• 转(逍遥子)Mosquito使用SSL/TLS进行安全通信时的使用方法


    http://houjixin.blog.163.com/blog/static/35628410201432205042955/

    1、 SSL简介

    SSL(SecureSocket Layer)安全套接层,是网景公司提出的用于保证Server与client之间安全通信的一种协议,该协议位于TCP/IP协议与各应用层协议之间, 即SSL独立于各应用层协议,因此各应用层协议可以透明地调用SSL来保证自身传输的安全性,SSL与TCP/IP协议及其其他应用层协议之间的关系如图 1所示。

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图1 SSL/TLS协议与应用层协议及tcp/ip层协议的关系

    目前,SSL被大量应用于http的安全通信中,MQTT协议与http协议同样属于应用层协议,因此也可以像http协议一样使用ssl为自己的通信提供安全保证。

    SSL与TLS(Transport LayerSecurity Protocol)之间的关系:TLS(TransportLayer Security,传输层安全协议)是IETF(InternetEngineering Task Force,Internet工程任务组)制定的一种新的协议,它建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本。在TLS与SSL3.0之间存在着显著的差别,主要是它们所支持的加密算法不同,所以TLS与SSL3.0不能互操作。

    开源的算法Openssl对SSL以及TLS1.0都能提供较好的支持,因此,后面使用mosquitto时也采用Openssl作为SSL的实现。

    2、 Openssl安装与常用命令说明

    2.1、安装

    在CentOS6.3上安装Openssl的命令如下:

    yum install openssl-devel

    注意在安装的时候要安装“openssl-devel”,而不是“openssl”。

    安装成功之后可以使用如下命令查看openssl的版本:

    [root@cddserver1~]# openssl version

    OpenSSL1.0.1e-fips 11 Feb 2013

    2.2、常用命令说明

    SSL在身份认证过程中需要有一个双方都信任的CA签发的证书,CA签发证书是需要收费的,但是在测试过程中,可以自己产生一个CA,然后用自己产生的CA签发证书,下面的mosquitto的ssl功能的测试过程就是采用这一方式,其过程如下:

    1)       产 生自己的CA,该过程将为CA产生两个文件:ca.key和ca.crt(文件的名字可以修改),其中ca.key是我们自己产生的CA的“密钥文件 “,ca.crt是我们自己产生的CA的”证书文件“,本步结束CA将拥有两个文件ca.key和ca.crt,然后将为CA产生的这两个文件分别拷贝到 mosquitto server及客户端所在的机子上;

    2)       在 server所在的机子上,使用这个自己产生的CA为mosquitto的server端签发证书,本步将产生 server.key,server.csr和server.crt三个文件(文件名字可以修改),这里server.csr是签发证书的请求文件,CA 为server端产生证书文件时将用到它,产生完证书文件之后,该文件就不用了;server.key和 server.crt这两个文件将会在后续的SSL通信过程中用到。

    3)       在测试客户端所用的机子上,使用这个自己产生的CA为mosquitto的客户端签发证书;本步将产生client.key,client.csr和client.crt三个文件(文件名字可以修改),各文件的含义跟server端类似。

    上述三个过程将使用openssl完成,将用到如下几条相关的命令:

    l    产生CA的key和证书文件

    openssl req -new -x509 -days 36500-extensions v3_ca -keyout ca.key -out ca.crt

    该命令将为CA产生一个名字为“ca.key”的key文件和一个名字为“ca.crt”的证书文件,这个crt就是CA自己给自己签名的证书文件。

    该命令中选项“-x509”表示该条命令将产生自签名的证书,一般都是测试的时候采用。

    l    为mosquittoserver私钥文件“server.key”和证书文件”server.crt”

    (1)为mosquittoserver产生一个私钥文件server.key

    opensslgenrsa -out server.key 2048

    该命令将产生一个不加密的RSA私钥,其中参数“2048”表示私钥的长度,这里产生的私钥文件“server.key”将在下一步使用,同时在mosquitto程序的配置文件中也需要使用。

    如果需要为产生的RSA私钥加密,则需加上选项“-des3”,对私钥文件加密之后,后续使用该密钥的时候都要求输入密码。产生加密RSA私钥文件的命令如下:

    opensslgenrsa -des3 -out server.key 2048

    如果为RSA私钥文件加密了,则一定要记好密码,后面产生csr文件时以及后续使用该私钥文件都会用到该密码。

    (2)为mosquitto server产生一个签发证书的请求文件“server.csr”

    opensslreq -out server.csr -key server.key -new

    该命令将使用上一步产生的“server.key”文件为server产生一个签发证书所需要的请求文件:server.csr,使用该文件向CA发送请求才会得到CA签发的证书。

    (3)CA为mosquitto server产生一个证书文件

    openssl x509 -req -in server.csr -CA ca.crt-CAkey ca.key -CAcreateserial -out server.crt -days 36500

    该 命令将使用CA的密钥文件ca.key,CA的证书文件ca.crt和上一步为mosquitto server产生证书请求文件server.csr文件这三个文件向CA请求产生一个证书文件,证书文件的名字为:server.crt。该命令中的 36500可以修改为自己定义的时间值。

    l    为mosquitto的客户端程序产生私钥文件”client.key”和证书文件“client.crt”,过程与为server端类似,这里将不再累述。

    (1) 为mosquittoserver产生一个私钥文件”client.key”

    openssl genrsa-out client.key 2048

    (2) 为mosquitto客户端产生一个签发证书的请求文件“client.csr “

    openssl req-out client.csr -key client.key-new

    产生证书请求文件时需要第一步产生的私钥文件client.key作为输入。

    (3) CA为mosquitto客户端产生一个证书文件”client.crt”

    opensslx509 -req -in client.csr-CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 36500


    3、 Mosquito使用ssl功能的具体操作方法

    下面的例子中,将使用:A(192.168.4.222),B(192.168.4.223)和C(192.168.4.221)这三台机子,其中使用A制作CA证书;在B上运行mosquitto实例,在C上运行一个订阅端,一个发布端。

    3.1、产生CA

    测试过程中CA在主机cddserver3上;另外,测试过程中,无需采用真正的CA,使用我们自己产生的CA即可,使用命令为:

    openssl req -new-x509 -days 36500 -extensions v3_ca -keyout ca.key -out ca.crt

    命令执行过程中将需要输入国别、省份(或州)、市、Common Name等参数,其中最需要注意的是” Common Name”这个参数,它必须是当前机子的IP地址,使用主机名不行。如下截图所示

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:
     图3.1

    特别要注意的是Common Name参数需要填写主机的IP地址,使用主机名不行

    本步结束即产生自己的CA,它有两个文件“ca.key“和”ca.crt“:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:
     图3.2

    3.2、使用自己产生的CA为server签发证书

    将3.1中产生的CA文件拷贝mosquitto server所在机子上(其主机名字为cddserver3)的某个位置,例如:/home/jason.hou/ssl,然后使用该CA为server产生证书文件。如下截图所示:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:
     图3.3

    (1)产生密钥文件server.key,为了减少测试过程中总是提出输入密码的麻烦,这里将为server产生一个不加密的密钥文件。过程如下截图所示:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-4

    (2)产生证书签发的请求文件server.csr。过程如下截图所示:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-5

    同样该过程需要注意Common Name参数需要填写当前主机的IP地址

    (3)为mosquitto server产生证书文件:server.crt,这一步将需要输入CA的密码,同样,这里也可以看到刚才为CA输入的参数国别、省份等参数,过程如下截图所示:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-6

    3.3、使用自己产生的CA为client签发证书

    该过程与3.2类似。首先,将3.1中产生的CA文件拷贝mosquittoclient所在机子(其主机名字为cddserver1)上的某个位置,例如:/home/jason.hou/ssl,然后使用该CA为server产生证书文件。如下截图所示:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-7

    (1)  产生密钥文件client.key,过程如下截图所示:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-8

    (2)  产生证书请求文件client.csr,过程如下截图所示:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-9

    (3)  为客户产生证书文件Client.crt,过程如下截图所示:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-10

    3.4、修改mosquitto配置文件

    为了使用SSL功能Mosquito的配置文件mosquitto.conf需要修改以下四个地方:

    (1)           port 参数,mosquitto官方网站建议在使用功能的时候使用8883端口,如下所示:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-11(1)

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

    图3-11(2)

    (2)           修改cafile参数,该参数表示CA的证书文件的位置,需将其设置为正确的位置,例如下图所示

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-12

    (3)           修改certfile参数,该参数表示CA为server端签发的证书文件的位置,如上图所示。

    (4)           修改keyfile参数,该参数表示server端使用的key文件的位置。如上图所示。

    3.5、运行程序

    (1)启动mosquitto server端

    使用修改后的配置文件启动mosquitto程序,上面修改的配置文件的路径,在mosquitto目录下,因此需要用-c参数指定其位置,如下图所示:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-13

    (2)启动订阅端:

    订阅端所在ssl文件的路径为:/home/jason.hou/ssl,启动时所使用的命令为:

    ./mosquitto_sub-h 192.168.4.223 -i 111 -p 8883 -t "111" --cafile/home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key

    如下图所示:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-14

    (4)  启动发布端

    启动时所使用的命令为:

    ./mosquitto_pub -h192.168.4.223 -p 8883 -t "111" -m "this is jason.hou"--cafile /home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key

    如下图所示:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-15

    (5)  发布消息之后,mosquitto、订阅端、发布端的截图如下:

    Mosquito:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-16

    发布端:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-17

    订阅端:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:

     图3-18

    1、 注意事项

    (1)  制作签发证书的请求文件时,需要输入Common Name参数,此参数一定为当前主机的IP地址,否则将会显示证书错误。

    (2)  如果不想SSL在身份认证的时候检查主机名(也即上面不检查第1条中Common Name参数),则需要在启动订阅端的时候,加上“--insecure”参数,例如:

    ./mosquitto_sub-h 192.168.4.223 -i 111 -p 8883 -t "111" --cafile/home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key  --insecure

    (3)  自测过程中,server端与所有客户端所使用的证书必须由一个CA签发,否则,将会提示CA不识别的问题。

    问题提示为:

    1398166026:New connection from 192.168.4.221 on port 8883.

    1398166026:OpenSSL Error: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknownca

    1398166026:OpenSSL Error: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshakefailure

    1398166026:Socket error on client (null), disconnecting.

    如下图所示:

    [原]Mosquito使用SSL/TLS进行安全通信时的使用方法 - 逍遥子 - 逍遥子 曰:
  • 相关阅读:
    QQ
    本周最新文献速递20220410
    linux: x86_64condalinuxgnugcc: No such file or directory报错
    本周最新文献速递20220423
    R语言:group_by, summarise, arrange, slice
    plink: 计算多个SNP集的连锁不平衡(ld)
    perl: 安装 Math::GSL::SF 模块
    写出可复用代码的基本思想与实践
    理解设计模式之“道”
    如丝般顺滑:DDD再实践之类目树管理
  • 原文地址:https://www.cnblogs.com/li-baibo/p/3790464.html
Copyright © 2020-2023  润新知