Mosquitto服务器的搭建以及SSL/TLS安全通信配置
摘自:https://segmentfault.com/a/1190000005079300
8k 次阅读 · 读完需要 22 分钟
1、 SSL简介
SSL(SecureSocket Layer)安全套接层,是网景公司提出的用于保证Server与client之间安全通信的一种协议,该协议位于TCP/IP协议与各应用层协议之间,即SSL独立于各应用层协议,因此各应用层协议可以透明地调用SSL来保证自身传输的安全性,SSL与TCP/IP协议及其其他应用层协议之间的关系如图1所示。
图1 SSL/TLS协议与应用层协议及tcp/ip层协议的关系
目前,SSL被大量应用于http的安全通信中,MQTT协议与http协议同样属于应用层协议,因此也可以像http协议一样使用ssl为自己的通信提供安全保证。
SSL与TLS(Transport LayerSecurity Protocol)之间的关系:
TLS(TransportLayer Security,传输层安全协议)是IETF(InternetEngineering Task Force,Internet工程任务组)制定的一种新的协议,它建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本。在TLS与SSL3.0之间存在着显著的差别,主要是它们所支持的加密算法不同,所以TLS与SSL3.0不能互操作。
开源的算法Openssl对SSL以及TLS1.0都能提供较好的支持,因此,后面使用mosquitto时也采用Openssl作为SSL的实现。
2、 Openssl安装与常用命令说明
2.1、安装
在ubuntu14.04上安装Openssl的命令如下:
apt-get install openssl-devel
注意在安装的时候要安装“openssl-devel”,而不是“openssl”。
安装成功之后可以使用如下命令查看openssl的版本:
w@w:~$ openssl version
OpenSSL 1.0.1f 6 Jan 2014
2 Mosquito使用ssl功能的具体操作方法
将使用:A【cddserver2】(172.18.206.221),B【cddserver3】(172.18.195.182)和C【cddserver1】(172.18.205.63)这三台机子,其中使用A制作CA证书;B作为服务器端上运行mosquitto实例,在C上运行一个订阅端,一个发布端。
2.1、产生CA的key和证书文件
使用命令为:
openssl req -new -x509 -days 36500-extensions v3_ca -keyout ca.key -out ca.crt
该命令将为CA产生一个名字为“ca.key”的key文件和一个名字为“ca.crt”的证书文件,这个crt就是CA自己给自己签名的证书文件。
该命令中选项“-x509”表示该条命令将产生自签名的证书,一般都是测试的时候采用。
命令执行过程中将需要输入国别、省份(或州)、市、Common Name等参数,其中最需要注意的是” Common Name”这个参数,它必须是当前机子的IP地址,使用主机名不行。如下截图所示
特别要注意的是Common Name参数需要填写主机的IP地址,使用主机名不行。
本步结束即产生自己的CA,它有两个文件“ca.key“和”ca.crt“:
2.2、使用自己产生的CA为server签发证书
将3.1中产生的CA文件拷贝mosquitto server所在机子上(其主机名字为cddserver3)的某个位置,例如:/home/lvhao/w/ssl,然后使用该CA为server产生证书文件。如下截图所示:
(1)产生密钥文件server.key,为了减少测试过程中总是提出输入密码的麻烦,这里将为server产生一个不加密的密钥文件。过程如下截图所示:
该命令将产生一个不加密的RSA私钥,其中参数“2048”表示私钥的长度,这里产生的私钥文件“server.key”将在下一步使用,同时在mosquitto程序的配置文件中也需要使用。opensslgenrsa -out server.key 2048
图2-4
如果需要为产生的RSA私钥加密,则需加上选项“-des3”,对私钥文件加密之后,后续使用该密钥的时候都要求输入密码。产生加密RSA私钥文件的命令如下:
opensslgenrsa -des3 -out server.key 2048
如果为RSA私钥文件加密了,则一定要记好密码,后面产生csr文件时以及后续使用该私钥文件都会用到该密码。
(2)产生证书签发的请求文件server.csr。过程如下截图所示:
该命令将使用上一步产生的“server.key”文件为server产生一个签发证书所需要的请求文件:server.csr,使用该文件向CA发送请求才会得到CA签发的证书。
opensslreq -out server.csr -key server.key -new
图2-5
同样该过程需要注意Common Name参数需要填写当前主机的IP地址。
(3)为mosquitto server产生证书文件:server.crt,这一步将需要输入CA的密码,同样,这里也可以看到刚才为CA输入的参数国别、省份等参数,过程如下截图所示:
openssl x509 -req -in server.csr -CA ca.crt-CAkey ca.key -CAcreateserial -out server.crt -days 36500
该命令将使用CA的密钥文件ca.key,CA的证书文件ca.crt和上一步为mosquitto server产生证书请求文件server.csr文件这三个文件向CA请求产生一个证书文件,证书文件的名字为:server.crt。该命令中的36500可以修改为自己定义的时间值。
图2-6
2.3、使用自己产生的CA为client签发证书该过程与3.2类似。
首先,将3.1中产生的CA文件拷贝mosquittoclient所在机子C(其主机名字为cddserver1)上的某个位置,例如:/home/lvhao/w/ssl,然后使用该CA为server产生证书文件。如下截图所示:
图2-7
(1) 产生密钥文件client.key,过程如下截图所示:
openssl genrsa-out client.key 2048
(2) 产生一个签发证书的请求文件”client.csr “
openssl req-out client.csr -key client.key-new
产生证书请求文件时需要第一步产生的私钥文件client.key作为输入。
(3) CA为mosquitto客户端产生一个证书文件”client.crt”
opensslx509 -req -in client.csr-CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 36500
2.4、修改mosquitto配置文件
为了使用SSL功能Mosquito的配置文件mosquitto.conf需要修改以下四个地方:
(1) port 参数,mosquitto官方网站建议在使用功能的时候使用8883端口,如下所示:
(2) 修改cafile参数,该参数表示CA的证书文件的位置,需将其设置为正确的位置,例如下图所示
2.5、运行程序
(1)启动mosquitto server端【机器B】
使用修改后的配置文件启动mosquitto程序,上面修改的配置文件的路径,在mosquitto目录下,因此需要用-c参数指定其位置,如下图所示:
(2)启动订阅端【机器C】:
订阅端所在ssl文件的路径为:/home/jason.hou/ssl,启动时所使用的命令为:
./mosquitto_sub -h 172.18.195.182 -i 111 -p 8883 -t "111" --cafile /home/lvhao/w/ssl/ca.crt --cert /home/lvhao/w/ssl/client.crt --key /home/lvhao/w/ssl/client.key
如下图所示:
(4)启动发布端【机器C】
启动时所使用的命令为:
./mosquitto_pub -h 172.18.195.182 -p 8883 -t "111" -m "this is w show"--cafile /home/lvhao/w/ssl/ca.crt --cert /home/lvhao/w/ssl/client.crt --key /home/lvhao/w/ssl/client.key
如下图所示:
(5) 发布消息之后,mosquitto、订阅端、发布端的截图如下:
Mosquito:
发布端【机器C】:
订阅端【机器C】:
1、 注意事项
(1) 制作签发证书的请求文件时,需要输入Common Name参数,此参数一定为当前主机的IP地址,否则将会显示证书错误。
(2) 如果不想SSL在身份认证的时候检查主机名(也即上面不检查第1条中Common Name参数),则需要在启动订阅端的时候,加上“–insecure”参数,例如:
./mosquitto_sub-h 192.168.4.223 -i 111 -p 8883 -t “111” –cafile/home/jason.hou/ssl/ca.crt –cert /home/jason.hou/ssl/client.crt –key/home/jason.hou/ssl/client.key –insecure
(3) 自测过程中,server端与所有客户端所使用的证书必须由一个CA签发,否则,将会提示CA不识别的问题。
3 Mosquitto的安装:
见网址:
http://blog.csdn.net/xukai871…
3.1 安装
下载源代码包
wget http://mosquitto.org/files/source/mosquitto-1.4.10.tar.gz
解压
tar zxfv mosquitto-1.4.5.tar.gz
进入目录
cd mosquitto-1.4.10
编译
make
安装
sudo make install
3.2 安装注意点
【1】编译找不到openssl/ssl.h
【解决方法】——安装openssl
sudo apt-get install libssl-dev
【2】编译过程找不到ares.h
sudo apt-get install libc-ares-dev
【3】编译过程找不到uuid/uuid.h
sudo apt-get install uuid-dev
【4】使用过程中找不到libmosquitto.so.1
error while loading shared libraries: libmosquitto.so.1: cannot open shared object file: No such file or directory
【解决方法】——修改libmosquitto.so位置
创建链接
sudo ln -s /usr/local/lib/libmosquitto.so.1 /usr/lib/libmosquitto.so.1
更新动态链接库
sudo ldconfig
【5】make: g++:命令未找到
【解决方法】安装g++编译器
sudo apt-get install g++
3.2 简单测试
一个完整的MQTT示例包括一个代理器,一个发布者和一个订阅者。测试分为以下几个步骤:
【1】启动服务mosquitto。
【2】订阅者通过mosquitto_sub订阅指定主题的消息。
【3】发布者通过mosquitto_pub发布指定主题的消息。
【4】代理服务器把该主题的消息推送到订阅者。
【测试说明】
测试环境:ubuntu 14.04 虚拟机
在本例中,发布者、代理和订阅者均为localhsot,但是在实际的情况下三种并不是同一个设备,在mosquitto中可通过-h(–host)设置主机名称(hostname)。为了实现这个简单的测试案例,需要在linux中打开三个控制台,分别代表代理服务器、发布者和订阅者。
3.2.1 启动代理服务
mosquitto -v
【-v】打印更多的调试信息
3.2.2 订阅主题
mosquitto_sub -v -t sensor
【-t】指定主题,此处为sensor
【-v】打印更多的调试信息
3.2.3 发布内容
mosquitto_pub -t sensor -m 12
【-t】指定主题
【-m】指定消息内容
3.2.4 运行结果
当发布者推送消息之后,订阅者获得以下内容
sensor 12
而代理服务器控制台中会出现——连接、消息发布和心跳等调试信息。通过代理服务器的调试输出可以对MQTT协议的相关过程有所了解。
4 总结
服务器Apollo与Mosquitto的对比。