• ssl双向认证


    ssl双向认证

    一、背景知识

    1、名词解释

    ca.key: 根证书的私钥 , ca.crt: 根证书的签名证书

    server.key, server.crt

    client.key, client.crt

    2、生成机制

    1、openssl-> ca.key,ca.crt
    2、openssl-> server.key->server.csr<-ca.crt+ca.key =>server.crt
    3、openssl-> client.key->client.csr<-ca.crt+ca.key =>client.crt

    功能设计:

    第一步,使用openssl生成ca.key -> ca.crt, 

    生成server.key -> server.csr , server.csr + ca.key + ca.crt  -> server.crt

    第二步,配置 ca.crt, server.key, server.crt 到 mosquito服务器

    第三步,配置 ca.crt, ca.key 到管理控制台,

                  通过管理控制台生成client.key -> client.csr,client.csr + ca.key + ca.crt  -> client.crt, 并提供 ca.crt + client.crt + client.key 的下载

    3、部署发布

          服务器端: 持有 ca.crt , server.key + server.crt , 如: mosquito

          客户端: 持有 ca.crt , server.key, server.crt , 如:设备

          证书生成端: 持有 ca.crt , ca.key, 如:管理控制台

    二、生成证书

    1 产生CA的key和证书

    使用命令为:
    openssl req -new -x509 -days 36500 -extensions v3_ca -keyout ca.key -out ca.crt
    该命令将为CA产生一个名字为“ca.key”的key文件和一个名字为“ca.crt”的证书文件,这个crt就是CA自己给自己签名的证书文件。
    该命令中选项“-x509”表示该条命令将产生自签名的证书,一般都是测试的时候采用。
    命令执行过程中将需要输入国别、省份(或州)、市、Common Name等参数,其中” Common Name”参数,必须是当前机子的IP地址,使用主机名不行。

    2 使用该CA为server签发证书

    使用该CA为server产生证书文件。
    (1)产生密钥文件server.key
    该命令将产生加密的RSA私钥,其中参数”-des3”表示对产生的RSA私钥加密,参数”2048”表示私钥的长度,这里产生的私钥文件“server.key”将在下一步使用,同时在mosquitto程序的配置文件中也需要使用。
    openssl genrsa -des3 -out server.key 2048
    (2)产生证书签发的请求文件server.csr
    该命令将使用上一步产生的“server.key”文件为server产生一个签发证书所需要的请求文件:server.csr,使用该文件向CA发送请求才会得到CA签发的证书。
    openssl req -out server.csr -key server.key -new
    同样该过程需要注意Common Name参数需要填写当前主机的IP地址。
    (3)为mosquitto server产生证书文件:server.crt
    命令:
    openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 36500
    这一步将需要输入CA的密码。该命令将使用CA的密钥文件ca.key,CA的证书文件ca.crt和上一步为mosquitto server产生证书请求文件server.csr文件这三个文件向CA请求产生一个证书文件,证书文件的名字为:server.crt。

    3 使用该CA为client签发证书

    该过程与1.2类似。
    (1) 产生密钥文件client.key
    openssl genrsa -out client.key 2048
    (2) 产生一个签发证书的请求文件"client.csr"
    openssl req -out client.csr -key client.key -new
    产生证书请求文件时需要第一步产生的私钥文件client.key作为输入。
    (3)CA为mosquitto客户端产生一个证书文件”client.crt”
    openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 36500
    三、配置使用

    1、修改配置

    1.1 修改mosquitto配置文件

    为了使用SSL功能Mosquito的配置文件mosquitto.conf需要修改以下四个地方:

    (1) port 参数,mosquitto官方网站建议在使用功能的时候使用8883端口,如下所示:

     

    (2) 修改cafile参数,该参数表示CA的证书文件的位置,需将其设置为正确的位置,例如下图所示

     

    1.2启动mosquitto server

    使用修改后的配置文件启动mosquitto程序,上面修改的配置文件的路径,在mosquitto目录下,因此需要用-c参数指定其位置。

    mosquitto -c mosquitto.conf -v

    2、mosquito.fx

    配置如下: 

    注意:不需要填写用户名和密码,可以连接成功。 

    1、 注意事项

    (1) 制作签发证书的请求文件时,需要输入Common Name参数,此参数一定为当前主机的IP地址,否则将会显示证书错误。

    (2) 如果不想SSL在身份认证的时候检查主机名(也即上面不检查第1条中Common Name参数),则需要在启动订阅端的时候,加上“--insecure”参数,例如:

    ./mosquitto_sub -h 192.168.4.223 -i 111 -p 8883 -t "111" --cafile/home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key –insecure

    (3)自测过程中,server端与所有客户端所使用的证书必须由同一个CA签发,否则,将会提示CA不识别的问题。

  • 相关阅读:
    注册表清理bat
    apache2.2.14 负载均衡过程中遇到问题记录;
    thikpad 中eclipse/idea 无法获取鼠标
    PLSQL DEVELOPER 提示(错误)信息是乱码;亲测有效
    windows右键 打开方式 浏览 无法添加默认打开方式 解决
    澳洲值得代购物品汇总
    5 open source dashboard tools for visualizing data
    nginx概述
    Linux bash 参数处理办法
    Linux shell 启动配置文件设置
  • 原文地址:https://www.cnblogs.com/lexiaofei/p/8315718.html
Copyright © 2020-2023  润新知