EMQXMQTT服務(wù)器啟用SSL/TLS安全連接

目前創(chuàng)新互聯(lián)已為上1000家的企業(yè)提供了網(wǎng)站建設(shè)、域名、雅安服務(wù)器托管、成都網(wǎng)站托管、企業(yè)網(wǎng)站設(shè)計、蔡家坡網(wǎng)站維護等服務(wù)，公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。tion>作為基于現(xiàn)代密碼學(xué)公鑰算法的安全協(xié)議，TLS/SSL 能在計算機通訊網(wǎng)絡(luò)上保證傳輸安全，EMQ X 內(nèi)置對 TLS/SSL 的支持，包括支持單/雙向認(rèn)證、X.509 證書、負載均衡 SSL 等多種安全認(rèn)證。你可以為 EMQ X 支持的所有協(xié)議啟用 SSL/TLS，也可以將 EMQ X 提供的 HTTP API 配置為使用 TLS。本文將介紹如何在 EMQ X 中為 MQTT 啟用 TLS。SSL/TLS 帶來的安全優(yōu)勢強認(rèn)證。用 TLS 建立連接的時候，通訊雙方可以互相檢查對方的身份。在實踐中，很常見的一種身份檢查方式是檢查對方持有的 X.509 數(shù)字證書。這樣的數(shù)字證書通常是由一個受信機構(gòu)頒發(fā)的，不可偽造。保證機密性。TLS 通訊的每次會話都會由會話密鑰加密，會話密鑰通訊雙方協(xié)商產(chǎn)生。任何第三方都無法知曉通訊內(nèi)容。即使一次會話的密鑰泄露，并不影響其他會話的安全性。完整性。加密通訊中的數(shù)據(jù)很難被篡改而不被發(fā)現(xiàn)。SSL/TLS 協(xié)議TLS/SSL 協(xié)議下的通訊過程分為兩部分，第一部分是握手協(xié)議。握手協(xié)議的目的是鑒別對方身份并建立一個安全的通訊通道。握手完成之后雙方會協(xié)商出接下來使用的密碼套件和會話密鑰；第二部分是 record 協(xié)議，record 和其他數(shù)據(jù)傳輸協(xié)議非常類似，會攜帶內(nèi)容類型，版本，長度和荷載等信息，不同的是它所攜帶的信息是加密了的。下面的圖片描述了 TLS/SSL 握手協(xié)議的過程，從客戶端的 "hello" 一直到服務(wù)器的 "finished" 完成握手。有興趣的同學(xué)可以找更詳細的資料看。對這個過程不了解也并不影響我們在 EMQ X 中啟用這個功能。SSL/TLS 證書準(zhǔn)備通常來說，我們會需要數(shù)字證書來保證 TLS 通訊的強認(rèn)證。數(shù)字證書的使用本身是一個三方協(xié)議，除了通訊雙方，還有一個頒發(fā)證書的受信第三方，有時候這個受信第三方就是一個 CA。和 CA 的通訊，一般是以預(yù)先發(fā)行證書的方式進行的。也就是在開始 TLS 通訊的時候，我們需要至少有 2 個證書，一個 CA 的，一個 EMQ X 的，EMQ X 的證書由 CA 頒發(fā)，并用 CA 的證書驗證。獲得一個真正受外界信任的證書需要到證書服務(wù)提供商進行購買。在實驗室環(huán)境，我們也可以用自己生成的證書來模擬這個過程。下面我們分別以這兩種方式來說明 EMQ X 服務(wù)器的 SSL/TLS 啟用過程。注意：購買證書與自簽名證書的配置，讀者根據(jù)自身情況只需選擇其中一種進行測試。購買證書如果有購買證書的話，就不需要自簽名證書。為方便 EMQ X 配置，請將購買的證書文件重命名為 emqx.crt，證書密鑰重命名為 emqx.key。自簽名證書在這里，我們假設(shè)您的系統(tǒng)已經(jīng)安裝了 OpenSSL。使用 OpenSSL 附帶的工具集就可以生成我們需要的證書了。首先，我們需要一個自簽名的 CA 證書。生成這個證書需要有一個私鑰為它簽名，可以執(zhí)行以下命令來生成私鑰：openssl genrsa -out my_root_ca.key 2048這個命令將生成一個密鑰長度為 2048 的密鑰并保存在 my_root_ca.key 中。有了這個密鑰，就可以用它來生成 EMQ X 的根證書了：openssl req -x509 -new -nodes -key my_root_ca.key -sha256 -days 3650 -out my_root_ca.pem根證書是整個信任鏈的起點，如果一個證書的每一級簽發(fā)者向上一直到根證書都是可信的，那個我們就可以認(rèn)為這個證書也是可信的。有了這個根證書，我們就可以用它來給其他實體簽發(fā)實體證書了。實體（在這里指的是 EMQ X）也需要一個自己的私鑰對來保證它對自己證書的控制權(quán)。生成這個密鑰的過程和上面類似：openssl genrsa -out emqx.key 2048新建 openssl.cnf 文件，req_distinguished_name ：根據(jù)情況進行修改，alt_names：BROKER_ADDRESS 修改為 EMQ X 服務(wù)器實際的 IP 或 DNS 地址，例如：IP.1 = 127.0.0.1，或 DNS.1 = broker.xxx.comdefault_bits = 2048distinguished_name = req_distinguished_namereq_extensions = req_extx509_extensions = v3_reqprompt = nocountryName = CNstateOrProvinceName = ZhejianglocalityName = HangzhouorganizationName = EMQXcommonName = Server certificatesubjectAltName = @alt_namessubjectAltName = @alt_namesIP.1 = BROKER_ADDRESSDNS.1 = BROKER_ADDRESS然后以這個密鑰和配置簽發(fā)一個證書請求：openssl req -new -key ./emqx.key -config openssl.cnf -out emqx.csr然后以根證書來簽發(fā) EMQ X 的實體證書：openssl x509 -req -in ./emqx.csr -CA my_root_ca.pem -CAkey my_root_ca.key -CAcreateserial -out emqx.pem -days 3650 -sha256 -extensions v3_req -extfile openssl.cnf準(zhǔn)備好證書后，我們就可以啟用 EMQ X 的 TLS/SSL 功能了。SSL/TLS 啟用及驗證在 EMQ X 中 mqtt:ssl 的默認(rèn)監(jiān) 聽端口為 8883。購買證書方式EMQ X 配置將前文重命名后的 emqx.key 文件及 emqx.crt 文件拷貝到 EMQ X 的 etc/certs/ 目錄下，并參考如下配置修改 emqx.conf：## listener.ssl.$name is the IP address and port that the MQTT/SSL## Value: IP:Port | Portlistener.ssl.external = 8883## Path to the file containing the user's private PEM-encoded key.## Value: Filelistener.ssl.external.keyfile = etc/certs/emqx.key## Path to a file containing the user certificate.## Value: Filelistener.ssl.external.certfile = etc/certs/emqx.crtMQTT 連接測試當(dāng)配置完成并重啟 EMQ X 后，我們使用 MQTT 客戶端工具 - MQTT X （該工具跨平臺且支持 MQTT 5.0 ），來驗證 TLS 服務(wù)是否正常運行。MQTT X 版本要求：v1.3.2 及以上版本參照下圖在 MQTT X 中創(chuàng)建 MQTT 客戶端（Host 輸入框里的 mqttx.app 需替換為實際的域名）注意：在 Certificate 一欄只需選擇 CA signed server 即可，使用購買證書在進行單向認(rèn)證連接時不需要攜帶任何證書文件（CA 文件也不需要攜帶）。點擊 Connect 按鈕，連接成功后，如果能正常執(zhí)行 MQTT 發(fā)布/訂閱操作，什么叫軟文營銷？則購買證書的 SSL 單向認(rèn)證配置成功。自簽名證書方式EMQ X 配置將前文中通過 OpenSSL 工具生成的 emqx.pem、emqx.key 及 my_root_ca.pem 文件拷貝到 EMQ X 的 etc/certs/ 目錄下，并參考如下配置修改 emqx.conf：## listener.ssl.$name is the IP address and port that the MQTT/SSL## Value: IP:Port | Portlistener.ssl.external = 8883## Path to the file containing the user's private PEM-encoded key.## Value: Filelistener.ssl.external.keyfile = etc/certs/emqx.key## Path to a file containing the user certificate.## Value: Filelistener.ssl.external.certfile = etc/certs/emqx.pem## Path to the file containing PEM-encoded CA certificates. The CA certificates## Value: Filelistener.ssl.external.cacertfile = etc/certs/my_root_ca.pemMQTT 連接測試當(dāng)配置完成并重啟 EMQ X 后，我們使用 MQTT 客戶端工具 - MQTT X （該工具跨平臺且支持 MQTT 5.0 ），來驗證 TLS 服務(wù)是否正常運行。MQTT X 版本要求：v1.3.2 及以上版本參照下圖在 MQTT X 中創(chuàng)建 MQTT 客戶端（Host 輸入框里的 127.0.0.1 需替換為實際的 EMQ X 服務(wù)器 IP）此時 Certificate 一欄需要選擇 Self signed ，并攜帶自簽名證書中生成的 my_root_ca.pem 文件。點擊 Connect 按鈕，連接成功后，如果能正常執(zhí)行 MQTT 發(fā)布/訂閱操作，什么叫軟文營銷？則自簽名證書的 SSL 單向認(rèn)證配置成功。 EMQ X Dashboard 驗證最后，打開 EMQ X 的 Dashboard 在 Listeners 頁面可以看到在 8883 端口上有一個 mqtt:ssl 連接。至此，我們成功的完成了 EMQ X 服務(wù)器的 SSL/TLS 配置及單向認(rèn)證連接測試。EMQ X SSL/TLS 雙向認(rèn)證配置文檔請關(guān)注我們的后續(xù)文章。

點擊"閱讀原文" ，了解更多↓↓↓

網(wǎng)頁標(biāo)題：EMQXMQTT服務(wù)器啟用SSL/TLS安全連接
當(dāng)前路徑：http://aaarwkj.com/article34/sdphse.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計、網(wǎng)站營銷、網(wǎng)站改版、營銷型網(wǎng)站建設(shè)、ChatGPT、微信小程序

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容

欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

EMQXMQTT服務(wù)器啟用SSL/TLS安全連接