MQTT在多linux主机的TLS加密通讯实现

最新推荐文章于 2025-10-30 22:18:04 发布

原创

最新推荐文章于 2025-10-30 22:18:04 发布 · 847 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#linux #服务器 #运维

MQTT在多linux主机的TLS加密通讯实现

文章目录

MQTT在多linux主机的TLS加密通讯实现

环境

局域网主机R3600：Ubuntu20
局域网主机Ubuntu on VMware
公网主机：118.195.183.14

TLS基础

组成

主要分为3类文件，分别为

证书文件，xxx.crt；其中有种特殊的证书，用于生成证书的证书一般叫ca.crt，certificate authority certificate的简写
秘钥，xxx.key
待签名证书，xxx.csr；certificate signing request的简写，一般csr需要发给CA去签名，签名后成为crt

思路

在服务端主机（这里为公网服务器broker）生成ca.key和ca.crt
在任意主机（这里同样选择公网服务器broker）生成server.key和server.csr
在服务端主机（这里为公网服务器broker）使用ca.key和ca.crt对server.csr进行签名生成server.crt
将server.key、server.crt和ca.crt 3个文件打包发给mqtt server
上面只对server侧进行单向验证，如果同时要对client端进行双向验证只需要将步骤234的server换为client即可

多client共用证书

肯定是可以的，不然不可能为这么多client单独生成证书，正常应该是签名好的证书由CA发放给client

过程

使用脚本生成证书

mkdir -p ~/cert
cd ~/cert
vi cert.sh
chmod u+x cert.sh
./cert.sh

cert.sh脚本；注意"/CN=server" 替换为server的IP地址

#!/usr/bin/env bash
# When OpenSSL prompts you for

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

mcai33

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

8、MQTT客户端证书创建与TLS认证配置

lake5的博客

10-29

本文详细介绍了如何为MQTT客户端创建TLS证书，并配置Mosquitto服务器实现基于客户端证书的身份验证。内容涵盖证书生成、配置文件修改、命令行与GUI工具测试（如MQTT.fx和MQTT-spy），以及强制使用TLS 1.2等安全最佳实践。同时提供了常见问题解决方案与未来扩展方向，帮助用户构建安全可靠的MQTT通信系统。

如何设置MQTT的TLS加密？

深山技术宅的博客

05-20

1149

本文详细介绍了MQTT TLS加密配置方案，涵盖Laravel服务端、STM32硬件端和Mosquitto代理服务器的配置步骤。首先，通过OpenSSL生成TLS证书，并配置Mosquitto代理服务器以支持TLS加密。接着，在Laravel端安装PHP-MQTT客户端并配置TLS参数。对于STM32硬件端，提供了基于ESP8266/ESP32的TLS配置方法，包括加载CA证书和使用AT指令或Arduino库进行连接。最后，通过OpenSSL和Mosquitto客户端测试TLS连接，并提供了安全增强措施和常

1 条评论您还未登录，请先登录后发表或查看评论

非常详细的MQTT+TLS（一）----MQTT篇

08-27

1万+

非常详细的MQTT+TLS----MQTT篇首先要说明的是，MQTT是一个构建在TCP/IP之上的轻量消息协议，也就是说我们要创建MQTT协议之前需要创建TCP连接。在TCP连接之上再创建MQTT通信。 1、MQTT移植：如图是我们从github下载到的MQTT包。第一次接触的人一定和我一样一脸懵逼，现在我很负责任的告诉你，你只需要关注如下两个文件夹。在移植时我们需要将【MQTTPacket】→【src】下面的文件移植到我们的自己平台上，这些文件可以理解成是对接MQTT的公共文件包，不管你是什么平台

物联网安全：MQTT 协议的认证与加密机制

最新发布

llskdhxjhsd的博客

10-30

328

MQTT 的认证与加密机制是物联网安全的核心：认证防止未授权访问，加密确保数据机密性。实际部署中，应结合 TLS 和强认证方式（如证书），并遵循最小权限原则。MQTT 本身灵活，但安全需主动配置；忽略这些机制可能导致严重漏洞，如数据泄露。建议参考官方规范（如 OASIS MQTT 标准）和行业指南进行实施。

MQTT使用TLS加密

lhh2333的博客

11-15

5895

使用TLS加密在MQTT的使用中是比较常见的，TLS加密过程在网上有很多说明，但是没几个应用教程的，MQTT软件中的EMQX软件是支持TLS加密的，只不过要进行一些设置

MQTT与 TLS/SSL

qq_31532979的博客

04-26

3390

相比之下，MQTT 的发布/订阅模式和多种 QoS 级别虽然非常适合物联网设备间的异步通信，但在一些设备或平台对 MQTT 支持不足的情况下，可能需要额外的工作来实现兼容或转换。总结来说，MQTT 在消息保证、连接会话管理和安全实现等方面确实存在一定的挑战和局限性，特别是在大规模部署时，可能会面临性能瓶颈、资源消耗、设备兼容性等问题。综上所述，MQTT 对 TLS/SSL 的依赖体现在它借助这些安全协议提供的功能来保障通信的私密性、完整性和真实性，确保 IoT 环境中的设备、应用和服务能够安全地交换信息。

MQTT协议应用TLS

qq_41381461的博客

06-30

8151

前言做了很久的实验，一直没能成功，最后还是down的大佬的源码，侵删。正文简介 MQTT协议是物联网应用中重要的应用层协议，上一次实验开展了MQTT协议的分析，对MQTT协议的长连接机制、发布/订阅工作模式交互机制进行了分析。但如果MQTT协议不进行安全实现，黑客可以恶意发布信息给服务器，特别是在工业、交通等物联网应用场合后果不堪设想。本实验旨构建MQTT协议安全通信。要求（1）掌握MQ...

【MQTT从入门到提高系列 | 02】MQTT3.1.1TLS加密传输

机器未来的博客

07-08

3297

本文记录了如何快速构建MQTT TLS安全加密通讯。

Linux嵌入式中MQTT的使用

qq_28576837的博客

07-02

1346

MQTT（Message Queuing Telemetry Transport，消息队列遥测传输协议），是一种基于发布/订阅（Publish/Subscribe）模式的轻量级通讯协议，该协议构建于TCP/IP协议上，由IBM在1999年发布，目前最新版本为v3.1.1。MQTT协议运行于TCP之上，属于应用层协议，因此只要是支持TCP/IP协议栈的地方，都可以使用MQTT。当然，在物联网开发中，MQTT不是唯一的选择，与MQTT互相竞争的协议有XMPP和CoAP协议等，文章末尾会有一个比较和说明。

MQTT客户端证书创建与TLS认证配置教程

# MQTT客户端证书创建与TLS认证配置教程 ## 1. 为每个MQTT客户端创建证书为了增强MQTT通信的安全性，我们要求每个MQTT客户端提供有效的证书才能与MQTT服务器建立连接。这样，只有拥有有效证书的客户端才能发布或...

精选资源

mqtt-demo-linux-embed.tar.gz

03-10

【mqtt-demo-linux-embed.tar.gz】是一个针对Linux平台的MQTT（Message Queuing Telemetry Transport）应用程序的压缩包，主要用于演示如何在嵌入式系统上实现MQTT协议。MQTT是一种轻量级的发布/订阅消息传输协议，...

mqtt-tls_mqtttls_mqtt_mqtt客户端_TLS.zip

10-10

mqtt-tls_mqtttls_mqtt_mqtt客户端_TLS.zip

ESP8266 MQTT SSL/TLS 阿里物联网套件百度天工 Onenet等MQTT服务器（注意：是固件）

12-13

（注意：是固件） ESP8266 MQTT SSL/TLS 支持连接阿里物联网套件，百度天工，Onenet等MQTT服务器,支持SSL通信

ARM海思MQTT开发系列（三）MQTT服务器加密TLS支持与测试

一只海星的主页

03-11

1262

背景上一节我们调通MQTT基本功能，真正要用了，总不能裸奔吧所以，搞tls支持~ 加密介绍关于加密解密SSL/TLS,对称非对称、公钥私钥、签名验签你想知道的加密全在这里 Configure SSL/TLS support for Mosquitto 这里参考官方文档就好了生成ca证书和密钥：日期自选，单位天 openssl req -new -x509 -days 3650 -extensions v3_ca -keyout ca.key -out ca.crt 服务器 生成服务器私钥： op

使用 SSL/TLS 加强 MQTT 通信安全

emqx_broker的博客

08-11

2105

本文将着重介绍 TLS 以及它如何保证 MQTT 通信的完整性、机密性和真实性。

EMQX MQTT 服务器启用 SSL/TLS 安全连接，使用8883端口

silent702366的博客

09-19

6360

EMQX MQTT 服务器启用 SSL/TLS 安全连接，使用8883端口

基于MQTT协议的SSL/TLS加密传输的讨论

热门推荐

嫌疑人X的解忧杂货店

04-27

2万+

本文就MQTT到底单向加密还是双向加密做一个简单的讨论。具体mqtt加密的搭建过程，请参考： https://blog.youkuaiyun.com/sullivan_jia/article/details/80103813 到底是单项加密还是双向加密？我们要从不同的角度去分析这件事情。但是在分析之前，我们还是有必要回顾一下基础知识。 SSL/T...

linux配置tls隐式加密,技术|使用 TLS 加密保护 VNC 服务器的简单指南

weixin_35728411的博客

05-15

1000

在本教程中，我们将学习安装 VNC 服务器并使用 TLS 加密保护 VNC 会话。此方法已经在 CentOS 6＆7 上测试过了，但是也可以在其它的版本/操作系统上运行(RHEL、Scientific Linux 等)。安装 VNC 服务器在机器上安装 VNC 服务器之前，请确保我们有一个可用的 GUI(图形用户界面)。如果机器上还没有安装 GUI，我们可以通过执行以下命令来安装：yum grou...

记录linux环境下搭建本地MQTT服务器实现mqtt的ssl加密通讯

杨正的专栏

09-24

1914

2、使用mqtts/tls加密通信时，server地址需加"ssl://"，例如"ssl://127.0.0.1:8883"；使用github中的一个脚本，可以让hostname为localhost、本机ip或127.0.0.1，脚本从。修改mosiquitto.conf，添加证书的路径，加密端口8883（配置端口监听端口默认是1883）4、需要移植openssl库，mqtt源码编译需要链接到openssl中的include和lib。该脚本创建CA文件，生成服务器证书，并使用CA来签名证书。

如何开启MQTT TLS功能

10-12

<think>我们正在处理用户关于如何在MQTT中开启TLS功能的问题。根据之前的对话历史，用户已经了解了在Linux上部署MQTT的三种方法（包管理器安装、Docker部署、源码编译），现在他们想了解如何开启TLS加密通信。结合引用内容： - 引用[1]提到项目集成了SSL/TLS加密。 - 引用[2]提供了关于EMQX搭建SSL/TLS连接（包括wss）的参考链接。 - 引用[3]展示了一个使用MQTTClient连接MQTT服务的代码示例，但未涉及TLS。 - 引用[4]提到了使用带认证的MQTT适配器（包含用户名和密码）。我们需要针对不同的部署方式（包管理器安装、Docker部署、源码编译）分别说明如何开启TLS，并给出配置示例和验证方法。步骤： 1. 在包管理器安装方式中（如Mosquitto），修改配置文件`mosquitto.conf`，设置监听端口为8883（TLS标准端口），并指定证书文件路径。 2. 在Docker部署中，同样需要修改配置文件，并将宿主机的证书目录映射到容器内。 3. 在源码编译安装时，确保编译时启用了TLS支持（通常默认启用），然后同样修改配置文件。此外，我们还需要说明如何生成自签名证书（用于测试）以及如何使用Let's Encrypt获取正式证书。最后，给出客户端连接时的注意事项（例如使用`mqtts://`协议头，指定CA证书等）。为了全面性，我们还可以提到一些常见问题，如端口冲突、证书权限问题等。最后，生成相关问题，引导用户深入探讨。 </think>### 开启MQTT TLS加密通信的完整指南通过TLS加密可保护MQTT通信安全，防止数据窃取和中间人攻击。以下是三种主流部署方式的配置方法： --- #### 一、系统包管理器安装（Mosquitto） **步骤**： 1. **修改配置文件** ```bash sudo nano /etc/mosquitto/mosquitto.conf ``` 添加以下内容： ```conf listener 8883 # TLS标准端口 certfile /etc/mosquitto/certs/server.pem keyfile /etc/mosquitto/certs/server.key cafile /etc/mosquitto/certs/ca.crt tls_version tlsv1.2 # 强制使用安全协议 ``` 2. **生成证书（测试用）** ```bash # 创建CA证书 openssl req -new -x509 -days 3650 -extensions v3_ca \ -keyout ca.key -out ca.crt # 生成服务器证书 openssl genrsa -out server.key 2048 openssl req -new -out server.csr -key server.key openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \ -CAcreateserial -out server.pem -days 365 ``` 3. **重启服务** ```bash sudo systemctl restart mosquitto ``` > **生产环境建议**：使用Let's Encrypt免费证书替代自签名证书[^2] --- #### 二、Docker容器部署（EMQX/Mosquitto） **EMQX容器启用TLS**： ```bash docker run -d --name emqx \ -p 8883:8883 \ -v /path/to/certs:/etc/emqx/certs \ emqx/emqx:latest \ emqx start \ --tls.listener.ssl.external.keyfile=/etc/emqx/certs/server.key \ --tls.listener.ssl.external.certfile=/etc/emqx/certs/server.pem ``` **Mosquitto容器启用TLS**： ```bash docker run -d -p 8883:8883 \ -v /path/to/certs:/mosquitto/certs \ eclipse-mosquitto \ mosquitto -c /mosquitto/config/mosquitto.conf \ --certfile /mosquitto/certs/server.pem \ --keyfile /mosquitto/certs/server.key ``` --- #### 三、客户端连接验证 **Python示例（paho-mqtt）**： ```python import ssl import paho.mqtt.client as mqtt def on_connect(client, userdata, flags, rc): print("Connected with code:", rc) client.subscribe("test/tls") client = mqtt.Client() client.tls_set( ca_certs="/path/to/ca.crt", # CA证书 certfile="/path/to/client.pem", # 客户端证书(双向认证时需要) keyfile="/path/to/client.key", tls_version=ssl.PROTOCOL_TLSv1_2 ) client.on_connect = on_connect client.connect("mqtt.example.com", 8883, 60) client.loop_forever() ``` **QuecPython嵌入式设备连接**： ```python from umqtt import MQTTClient mqtt_cli = MQTTClient( client_id="device_001", server="mqtt.example.com", port=8883, ssl=True, ssl_params={ "ca_certs": "/qpy/ca.crt", "certfile": "/qpy/client.pem", # 可选 "keyfile": "/qpy/client.key" # 可选 } ) mqtt_cli.connect() ``` --- ### 关键注意事项 1. **证书要求** - 服务器证书CN需匹配域名 - 客户端证书需由同一CA签发（双向认证时） - RSA密钥长度≥2048位 2. **性能优化** ```conf tls_session_timeout 300 # 减少TLS握手开销 ``` 3. **安全加固** ```conf ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384 ``` > **故障排查**：使用`openssl s_client -connect mqtt.example.com:8883`验证证书链完整性 ---