如何设置MQTT的TLS加密?

最新推荐文章于 2025-05-27 19:50:11 发布
最新推荐文章于 2025-05-27 19:50:11 发布
阅读量699 收藏 10
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 物联网 STM32 文章标签: MQTT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jjj_web/article/details/147995536

以下是完整的 MQTT TLS 加密配置方案,涵盖 Laravel 服务端、STM32 硬件端和 Mosquitto 代理服务器 的配置步骤:

1. Mosquitto MQTT Broker 的 TLS 配置

(1) 生成 TLS 证书(Linux 环境)
# 生成 CA 根证书(自签名)
openssl req -new -x509 -days 3650 -extensions v3_ca -keyout ca.key -out ca.crt

# 生成服务器端证书
openssl genrsa -out server.key 2048
openssl req -new -out server.csr -key server.key
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365

# 生成客户端证书(可选双向认证)
openssl genrsa -out client.key 2048
openssl req -new -out client.csr -key client.key
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -out client.crt -days 365
(2) 配置 Mosquitto (/etc/mosquitto/mosquitto.conf)
listener 8883  # TLS 默认端口
cafile /path/to/ca.crt
certfile /path/to/server.crt
keyfile /path/to/server.key

# 可选:强制客户端证书验证(双向认证)
require_certificate true
use_identity_as_username true
(3) 重启 Mosquitto
sudo systemctl restart mosquitto

2. Laravel 端 PHP-MQTT 客户端配置

(1) 安装依赖
composer require php-mqtt/laravel-client
(2) 配置 TLS 参数 (config/mqtt.php)
return [
    'host' => env('MQTT_HOST', 'mqtt.example.com'),
    'port' => env('MQTT_PORT', 8883),  // TLS 端口
    'tls' => true,
    'ca_cert' => env('MQTT_CA_CERT', '/path/to/ca.crt'),
    
    // 双向认证时需配置
    'client_cert' => env('MQTT_CLIENT_CERT', '/path/to/client.crt'),
    'client_key' => env('MQTT_CLIENT_KEY', '/path/to/client.key'),
];

3. STM32 端 TLS 配置(基于 ESP8266/ESP32)

(1) 加载 CA 证书到 Flash
// 将 ca.crt 转换为 C 数组(使用 xxd 工具)
xxd -i ca.crt > ca_cert.h

// 在代码中引用
const char ca_cert[] = "-----BEGIN CERTIFICATE-----\n"
                       "MII...(证书内容)...\n"
                       "-----END CERTIFICATE-----\n";
(2) ESP8266 AT 指令配置 TLS
// 设置 WiFi 和 MQTT
AT+CWJAP="WIFI_SSID","WIFI_PASS"
AT+MQTTUSERCFG=0,1,"clientID","username","password",0,0,""
AT+MQTTSSLCFG=0,1,2  // 启用单向 TLS 验证

// 加载 CA 证书
AT+MQTTSSLCERT=0,"-----BEGIN CERTIFICATE-----\nMII...\n-----END CERTIFICATE-----"

// 连接 MQTT Broker
AT+MQTTCONN=0,"mqtt.example.com",8883,1
(3) 使用 ESP32 的 Arduino 库(更简单)
#include <WiFiClientSecure.h>
WiFiClientSecure client;
client.setCACert(ca_cert);  // 加载 CA 证书

PubSubClient mqtt(client);
mqtt.connect("clientId", "username", "password");

4. 测试 TLS 连接

(1) 用 OpenSSL 测试 Broker
openssl s_client -connect mqtt.example.com:8883 -showcerts
(2) Mosquitto 客户端测试
# 单向认证
mosquitto_sub -h mqtt.example.com -p 8883 -t "test" --cafile ca.crt

# 双向认证
mosquitto_sub -h mqtt.example.com -p 8883 -t "test" \
  --cafile ca.crt --cert client.crt --key client.key
(3) STM32 端测试
  • 使用串口调试工具查看 ESP8266 的 AT 指令返回状态
  • 确保 MQTT 连接返回 +MQTTCONNECTED: 0,0

5. 安全增强措施

措施实现方式
证书轮换每 3-6 个月更新证书
双向认证Mosquitto 配置 require_certificate true,STM32 加载客户端证书
禁用旧 TLS 版本在 Mosquitto 配置中限制协议:tls_version tlsv1.2
OCSP 验证使用公共 CA(如 Let’s Encrypt)替代自签名证书

常见问题解决

  1. STM32 连接失败

    • 检查 CA 证书格式(必须是 PEM 格式)
    • 确认 ESP8266 固件支持 TLS(建议使用 AT 固件 v2.2.0+)

  2. Laravel 报错 SSL handshake failed

    • 运行 openssl s_client 验证 Broker 证书是否有效
    • 检查 PHP 的 OpenSSL 扩展是否安装

  3. 双向认证配置

    • Mosquitto 和 STM32 需同时配置客户端证书
    • Laravel 的 mqtt.php 需填写 client_certclient_key

通过以上步骤, Laravel + STM32 MQTT 通信 将实现企业级 TLS 加密,有效防止中间人攻击和数据泄露。

工业物联网安全网关 —— 轻量级MQTT-TLS协议栈
qq_42568323的博客
04-18 604
随着工业物联网(IIoT)的迅速发展,设备之间的数据传输、远程监控和控制正越来越依赖于轻量级协议。MQTT作为一种低带宽、低延迟的轻量消息传输协议被广泛应用于工业物联网领域;而TLS(传输层安全协议)则为数据传输提供了可靠的加密保护。工业应用中要求协议栈具有低内存占用、快速响应以及高安全性,这促使我们设计一款“轻量级MQTT-TLS协议栈”,以实现设备间的安全通信并确保数据在互联网络中的传输不被窃取或篡改。
Mqtt通信协议详解(8.1)
weixin_57246604的博客
04-09 5535
mqtt通信协议介绍,通信过程,QoS等级详解,通信安全保证方式
非常详细的MQTT+TLS(一)----MQTT
ZR
08-27 1万+
非常详细的MQTT+TLS----MQTT篇 首先要说明的是,MQTT是一个构建在TCP/IP之上的轻量消息协议,也就是说我们要创建MQTT协议之前需要创建TCP连接。在TCP连接之上再创建MQTT通信。 1、MQTT移植: 如图是我们从github下载到的MQTT包。第一次接触的人一定和我一样一脸懵逼,现在 我很负责任的告诉你,你只需要关注如下两个文件夹。在移植时我们需要将【MQTTPacket】→【src】下面的文件移植到我们的自己平台上,这些文件可以理解成是对接MQTT的公共文件包,不管你是什么平台
[MQTT]服务器EMQX搭建SSL/TLS连接过程(wss://)
Better than yesterday.
06-03 5541
一、采用8084端口进行连接,是EMQX 默认提供了四个常用的监听器之一,如果需要添加其他类型的监听器,可参考官方文档 二、使用自签名CA,需要提前在Linux系统上安装OpenSSL,具体安装教程请自行搜索 三、采用SSL/TLS连接,需要提前在EMQX上启用,可参考链接如下
MQTTTLS证书双向验证
最新发布
tutou_girl的博客
05-27 239
客户端不验证服务器端身份客户端和服务器互相验证身份SSL/TLS 客户端(例如浏览器或 Node.js 的 https 请求)在验证服务器证书时,会检查:服务器证书是否有效;证书中是否包含你连接使用的主机名或 IP 地址(通过 SAN 字段)。
MQTT从入门到提高系列 | 02】MQTT3.1.1TLS加密传输
机器未来的博客
07-08 3064
本文记录了如何快速构建MQTT TLS安全加密通讯。
【rt-thread网络】第3篇:mqtt加密通信
weixin_43810563的博客
04-06 1139
【代码】【rt-thread网络】第3篇:mqtt加密通信。
MQTT协议学习
weixin_56646002的博客
07-05 1159
最近在学习mqtt协议,看的是官方英文版的,写这篇博客就是为了将一些关键内容提取出来,以便日后的查询和复习,有需要的可以参考
EMQ Broker 如何配置MQTT加密认证,单向、双向加密
baiaiai0120的博客
06-17 1729
#EMQ Broker 如何配置MQTT加密认证,单向、双向加密 ##生成证书 ###自签名CA openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus (2 primes) ........................+++++ .+++++ e is 65537 (0x010001) openssl req -x509 -new -nodes -key ca.key -
物联网安全:从MQTT协议到TLS加密实战
shejizuopin的博客
04-16 832
MQTT是一种基于发布/订阅模式的消息传输协议,专为低带宽、高延迟或不稳定网络环境设计。它主要由发布者、订阅者和代理服务器(Broker)三部分组成。发布者负责发布消息,订阅者负责订阅消息,而代理服务器则负责消息的传递和管理。TLS是一种加密通信协议,用于保护网络通信的安全性和完整性。它建立在传输控制协议(TCP)之上,提供端到端的加密和身份验证。TLS通过使用加密算法和数字证书进行数据保护和身份验证,确保通信的安全性。物联网安全是物联网技术发展的重要保障。
mqtt-tls_mqtttls_mqtt_mqtt客户端_TLS
09-11
在描述中提到的“能够订阅tls加密过的数据和加密推送数据”,这意味着这个MQTT客户端具备处理TLS加密的能力。它能订阅通过TLS加密MQTT 主题,确保接收到的数据在传输过程中不被窃听或篡改。同时,客户端也能将...
ARM海思MQTT开发系列(三)MQTT服务器加密TLS支持与测试
一只海星的主页
03-11 1218
背景 上一节我们调通MQTT基本功能,真正要用了,总不能裸奔吧 所以,搞tls支持~ 加密介绍 关于加密解密SSL/TLS,对称非对称、公钥私钥、签名验签你想知道的加密全在这里 Configure SSL/TLS support for Mosquitto 这里参考官方文档就好了 生成ca证书和密钥: 日期自选,单位天 openssl req -new -x509 -days 3650 -extensions v3_ca -keyout ca.key -out ca.crt 服务器 生成服务器私钥: op
基于MQTT协议的SSL/TLS加密传输的讨论
热门推荐
嫌疑人X的解忧杂货店
04-27 2万+
本文就MQTT到底单向加密还是双向加密做一个简单的讨论。具体mqtt加密的搭建过程,请参考: https://blog.youkuaiyun.com/sullivan_jia/article/details/80103813 到底是单项加密还是双向加密?我们要从不同的角度去分析这件事情。但是在分析之前,我们还是有必要回顾一下基础知识。 SSL/T...
MQTT 协议安全
网络战争的博客
12-27 944
2. 身份认证:在MQTT连接建立时,进行客户端和服务器之间的身份验证,以确保通信双方的合法性。综上所述,通过使用TLS/SSL、身份认证、访问控制、消息加密和安全审计等措施,可以增强MQTT协议的安全性,确保通信的机密性、完整性和可靠性。1. 使用TLS/SSL:通过使用传输层安全协议(TLS)或安全套接层协议(SSL),可以对MQTT通信进行加密,防止数据被窃听和篡改。4. 消息加密:对于特别敏感的数据,可以在发布消息时进行端到端的加密,确保只有预期的接收方能够解密并查看消息内容。
MQTT broker搭建并用SSL加密
FlowingRiver
09-04 1090
系统为centos,基于emqx搭建broker,流程参考。安装好后,用ssl加密。进入,可以看到分别为。
2-基本控制篇(阿里云物联网平台)-STM32+EC800使用MQTT+SSL加密方式接入阿里云物联网平台(不验证服务器证书)
杨奉武的博客
03-28 2030
说明 阿里云的TCP和TCP+SSL方式连接MQTT服务器使用的端口号都是 1883; 如果使用SSL连接, 拼接的ClientID参数时 securemode=2 关于模组的SSL相关指令(自行学习哈) 程序测试 1.安装好模组 单片机通过串口2和GPRS模块通信; 单片机PA8引脚作为复位模组使用;PB15连接模组的开机引脚 (单片机)PA2 ---- (EC800K)RX; (单片机)PA3 ---- (EC800K)TX; (
【手把手教你搭建MQTT服务器 + 域名备案 + 申请与部署SSL证书】
qq_57238596的博客
12-06 9999
从0到1的整个过程 云服务器购买、emq服务器搭建、数据交互测试 域名购买与备案、SSL证书申请、emq部署SSL证书
探索Mbed TLS:嵌入式系统中的加密与安全通信
ScilogyHunter的博客
03-24 1541
Mbed TLS 是一个开源的加密库,旨在为嵌入式系统和资源受限的设备提供安全通信和加密功能。它支持多种加密算法(如AES、RSA、ECC)、哈希函数(如SHA-256)、随机数生成器以及SSL/TLS协议的实现。Mbed TLS 的设计目标是模块化、可移植和易于集成,使其成为嵌入式开发者的首选加密库。Mbed TLS 的模块化设计允许你根据需要启用或禁用特定功能。通过修改config.h文件,你可以自定义库的功能集,以减少资源占用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值