如何设置MQTT的TLS加密?

最新推荐文章于 2025-11-15 04:32:52 发布
原创 最新推荐文章于 2025-11-15 04:32:52 发布 · 1.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#MQTT

以下是完整的 MQTT TLS 加密配置方案,涵盖 Laravel 服务端、STM32 硬件端和 Mosquitto 代理服务器 的配置步骤:

1. Mosquitto MQTT Broker 的 TLS 配置

(1) 生成 TLS 证书(Linux 环境)
# 生成 CA 根证书(自签名)
openssl req -new -x509 -days 3650 -extensions v3_ca -keyout ca.key -out ca.crt

# 生成服务器端证书
openssl genrsa -out server.key 2048
openssl req -new -out server.csr -key server.key
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365

# 生成客户端证书(可选双向认证)
openssl genrsa -out client.key 2048
openssl req -new -out client.csr -key client.key
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -out client.crt -days 365
(2) 配置 Mosquitto (/etc/mosquitto/mosquitto.conf)
listener 8883  # TLS 默认端口
cafile /path/to/ca.crt
certfile /path/to/server.crt
keyfile /path/to/server.key

# 可选:强制客户端证书验证(双向认证)
require_certificate true
use_identity_as_username true
(3) 重启 Mosquitto
sudo systemctl restart mosquitto

2. Laravel 端 PHP-MQTT 客户端配置

(1) 安装依赖
composer require php-mqtt/laravel-client
(2) 配置 TLS 参数 (config/mqtt.php)
return [
    'host' => env('MQTT_HOST', 'mqtt.example.com'),
    'port' => env('MQTT_PORT', 8883),  // TLS 端口
    'tls' => true,
    'ca_cert' => env('MQTT_CA_CERT', '/path/to/ca.crt'),
    
    // 双向认证时需配置
    'client_cert' => env('MQTT_CLIENT_CERT', '/path/to/client.crt'),
    'client_key' => env('MQTT_CLIENT_KEY', '/path/to/client.key'),
];

3. STM32 端 TLS 配置(基于 ESP8266/ESP32)

(1) 加载 CA 证书到 Flash
// 将 ca.crt 转换为 C 数组(使用 xxd 工具)
xxd -i ca.crt > ca_cert.h

// 在代码中引用
const char ca_cert[] = "-----BEGIN CERTIFICATE-----\n"
                       "MII...(证书内容)...\n"
                       "-----END CERTIFICATE-----\n";
(2) ESP8266 AT 指令配置 TLS
// 设置 WiFi 和 MQTT
AT+CWJAP="WIFI_SSID","WIFI_PASS"
AT+MQTTUSERCFG=0,1,"clientID","username","password",0,0,""
AT+MQTTSSLCFG=0,1,2  // 启用单向 TLS 验证

// 加载 CA 证书
AT+MQTTSSLCERT=0,"-----BEGIN CERTIFICATE-----\nMII...\n-----END CERTIFICATE-----"

// 连接 MQTT Broker
AT+MQTTCONN=0,"mqtt.example.com",8883,1
(3) 使用 ESP32 的 Arduino 库(更简单)
#include <WiFiClientSecure.h>
WiFiClientSecure client;
client.setCACert(ca_cert);  // 加载 CA 证书

PubSubClient mqtt(client);
mqtt.connect("clientId", "username", "password");

4. 测试 TLS 连接

(1) 用 OpenSSL 测试 Broker
openssl s_client -connect mqtt.example.com:8883 -showcerts
(2) Mosquitto 客户端测试
# 单向认证
mosquitto_sub -h mqtt.example.com -p 8883 -t "test" --cafile ca.crt

# 双向认证
mosquitto_sub -h mqtt.example.com -p 8883 -t "test" \
  --cafile ca.crt --cert client.crt --key client.key
(3) STM32 端测试
  • 使用串口调试工具查看 ESP8266 的 AT 指令返回状态
  • 确保 MQTT 连接返回 +MQTTCONNECTED: 0,0

5. 安全增强措施

措施实现方式
证书轮换每 3-6 个月更新证书
双向认证Mosquitto 配置 require_certificate true,STM32 加载客户端证书
禁用旧 TLS 版本在 Mosquitto 配置中限制协议:tls_version tlsv1.2
OCSP 验证使用公共 CA(如 Let’s Encrypt)替代自签名证书

常见问题解决

  1. STM32 连接失败

    • 检查 CA 证书格式(必须是 PEM 格式)
    • 确认 ESP8266 固件支持 TLS(建议使用 AT 固件 v2.2.0+)

  2. Laravel 报错 SSL handshake failed

    • 运行 openssl s_client 验证 Broker 证书是否有效
    • 检查 PHP 的 OpenSSL 扩展是否安装

  3. 双向认证配置

    • Mosquitto 和 STM32 需同时配置客户端证书
    • Laravel 的 mqtt.php 需填写 client_certclient_key

通过以上步骤, Laravel + STM32 MQTT 通信 将实现企业级 TLS 加密,有效防止中间人攻击和数据泄露。

ARM海思MQTT开发系列(三)MQTT服务器加密TLS支持与测试
一只海星的主页
03-11 1264
背景 上一节我们调通MQTT基本功能,真正要用了,总不能裸奔吧 所以,搞tls支持~ 加密介绍 关于加密解密SSL/TLS,对称非对称、公钥私钥、签名验签你想知道的加密全在这里 Configure SSL/TLS support for Mosquitto 这里参考官方文档就好了 生成ca证书和密钥: 日期自选,单位天 openssl req -new -x509 -days 3650 -extensions v3_ca -keyout ca.key -out ca.crt 服务器 生成服务器私钥: op
Mqtt通信协议详解(8.1)
weixin_57246604的博客
04-09 5747
mqtt通信协议介绍,通信过程,QoS等级详解,通信安全保证方式
利用MQTT和SSL/TLS实现数据加密
scoone的博客
11-18 3090
通过以上步骤,我们成功地为物联网设备搭建了一个基于MQTT协议和SSL/TLS加密的安全通信环境。这有助于保护数据在传输过程中的安全性,确保物联网系统的稳定运行。随着物联网(IoT)技术的飞速发展,越来越多的设备接入网络,进行数据交换和处理。(1)将证书文件(server.crt)、私钥文件(server.key)和CA证书(ca.crt)放置在Mosquitto的配置目录下。SSL/TLS(安全套接字层/传输层安全)是一种广泛应用于网络通信的加密技术,可以有效保障数据在传输过程中的安全性。
非常详细的MQTT+TLS(一)----MQTT
ZR
08-27 1万+
非常详细的MQTT+TLS----MQTT篇 首先要说明的是,MQTT是一个构建在TCP/IP之上的轻量消息协议,也就是说我们要创建MQTT协议之前需要创建TCP连接。在TCP连接之上再创建MQTT通信。 1、MQTT移植: 如图是我们从github下载到的MQTT包。第一次接触的人一定和我一样一脸懵逼,现在 我很负责任的告诉你,你只需要关注如下两个文件夹。在移植时我们需要将【MQTTPacket】→【src】下面的文件移植到我们的自己平台上,这些文件可以理解成是对接MQTT的公共文件包,不管你是什么平台
【免费下载】 EMQX/NanoMQ 中的 SSL/TLS 安全通信配置指南
最新发布
gitblog_01050的博客
11-15 508
在现代物联网和消息通信系统中,数据传输安全至关重要。EMQX/NanoMQ 作为高性能的 MQTT 消息中间件,支持通过 SSL/TLS 协议为通信提供安全保障。本文将深入解析 SSL/TLS 的工作原理,并详细介绍如何在 NanoMQ 中配置双向认证。 ## SSL/TLS 基础概念 SSL(Secure Socket Layer)和 TLS(Transport Layer Security
基于MQTT协议的SSL/TLS加密传输的讨论
热门推荐
嫌疑人X的解忧杂货店
04-27 2万+
本文就MQTT到底单向加密还是双向加密做一个简单的讨论。具体mqtt加密的搭建过程,请参考: https://blog.youkuaiyun.com/sullivan_jia/article/details/80103813 到底是单项加密还是双向加密?我们要从不同的角度去分析这件事情。但是在分析之前,我们还是有必要回顾一下基础知识。 SSL/T...
工业物联网安全网关 —— 轻量级MQTT-TLS协议栈
qq_42568323的博客
04-18 910
随着工业物联网(IIoT)的迅速发展,设备之间的数据传输、远程监控和控制正越来越依赖于轻量级协议。MQTT作为一种低带宽、低延迟的轻量消息传输协议被广泛应用于工业物联网领域;而TLS(传输层安全协议)则为数据传输提供了可靠的加密保护。工业应用中要求协议栈具有低内存占用、快速响应以及高安全性,这促使我们设计一款“轻量级MQTT-TLS协议栈”,以实现设备间的安全通信并确保数据在互联网络中的传输不被窃取或篡改。
MQTT使用TLS加密
lhh2333的博客
11-15 5926
使用TLS加密MQTT的使用中是比较常见的,TLS加密过程在网上有很多说明,但是没几个应用教程的,MQTT软件中的EMQX软件是支持TLS加密的,只不过要进行一些设置
MQTTTLS/SSL
qq_31532979的贺公子之数据科学与艺术博客,致力于科技向善,拥抱开源,要用技术的影响力来领导团队,而不是威权和职位!
04-26 3426
相比之下,MQTT 的发布/订阅模式和多种 QoS 级别虽然非常适合物联网设备间的异步通信,但在一些设备或平台对 MQTT 支持不足的情况下,可能需要额外的工作来实现兼容或转换。总结来说,MQTT 在消息保证、连接会话管理和安全实现等方面确实存在一定的挑战和局限性,特别是在大规模部署时,可能会面临性能瓶颈、资源消耗、设备兼容性等问题。综上所述,MQTTTLS/SSL 的依赖体现在它借助这些安全协议提供的功能来保障通信的私密性、完整性和真实性,确保 IoT 环境中的设备、应用和服务能够安全地交换信息。
物联网安全:从MQTT协议到TLS加密实战
shejizuopin的博客
04-16 1185
MQTT是一种基于发布/订阅模式的消息传输协议,专为低带宽、高延迟或不稳定网络环境设计。它主要由发布者、订阅者和代理服务器(Broker)三部分组成。发布者负责发布消息,订阅者负责订阅消息,而代理服务器则负责消息的传递和管理。TLS是一种加密通信协议,用于保护网络通信的安全性和完整性。它建立在传输控制协议(TCP)之上,提供端到端的加密和身份验证。TLS通过使用加密算法和数字证书进行数据保护和身份验证,确保通信的安全性。物联网安全是物联网技术发展的重要保障。
MQTT在多linux主机的TLS加密通讯实现
mcai33的博客
08-19 852
拓扑结构是局域网主机R3600发布消息,局域网主机vm-ubuntu和公网主机VM-0-2-ubuntu订阅消息。肯定是可以的,不然不可能为这么多client单独生成证书,正常应该是签名好的证书由CA发放给client。结束当前broker进程,并重新启动(也许上面配置文件改完就生效不用重新启动,未验证)cert.sh脚本;注意"/CN=server" 替换为server的IP地址。生成过程,其中"/CN=server"替换为了公网主机的公网地址。主要分为3类文件,分别为。如下现象表示测试成功。...
MQTT带上加密的例子
03-29
android MQTT 带SSL加密连接例子demo,该demo是从实际项目中抽取出来的
基于MQTT的数据加密传输算法
05-06
提出了一种改进MQTT协议的数据传输加密算法MQTT-EA (MQTT Encryption Algorithms).该算法中,物联网设备端与服务器端随机生成自己的私钥,然后相互通知对方自己的私钥并通过算法组合成最终的会话主密钥,通过DES加密、解密,传输安全数据.模拟了敌手A、B对数据传输过程进行攻击,验证了在会话密钥生成算法没有泄露的前提下MQTT-EA是安全的.
MQTT TLS加密实现的C语言驱动教程
描述“MQTTTLS加密c语言驱动”表明该压缩包包含了实现MQTT协议消息交换的TLS加密功能的C语言源代码。使用C语言编写的驱动程序具有性能好、资源占用低的特点,对于嵌入式系统和资源受限的环境尤其适合。驱动程序将...
QtMqtt使用SSL加密协议传输教程
dzqxwzoe的博客
03-04 3110
Qt开发MQTT程序有两种方式,一个是Qt官方提供的基于MQTT的封装,一个是第三方(EMQ)开发的用于Qt调用MQTT的接口,二者使用方法大同小异,并且均提供了源码。最好使用Qt官方提供的封装来使用MQTT。到这里终于实现了SS来加密,不用的QT版本connectToHostEncrypted();参数形式不同,具体的还是要参考QT官方文档。其实有几种方法:// ...// ...我使用的是第一种方式,测试成功。
一文解析MQTT协议的安全机制
2401_87844781的博客
11-25 2071
MQTT(Message Queuing Telemetry Transport)协议的安全机制主要包括以下几个方面:
MQTT从入门到提高系列 | 02】MQTT3.1.1TLS加密传输
机器未来的博客
07-08 3317
本文记录了如何快速构建MQTT TLS安全加密通讯。
MQTT物联网平台实现设备连接与安全加密
wtbl007的博客
03-19 491
只有双方都通过认证,才能建立安全的加密连接,有效防止未授权的访问、数据泄露和窃听。通过将工业智能网关接入到PLC、仪器仪表、工业机器人、传感器、数控机床等设备,实时数据采集并通过网络(5G/4G/WIFI/以太网等)上传到MQTT物联网平台中,从而实现设备远程监控、管理、控制、维护以及数据分析等功能,具备灵活性、广泛性、安全性等优势。1、支持全状态包检测(SPI)、防范拒绝服务(DoS)攻击、过滤多播/Ping探测包、源端口映射、目的端口映射、DMZ,访问控制功能(ACL)、IP-MAC绑定。
MQTT SSL加密单双向认证
weixin_43732709的博客
11-03 9574
环境 openssl 交叉编译 ./config no-asm shared linux-armv4 no-async – prefix=/home/openssl-master/nuc980 // linux-armv4 =>>target // no-async>undefined reference ***context paho mqtt-c 交叉编译 cmake … -DPAHO_BUILD_STATIC=TRUE -DPAHO_WITH_SSL=TRUE - DCMKAE
MQTT tls
08-15
<think>我们正在处理一个关于配置MQTT协议中TLS安全传输功能的问题。用户希望了解MQTT TLS的配置方法以实现安全连接。根据提供的引用,我们可以总结出以下关键点: 1. TLS/SSL为MQTT提供安全传输保障,包括强认证、机密性和完整性。 2. 配置过程中涉及证书管理(如X.509证书)、加密套件选择等。 3. 具体配置方法可能因MQTT服务器软件不同而有所差异(例如EMQX、Mosquitto)。 根据引用[4],EMQX MQTT服务器启用TLS的步骤大致包括: - 准备证书(服务器证书、CA证书等) - 修改EMQX配置文件以指定证书路径和密钥 - 配置TLS监听端口(默认8883) - 重启服务 引用[3]提到在Ubuntu下使用Mosquitto配置MQTT TLS双向认证,说明Mosquitto也是常用的MQTT服务器之一。 因此,我们可以分两个部分回答:通用配置原则和具体服务器(EMQX和Mosquitto)的配置示例。 注意:由于用户问题中没有指定具体的MQTT服务器,我们将提供通用方法和两种常见服务器的配置示例。</think>### MQTT TLS 安全连接配置指南 #### 一、TLSMQTT 中的作用 TLS/SSL 协议为 MQTT 通信提供三重安全保障: 1. **强认证**:通过 X.509 证书验证通信双方身份,防止中间人攻击[^4] 2. **机密性**:会话密钥加密传输数据,确保第三方无法窃听 3. **完整性**:HMAC 算法防止数据在传输中被篡改[^2] #### 二、通用配置步骤 1. **证书准备**: - 服务器端:准备服务器证书(`server.crt`)和私钥(`server.key`) - 客户端(双向认证):客户端证书(`client.crt`)和私钥(`client.key`) - CA 证书:受信任的根证书(`ca.crt`) 2. **服务器配置**(以 EMQX 为例): ```bash # emqx.conf 配置示例 listener.ssl.external = 8883 listener.ssl.external.keyfile = etc/certs/server.key listener.ssl.external.certfile = etc/certs/server.crt listener.ssl.external.cacertfile = etc/certs/ca.crt # 启用双向认证(可选) listener.ssl.external.verify = verify_peer ``` 3. **客户端连接示例**(Python Paho): ```python import ssl import paho.mqtt.client as mqtt context = ssl.create_default_context() context.load_verify_locations("certs/ca.crt") # 加载CA证书 context.load_cert_chain("certs/client.crt", "certs/client.key") # 双向认证 client = mqtt.Client(ssl_protocol=ssl.PROTOCOL_TLS) client.tls_set_context(context) client.connect("mqtt.example.com", 8883, 60) ``` #### 三、安全增强建议 1. **加密套件配置**: - 优先使用 ECDHE 密钥交换算法 - 禁用弱加密算法(如 RC4、MD5) ```bash # Mosquitto 配置示例 ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384 ``` 2. **证书管理**: - 使用 2048 位以上 RSA 密钥或 ECC 证书 - 设置合理的证书有效期(建议 ≤ 1 年) - 启用 CRL/OCSP 证书吊销检查[^1] 3. **协议限制**: - 禁用 SSLv2/SSLv3,强制使用 TLSv1.2+ ```bash # EMQX 配置 listener.ssl.external.tls_versions = tlsv1.3,tlsv1.2 ``` #### 四、验证与调试 1. **连接测试工具**: ```bash openssl s_client -connect mqtt-server:8883 -CAfile ca.crt ``` 2. **Wireshark 抓包分析**: - 过滤条件:`tls and mqtt` - 验证 TLS 握手过程及加密报文[^3] > **注意**:配置完成后需重启 MQTT 服务,并在防火墙开放 8883 端口。生产环境建议使用双向认证(mTLS)提升安全性[^4]。 [^1]: MQTT 服务提供商或系统管理员可以根据实际需求配置 TLS/SSL 相关的安全参数,如支持的加密套件、证书类型、密码强度等。 [^2]: TLS 加密模块为传输数据提供安全加密保护,安全日志模块记录各项关键操作。 [^3]: Wireshark 抓包和 TLS 协议深度解析是验证配置的有效手段。 [^4]: EMQX 内置对 TLS/SSL 的支持,包括支持单/双向认证、X.509 证书等多种安全认证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值