MQTT在多linux主机的TLS加密通讯实现

最新推荐文章于 2025-05-20 01:29:21 发布
原创 最新推荐文章于 2025-05-20 01:29:21 发布 · 694 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #运维

MQTT在多linux主机的TLS加密通讯实现

文章目录

环境

  • 局域网主机R3600:Ubuntu20
  • 局域网主机Ubuntu on VMware
  • 公网主机:118.195.183.14

TLS基础

组成

主要分为3类文件,分别为

  1. 证书文件,xxx.crt;其中有种特殊的证书,用于生成证书的证书一般叫ca.crt,certificate authority certificate的简写
  2. 秘钥,xxx.key
  3. 待签名证书,xxx.csr;certificate signing request的简写,一般csr需要发给CA去签名,签名后成为crt
思路
  1. 在服务端主机(这里为公网服务器broker)生成ca.key和ca.crt
  2. 在任意主机(这里同样选择公网服务器broker)生成server.key和server.csr
  3. 在服务端主机(这里为公网服务器broker)使用ca.key和ca.crt对server.csr进行签名生成server.crt
  4. 将server.key、server.crt和ca.crt 3个文件打包发给mqtt server
  5. 上面只对server侧进行单向验证,如果同时要对client端进行双向验证只需要将步骤234的server换为client即可
多client共用证书

肯定是可以的,不然不可能为这么多client单独生成证书,正常应该是签名好的证书由CA发放给client

过程

使用脚本生成证书
mkdir -p ~/cert
cd ~/cert
vi cert.sh
chmod u+x cert.sh
./cert.sh

cert.sh脚本;注意"/CN=server" 替换为server的IP地址

#!/usr/bin/env bash
# When OpenSSL prompts you for the Common Name for each certificate, use different names.

# CA key
openssl genrsa -out ca.key 2048
# CA csr
openssl req -new -subj "/CN=ca" -key ca.key -out ca.csr
# CA crt
openssl x509 -req -in ca.csr -out ca.crt -signkey ca.key -days 3650

# server key
openssl genrsa -out server.key 2048
# server.csr
openssl req -new -subj "/CN=server" -key server.key -out server.csr
# server.crt
openssl x509 -req -in server.csr -out server.crt -CA ca.crt -CAkey ca.key \
-CAcreateserial -days 3650
# server.crt verify
openssl verify -CAfile ca.crt  server.crt

# client key
openssl genrsa -out client.key 2048
# client.csr
openssl req -new -subj "/CN=client" -key client.key -out client.csr
# client.crt
openssl x509 -req -in client.csr -out client.crt -CA ca.crt -CAkey ca.key \
-CAcreateserial -days 3650
# client.crt verify
openssl verify -CAfile ca.crt  client.crt

生成过程,其中"/CN=server"替换为了公网主机的公网地址

image-20220818175423480

将生成的ca.crt, client.crt, client.key复制到各个client中备用

修改mosquitto.conf配置文件
sudo vi /etc/mosquitto/mosquitto.conf

新增如下内容

listener 8883
cafile /home/ubuntu/cert/ca.crt
certfile /home/ubuntu/cert/server.crt
keyfile /home/ubuntu/cert/server.key

# one-way or two-way authentication
require_certificate true

改好后如下

image-20220818175754782

重新运行broker

结束当前broker进程,并重新启动(也许上面配置文件改完就生效不用重新启动,未验证)

ps -ef | grep mosquitto
sudo kill [mosquitto_pid]
sudo mosquitto -d -c /etc/mosquitto/mosquitto.conf

image-20220818165931591

TLS加密通讯测试

拓扑结构是局域网主机R3600发布消息,局域网主机vm-ubuntu和公网主机VM-0-2-ubuntu订阅消息

mosquitto_pub --cafile ca.crt --cert client.crt --key client.key -h 118.195.183.14 -t hello -m "hello"

mosquitto_sub --cafile ca.crt --cert client.crt --key client.key -h 118.195.183.14 -t hello

mosquitto_sub --cafile ca.crt --cert client.crt --key client.key  -t hello --insecure

如下现象表示测试成功

image-20220818185843002

image-20220818185900064

image-20220818185909081

注意
  1. 如果脚本里server的证书CN字和域名不一致时会连接错误,需要加–insecure才可以
  2. 公网主机也做client时,需要加–insecure才能连接ok

参考

  1. mosquitto-tls man page | Eclipse Mosquitto
  2. MQTT Host name verification failure (SSL) - Configuration - Home Assistant Community (home-assistant.io)
  3. mosquitto 开启 TLS 问题总结_aggresss的博客-优快云博客
ARM海思MQTT开发系列(三)MQTT服务器加密TLS支持与测试
一只海星的主页
03-11 1221
背景 上一节我们调通MQTT基本功能,真正要用了,总不能裸奔吧 所以,搞tls支持~ 加密介绍 关于加密解密SSL/TLS,对称非对称、公钥私钥、签名验签你想知道的加密全在这里 Configure SSL/TLS support for Mosquitto 这里参考官方文档就好了 生成ca证书和密钥: 日期自选,单位天 openssl req -new -x509 -days 3650 -extensions v3_ca -keyout ca.key -out ca.crt 服务器 生成服务器私钥: op
基于C语言从0开始手撸MQTT协议代码连接标准的MQTT服务器,完成数据上传和命令下发响应(华为云IOT服务器)
热门推荐
12-02 4万+
本篇文章给大家讲解使用C语言从0开始手撸MQTT协议3.1.1(1883端口)代码,连接华为云服务器,完成数据上传,下发的命令响应。完整讲解MQTT协议整体的通信流程。,利用VS2022开发程序,使用windows下网络编程接口作为基础,封装MQTT协议连接华为云MQTT服务器,完成数据上云。
MQTTTLS/SSL
qq_31532979的博客
04-26 3151
相比之下,MQTT 的发布/订阅模式和种 QoS 级别虽然非常适合物联网设备间的异步通信,但在一些设备或平台对 MQTT 支持不足的情况下,可能需要额外的工作来实现兼容或转换。总结来说,MQTT 在消息保证、连接会话管理和安全实现等方面确实存在一定的挑战和局限性,特别是在大规模部署时,可能会面临性能瓶颈、资源消耗、设备兼容性等问题。综上所述,MQTTTLS/SSL 的依赖体现在它借助这些安全协议提供的功能来保障通信的私密性、完整性和真实性,确保 IoT 环境中的设备、应用和服务能够安全地交换信息。
MQTT使用TLS加密
lhh2333的博客
11-15 5567
使用TLS加密MQTT的使用中是比较常见的,TLS加密过程在网上有很说明,但是没几个应用教程的,MQTT软件中的EMQX软件是支持TLS加密的,只不过要进行一些设置
如何设置MQTTTLS加密
深山技术宅的博客
05-20 761
本文详细介绍了MQTT TLS加密配置方案,涵盖Laravel服务端、STM32硬件端和Mosquitto代理服务器的配置步骤。首先,通过OpenSSL生成TLS证书,并配置Mosquitto代理服务器以支持TLS加密。接着,在Laravel端安装PHP-MQTT客户端并配置TLS参数。对于STM32硬件端,提供了基于ESP8266/ESP32的TLS配置方法,包括加载CA证书和使用AT指令或Arduino库进行连接。最后,通过OpenSSL和Mosquitto客户端测试TLS连接,并提供了安全增强措施和常
MQTT从入门到提高系列 | 02】MQTT3.1.1TLS加密传输
机器未来的博客
07-08 3073
本文记录了如何快速构建MQTT TLS安全加密通讯
EMQX MQTT 服务器启用 SSL/TLS 安全连接,使用8883端口
silent702366的博客
09-19 5772
EMQX MQTT 服务器启用 SSL/TLS 安全连接,使用8883端口
Linux嵌入式中MQTT的使用
qq_28576837的博客
07-02 1027
MQTT(Message Queuing Telemetry Transport,消息队列遥测传输协议),是一种基于发布/订阅(Publish/Subscribe)模式的轻量级通讯协议,该协议构建于TCP/IP协议上,由IBM在1999年发布,目前最新版本为v3.1.1。MQTT协议运行于TCP之上,属于应用层协议,因此只要是支持TCP/IP协议栈的地方,都可以使用MQTT。当然,在物联网开发中,MQTT不是唯一的选择,与MQTT互相竞争的协议有XMPP和CoAP协议等,文章末尾会有一个比较和说明。
mqtt-demo-linux-embed.tar.gz
03-10
mqtt-demo-linux-embed.tar.gz】是一个针对Linux平台的MQTT(Message Queuing Telemetry Transport)应用程序的压缩包,主要用于演示如何在嵌入式系统上实现MQTT协议。MQTT是一种轻量级的发布/订阅消息传输协议,...
嵌入式Linux系统mqtter(支持AES加解密)
HomeByte的博客
11-08 859
1 接口说明 mqtter是基于libmosquitto封装出来的C++接口类,同时内部传输报文通过AES加密,基本API如下: 注意MQTT的端口是1883,mqtter一样需要ev_proxy的支持,来完成轮询,构造函数中的参数列表分别是: evp: ev_proxy对象指针 host:主机地址,本地可以是”localhost”或者”127.0.0.1” port:固定1883 topic是接收数据订阅的主题 成员函数set_callback用来设置一个回调函数,有数据就会完成回调。.
Windows、Linux、Mac下的 MQTT 调试工具 WMQTT Utility
06-15
它支持SSL/TLS加密,增强了数据安全性。用户可以创建个会话,每个会话可以有独立的连接配置,方便测试不同的服务器环境。此外,WMQTT Utility还提供了消息发布和订阅的实时日志,便于查看通信过程。 **在Linux...
mqtt-tls_mqtttls_mqtt_mqtt客户端_TLS.zip
10-10
mqtt-tls_mqtttls_mqtt_mqtt客户端_TLS.zip
ESP8266 MQTT SSL/TLS 阿里物联网套件 百度天工 Onenet等MQTT服务器(注意:是固件)
12-13
(注意:是固件) ESP8266 MQTT SSL/TLS 支持连接阿里物联网套件,百度天工,Onenet等MQTT服务器,支持SSL通信
MQTT协议应用TLS
qq_41381461的博客
06-30 8025
前言 做了很久的实验,一直没能成功,最后还是down的大佬的源码,侵删。 正文 简介 MQTT协议是物联网应用中重要的应用层协议,上一次实验开展了MQTT协议的分析,对MQTT协议的长连接机制、发布/订阅工作模式交互机制进行了分析。但如果MQTT协议不进行安全实现,黑客可以恶意发布信息给服务器,特别是在工业、交通等物联网应用场合后果不堪设想。本实验旨构建MQTT协议安全通信。 要求 (1)掌握MQ...
linux配置tls隐式加密,技术|使用 TLS 加密保护 VNC 服务器的简单指南
weixin_35728411的博客
05-15 932
在本教程中,我们将学习安装 VNC 服务器并使用 TLS 加密保护 VNC 会话。此方法已经在 CentOS 6&7 上测试过了,但是也可以在其它的版本/操作系统上运行(RHEL、Scientific Linux 等)。安装 VNC 服务器在机器上安装 VNC 服务器之前,请确保我们有一个可用的 GUI(图形用户界面)。如果机器上还没有安装 GUI,我们可以通过执行以下命令来安装:yum grou...
记录linux环境下搭建本地MQTT服务器实现mqtt的ssl加密通讯
杨正的专栏
09-24 1697
2、使用mqtts/tls加密通信时,server地址需加"ssl://", 例如"ssl://127.0.0.1:8883";使用github中的一个脚本,可以让hostname为localhost、本机ip或127.0.0.1,脚本从。修改mosiquitto.conf,添加证书的路径,加密端口8883(配置端口监听端口默认是1883)4、需要移植openssl库,mqtt源码编译需要链接到openssl中的include和lib。该脚本创建CA文件,生成服务器证书,并使用CA来签名证书。
基于MQTT协议的SSL/TLS加密传输的讨论
嫌疑人X的解忧杂货店
04-27 2万+
本文就MQTT到底单向加密还是双向加密做一个简单的讨论。具体mqtt加密的搭建过程,请参考: https://blog.youkuaiyun.com/sullivan_jia/article/details/80103813 到底是单项加密还是双向加密?我们要从不同的角度去分析这件事情。但是在分析之前,我们还是有必要回顾一下基础知识。 SSL/T...
非常详细的MQTT+TLS(二)----TLS铺垫篇
ZR
08-27 6432
非常详细的MQTT+TLS----TLS铺垫篇 在移植TLS之前先熟悉一下TLS、TCP/IP、MQTT三者的关系,这很重要!! “TCP/IP、MQTT、SSL之间是什么关系呢?”通过MQTT章节的说明已经明确了TCP/IP和MQTT之间的关系,那SSL在MQTTs处于什么位置嘞。那就要从TLS的定义说起 TLS称为安全传输层协议,用于在两个应用程序之间提供保密性和数据完整性。说白了TLS就在TCP之上建立了一个通道,将我们TCP传输的明文进行加密,从而保证通信的私密性。 如图为MQTTMQTTs的区
linux线程:tls实现方式
09-01 4019
Linux系统中使用C/C++进行线程编程时,我们遇到最的就是对同一变量的线程读写问题,大情况下遇到这类问题都是通过锁机制来处理,但这对程序的性能带来了很大的影响,当然对于那些系统原生支持原子操作的数据类型来说,我们可以使用原子操作来处理,这能对程序的性能会得到一定的提高。那么对于那些系统不支持原子操作的自定义数据类型,在不使用锁的情况下如何做到线程安全呢?本文将从线程局部存储方面,简单讲解处理这一类线程安全问题的方法。 1、数据类型 在C/C++程序中常存在全局变量、函数内定义的静态变量以及
mqtt.fx百科荣创
最新发布
06-15
### mqtt.fx 使用指南 mqtt.fx 是一款用于测试和开发 MQTT 协议的客户端工具,广泛应用于物联网(IoT)领域。以下是关于 mqtt.fx 的使用指南及相关信息。 #### 1. mqtt.fx 简介 mqtt.fx 是一个开源的、跨平台的 MQTT 客户端工具,支持种操作系统,包括 Windows、Linux 和 macOS。它提供了友好的图形用户界面(GUI),便于开发者快速连接到 MQTT Broker 并进行消息发布与订阅操作[^2]。 #### 2. 安装 mqtt.fx mqtt.fx 的安装过程简单直接: - 访问 mqtt.fx 的官方网站或 GitHub 仓库下载最新版本。 - 根据操作系统选择合适的安装包并完成安装。 - 安装完成后,启动 mqtt.fx 客户端。 #### 3. 配置 mqtt.fx 连接到 MQTT Broker 要使用 mqtt.fx 连接到 MQTT Broker,需要进行以下配置: - **Broker 地址**:输入 MQTT Broker 的主机名或 IP 地址。 - **端口号**:通常为 1883(非加密)或 8883(TLS 加密)。 - **Client ID**:设置唯一的客户端标识符。 - **用户名和密码**:如果 Broker 需要身份验证,需提供相应的用户名和密码。 - **TLS 设置**:如果使用加密连接,需配置证书文件。 示例配置代码如下: ```plaintext Broker Address: test.mosquitto.org Port: 1883 Client ID: mqttfx_client_1 Username: test_user Password: test_password ``` #### 4. 发布与订阅消息 在 mqtt.fx 中,可以通过以下步骤实现消息的发布与订阅: - **订阅主题**:在“Subscribe”选项卡中输入目标主题,并点击“Subscribe”按钮。 - **发布消息**:在“Publish”选项卡中设置主题、QoS 等参数,并在消息框中输入内容后点击“Publish”按钮。 #### 5. 荣创信息与 mqtt.fx 荣创信息是一家专注于物联网技术的公司,可能在其产品或解决方案中使用了 mqtt.fx 或类似的 MQTT 客户端工具。具体应用需参考荣创信息的官方文档或技术支持[^3]。 #### 6. 常见问题与解决方法 - **无法连接到 Broker**:检查网络连接、Broker 地址和端口号是否正确。 - **认证失败**:确保用户名和密码正确无误。 - **消息丢失**:调整 QoS 级别以保证消息可靠性。 ```plaintext # 示例:连接到本地 Broker Broker Address: localhost Port: 1883 Client ID: local_client ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值