SSL(安全套接层)的新名称,生成证书后再配置一下MQTT代理,本文主要介绍Mqtt如何实现双向认证和单向认证方法。github
单向认证:就是只有服务器提供证书,客户端不须要证书,双向认证:服务端和客户端都提供证书。安全
1.生成CA
首先咱们须要生成证书权威(Certificate Authority,CA)的认证和密钥,生成过程当中Common Name就是hostname,网上不少生成CA证书直接指令OpenSSl方法,没有对Common Name进行扩展,本文不是主要介绍CA生成方法,这里为方便直接采用github中的一个脚本,能够让hostname为localhost、本机ip或127.0.0.1,经过连接脚本地址运行脚本。bash
从OweTracks项目下载并运行generate-CA.sh脚本。该脚本建立CA文件,生成服务器证书,并使用CA来签名证书。服务器
运行脚本 ui
$ mkdir myca加密
$ cd mycaspa
$ bash ./generate-CA.sh代理
generate-CA.sh会产生6个文件:ca.crt,ca.key,ca.srl,host.crt,host.csr和host.key。分别为: 证书(.CRT),钥匙(.KEY),请求(.csr文件),并在签名过程当中的一系列记录文件(.slr),注意host是系统名字,也就是服务器端的文件。rest
其中将三个文件拷贝到/etc/mosquitto目录:
$ sudo cp ca.crt /etc/mosquitto/ca_certificates/
$ sudo cp host.crt host.key /etc/mosquitto/certs/
2.单向认证
一、配置文件/etc/mosquitto/mosquitto.conf:
# mosquitto.conf
pid_file /var/run/mosquitto.pid
persistence true
persistence_location /var/lib/mosquitto/
log_dest file /var/log/mosquitto/mosquitto.log
port 8883
cafile /etc/mosquitto/ca_certificates/ca.crt
certfile /etc/mosquitto/certs/host.crt
keyfile /etc/mosquitto/certs/host.key
在拷贝证书文件和修改mosiquitto.conf后, 重启服务:
$ sudo service mosquitto restart
二、单向认证时客户端不须要生成客户端证书、钥匙和请求,仅须要将CA证书ca.crt,ca.key,ca.srl,拷贝到客户端系统中
客户端接收mosquitto_sub:
$ mosquitto_sub -p 8883 -t /cnc/knd/# --cafile ca.crt
客户端发布mosquitto_pub
$ mosquitto_pub -p 8883 -t /cnc/knd/# -m "status"--cafile ca.crt
3.双向认证
一、若为双向认证则需根据CA证书生成客户端证书,生成客户端证书、钥匙和请求的方法是在CA证书文件夹下执行OpenSSL
$ openssl genrsa -out client.key 2048
$ openssl req -new -out client.csr -key client.key -subj "/CN=client/O=example.com"
$ openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAserial ./ca.srl -out client.crt -days 3650 -addtrust clientAuth
二、配置文件/etc/mosquitto/mosquitto.conf多一行:
require_certificate true
三、双向认证时客户端须要写入本身的证书信息和密钥来进行验证,
客户端接收mosquitto_sub:
$ mosquitto_sub -p 8883 -t /cnc/knd/# --cafile ca.crt --cert client.crt --key client.key
客户端发布mosquitto_pub
$ mosquitto_pub -p 8883 -t /cnc/knd/# -m "status"--cafile ca.crt --cert client.crt --key client.key
4. 总结
能够看出双向认证一个客户端有一个本身的证书信息,这样更为安全,但每一个客户端都须要安装证书也很麻烦,具体采用什么方法,还要考虑实际场合,第一次接触TLS,若有错误,还请指教。
- 1. 基于MQTT协议的SSL/TLS加密传输的讨论
- 2. OpenLDAP配置TLS加密传输
- 3. OpenLDAP 加密传输
- 4. openldap加密传输 nslcd
- 5. Zabbix的加密传输
- 6. 使用stunnle加密传输
- 7. Emqtt的ssl/tls加密
- 8. 加密与安全传输
- 9. Python使用传输层安全协议TLS/SSL实现信息加密传输
- 10. crypto.js加密传输
- 更多相关文章...
- • 如何干扰TCP数据传输? - TCP/IP教程
- • 与传输层有关的基本知识 - TCP/IP教程
- • Flink 数据传输及反压详解
- • 使用阿里云OSS+CDN部署前端页面与加速静态资源
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. No provider available from registry 127.0.0.1:2181 for service com.ddbuy.ser 解决方法
- 2. Qt5.7以上调用虚拟键盘(支持中文),以及源码修改(可拖动,水平缩放)
- 3. 软件测试面试- 购物车功能测试用例设计
- 4. ElasticSearch(概念篇):你知道的, 为了搜索…
- 5. redux理解
- 6. gitee创建第一个项目
- 7. 支持向量机之硬间隔(一步步推导,通俗易懂)
- 8. Mysql 异步复制延迟的原因及解决方案
- 9. 如何在运行SEPM配置向导时将不可认的复杂数据库密码改为简单密码
- 10. windows系统下tftp服务器使用
- 1. 基于MQTT协议的SSL/TLS加密传输的讨论
- 2. OpenLDAP配置TLS加密传输
- 3. OpenLDAP 加密传输
- 4. openldap加密传输 nslcd
- 5. Zabbix的加密传输
- 6. 使用stunnle加密传输
- 7. Emqtt的ssl/tls加密
- 8. 加密与安全传输
- 9. Python使用传输层安全协议TLS/SSL实现信息加密传输
- 10. crypto.js加密传输