在MQTT服务器上使用TLS进行安全通信
物联网电子世界2018-09-06 13:16
我们在上篇文章里面已经搭建好了一个MQTT服务器,并且进行了简单的发布和订阅的测试。但是,我们默认使用的是TCP明文传输,
从上图看出,如果被别有用心的人抓包就可以获取我们的通信内容,没有任何隐私,黑客还可以恶意发布信息给服务器,如果是在工业交通等重要场合则后果不堪设想。
我们需要在服务器端和客户端都是使用TLS来加密我们的信息,保证信息的安全性。
TLS安全连接基本原理
这是一个简单的TLS的过程,服务器和客户端从CA证书中心取得CA证书,服务器生成自己的私钥和证书,客户端用ca证书对服务器的证书进行验证,验证通过说明服务器是合法的,如果验证不过则不与服务器通信。验证通过之后使用一对公钥和密钥进行加解密通信,中间的报文都是加密的。
MQTT使用TLS安全连接步骤:
1、生成CA私钥文件
#mkdir Myca
#cd Myca
# openssl genrsa -des3 -out ca.key 2048
#ls -l
-rwxrwxrwx 1 root root 1743 9月 5 00:08 ca.key
可以看到生成了ca的密钥文件。
参数解释:
genrsa 表示生成RSA私钥-des3 表示密钥文件使用DES3加密,如果没有这个选项表示不加密密钥文件。-out 制定输出文件的名字(.key)2048 表示密钥长度。
2、生成CA证书
#openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
# ls -l
-rwxrwxrwx 1 root root 1367 9月 6 00:58 ca.crt
rwxrwxrwx 1 root root 1679 9月 6 00:58 ca.key
参数解释:
req: 请求生成证书认证-new: 生成一个新的证书. 它会提示填充证书的一些参数.-x509: 签发X.509格式证书 .-days: 指定证书的有效期限,单位天.-key: 指定生成证书的私钥文件.-out: 指定生成的证书文件名(.crt).
3、生成server的私钥
#openssl genrsa -out server.key 2048
#ls -l
-rwxrwxrwx 1 root root 1367 9月 6 00:58 ca.crt
-rwxrwxrwx 1 root root 1679 9月 6 00:58 ca.key
-rwxrwxrwx 1 root root 1679 9月 6 01:02 server.key ------生成的 server.key
4、生成server端请求文件(.csr)
#openssl req -new -out server.csr -key server.key
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:bj
Locality Name (eg, city) []:bj
Organization Name (eg, company) [Internet Widgits Pty Ltd]:aaa
Organizational Unit Name (eg, section) []:bbb
Common Name (e.g. server FQDN or YOUR name) []:192.168.1.102
Email Address []:test@test.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
5、生成服务端的证书
#openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3600
这时候在证书目录下有下面文件
-rwxrwxrwx 1 root root 1367 9月 6 00:58 ca.crt
-rwxrwxrwx 1 root root 1679 9月 6 00:58 ca.key
-rwxrwxrwx 1 root root 17 9月 6 01:10 ca.srl
-rwxrwxrwx 1 root root 1249 9月 6 01:10 server.crt
-rwxrwxrwx 1 root root 1029 9月 6 01:08 server.csr
-rwxrwxrwx 1 root root 1679 9月 6 01:02 server.key
6、修改mosquitto.conf文件
port 1884 -----设置TLS端口 为1884
cafile /myca/ca.crt -------- 证书文件
certfile /myca/server.crt ------------服务器证书文件
keyfile /myca/server.key ------------服务器私钥文件
7、启动mosquitto
使用mosquitto.conf配置文件启动
8、启动客户端
在客户端上先要设置下TLS访问,和证书
上图看到客户端连接上了
发一个消息看看报文。
可以看到报文已经加密,无法看到报文的内容。
郑重声明:本文作品为原创,如转载须注明出处“百家号:物联网电子世界”。
举报/反馈
0
0
收藏
分享
