EMQ X MQTT 服务器启用 SSL/TLS 安全连接

作为基于现代密码学公钥算法的安全协议，TLS/SSL 能在计算机通讯网络上保证传输安全，EMQ X 内置对 TLS/SSL 的支持，包括支持单/双向认证、X.509 证书、负载均衡 SSL 等多种安全认证。你可以为 EMQ X 支持的所有协议启用 SSL/TLS，也可以将 EMQ X 提供的 HTTP API 配置为使用 TLS。本文将介绍如何在 EMQ X 中为 MQTT 启用 TLS。

SSL/TLS 带来的安全优势

• 强认证。 用 TLS 建立连接的时候，通讯双方可以互相检查对方的身份。在实践中，很常见的一种身份检查方式是检查对方持有的 X.509 数字证书。这样的数字证书通常是由一个受信机构颁发的，不可伪造。

• 保证机密性。TLS 通讯的每次会话都会由会话密钥加密，会话密钥由通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露，并不影响其他会话的安全性。

• 完整性。 加密通讯中的数据很难被篡改而不被发现。

SSL/TLS 协议

TLS/SSL 协议下的通讯过程分为两部分，第一部分是握手协议。握手协议的目的是鉴别对方身份并建立一个安全的通讯通道。握手完成之后双方会协商出接下来使用的密码套件和会话密钥；第二部分是 record 协议，record 和其他数据传输协议非常类似，会携带内容类型，版本，长度和荷载等信息，不同的是它所携带的信息是加密了的。

下面的图片描述了 TLS/SSL 握手协议的过程，从客户端的 “hello” 一直到服务器的 “finished” 完成握手。有兴趣的同学可以找更详细的资料看。对这个过程不了解也并不影响我们在 EMQ X 中启用这个功能。

SSL/TLS 证书准备

通常来说，我们会需要数字证书来保证 TLS 通讯的强认证。数字证书的使用本身是一个三方协议，除了通讯双方，还有一个颁发证书的受信第三方，有时候这个受信第三方就是一个 CA。和 CA 的通讯，一般是以预先发行证书的方式进行的。也就是在开始 TLS 通讯的时候，我们需要至少有 2 个证书，一个 CA 的，一个 EMQ X 的，EMQ X 的证书由 CA 颁发，并用 CA 的证书验证。

获得一个真正受外界信任的证书需要到证书服务提供商进行购买。在实验室环境，我们也可以用自己生成的证书来模拟这个过程。下面我们分别以这两种方式来说明 EMQ X 服务器的 SSL/TLS 启用过程。

注意： 购买证书与自签名证书的配置，读者根据自身情况只需选择其中一种进行测试。

购买证书

如果有购买证书的话，就不需要自签名证书。

为方便 EMQ X 配置，请将购买