Mosquitto服务器的搭建以及SSL/TLS安全通信配置

Posted LiuYanYGZ

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Mosquitto服务器的搭建以及SSL/TLS安全通信配置相关的知识,希望对你有一定的参考价值。

Mosquitto服务器的搭建以及SSL/TLS安全通信配置

摘自:https://segmentfault.com/a/1190000005079300

0

1、 SSL简介

SSL(SecureSocket Layer)安全套接层,是网景公司提出的用于保证Server与client之间安全通信的一种协议,该协议位于TCP/IP协议与各应用层协议之间,即SSL独立于各应用层协议,因此各应用层协议可以透明地调用SSL来保证自身传输的安全性,SSL与TCP/IP协议及其其他应用层协议之间的关系如图1所示。

技术图片

图1 SSL/TLS协议与应用层协议及tcp/ip层协议的关系

目前,SSL被大量应用于http的安全通信中,MQTT协议与http协议同样属于应用层协议,因此也可以像http协议一样使用ssl为自己的通信提供安全保证。

SSL与TLS(Transport LayerSecurity Protocol)之间的关系:
TLS(TransportLayer Security,传输层安全协议)是IETF(InternetEngineering Task Force,Internet工程任务组)制定的一种新的协议,它建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本。在TLS与SSL3.0之间存在着显著的差别,主要是它们所支持的加密算法不同,所以TLS与SSL3.0不能互操作。

开源的算法Openssl对SSL以及TLS1.0都能提供较好的支持,因此,后面使用mosquitto时也采用Openssl作为SSL的实现。

2、 Openssl安装与常用命令说明

2.1、安装
在ubuntu14.04上安装Openssl的命令如下:

apt-get install openssl-devel

注意在安装的时候要安装“openssl-devel”,而不是“openssl”。
安装成功之后可以使用如下命令查看openssl的版本:

[email protected]:~$ openssl version
OpenSSL 1.0.1f 6 Jan 2014

2 Mosquito使用ssl功能的具体操作方法

技术图片

将使用:A【cddserver2】(172.18.206.221)B【cddserver3】(172.18.195.182)C【cddserver1】(172.18.205.63)这三台机子,其中使用A制作CA证书B作为服务器端上运行mosquitto实例在C上运行一个订阅端,一个发布端。

2.1、产生CA的key和证书文件
使用命令为:

openssl req -new -x509 -days 36500-extensions v3_ca -keyout ca.key -out ca.crt

该命令将为CA产生一个名字为“ca.key”的key文件和一个名字为“ca.crt”的证书文件,这个crt就是CA自己给自己签名的证书文件。

该命令中选项“-x509”表示该条命令将产生自签名的证书,一般都是测试的时候采用。

命令执行过程中将需要输入国别、省份(或州)、市、Common Name等参数,其中最需要注意的是” Common Name”这个参数,它必须是当前机子的IP地址,使用主机名不行。如下截图所示

技术图片

特别要注意的是Common Name参数需要填写主机的IP地址,使用主机名不行。
本步结束即产生自己的CA,它有两个文件“ca.key“和”ca.crt“:

技术图片

2.2、使用自己产生的CA为server签发证书
将3.1中产生的CA文件拷贝mosquitto server所在机子上(其主机名字为cddserver3)的某个位置,例如:/home/lvhao/w/ssl,然后使用该CA为server产生证书文件。如下截图所示:

技术图片
图2-3

(1)产生密钥文件server.key,为了减少测试过程中总是提出输入密码的麻烦,这里将为server产生一个不加密的密钥文件。过程如下截图所示:
该命令将产生一个不加密的RSA私钥,其中参数“2048”表示私钥的长度,这里产生的私钥文件“server.key”将在下一步使用,同时在mosquitto程序的配置文件中也需要使用。
opensslgenrsa -out server.key 2048
技术图片
图2-4

如果需要为产生的RSA私钥加密,则需加上选项“-des3”,对私钥文件加密之后,后续使用该密钥的时候都要求输入密码。产生加密RSA私钥文件的命令如下:

opensslgenrsa -des3 -out server.key 2048

如果为RSA私钥文件加密了,则一定要记好密码,后面产生csr文件时以及后续使用该私钥文件都会用到该密码。

(2)产生证书签发的请求文件server.csr。过程如下截图所示:
该命令将使用上一步产生的“server.key”文件为server产生一个签发证书所需要的请求文件:server.csr,使用该文件向CA发送请求才会得到CA签发的证书。

opensslreq -out server.csr -key server.key -new
技术图片
图2-5

同样该过程需要注意Common Name参数需要填写当前主机的IP地址。

(3)为mosquitto server产生证书文件:server.crt,这一步将需要输入CA的密码,同样,这里也可以看到刚才为CA输入的参数国别、省份等参数,过程如下截图所示:

openssl x509 -req -in server.csr -CA ca.crt-CAkey ca.key -CAcreateserial -out server.crt -days 36500

该命令将使用CA的密钥文件ca.key,CA的证书文件ca.crt和上一步为mosquitto server产生证书请求文件server.csr文件这三个文件向CA请求产生一个证书文件,证书文件的名字为:server.crt。该命令中的36500可以修改为自己定义的时间值。

图2-6

2.3、使用自己产生的CA为client签发证书该过程与3.2类似。
首先,将3.1中产生的CA文件拷贝mosquittoclient所在机子C(其主机名字为cddserver1)上的某个位置,例如:/home/lvhao/w/ssl,然后使用该CA为server产生证书文件。如下截图所示:

技术图片
图2-7
(1) 产生密钥文件client.key,过程如下截图所示:

openssl genrsa-out client.key 2048

技术图片

(2) 产生一个签发证书的请求文件"client.csr "

openssl req-out client.csr -key client.key-new

产生证书请求文件时需要第一步产生的私钥文件client.key作为输入。

技术图片

(3) CA为mosquitto客户端产生一个证书文件”client.crt”

opensslx509 -req -in client.csr-CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 36500

技术图片

2.4、修改mosquitto配置文件
为了使用SSL功能Mosquito的配置文件mosquitto.conf需要修改以下四个地方:
(1) port 参数,mosquitto官方网站建议在使用功能的时候使用8883端口,如下所示:

技术图片

技术图片

(2) 修改cafile参数,该参数表示CA的证书文件的位置,需将其设置为正确的位置,例如下图所示

技术图片

2.5、运行程序
(1)启动mosquitto server端【机器B】
使用修改后的配置文件启动mosquitto程序,上面修改的配置文件的路径,在mosquitto目录下,因此需要用-c参数指定其位置,如下图所示:

技术图片

(2)启动订阅端【机器C】:
订阅端所在ssl文件的路径为:/home/jason.hou/ssl,启动时所使用的命令为:

./mosquitto_sub -h 172.18.195.182 -i 111 -p 8883 -t "111" --cafile /home/lvhao/w/ssl/ca.crt --cert /home/lvhao/w/ssl/client.crt --key /home/lvhao/w/ssl/client.key

如下图所示:

技术图片

(4)启动发布端【机器C】
启动时所使用的命令为:

./mosquitto_pub -h 172.18.195.182 -p 8883 -t "111" -m "this is w show"--cafile /home/lvhao/w/ssl/ca.crt --cert /home/lvhao/w/ssl/client.crt --key /home/lvhao/w/ssl/client.key

如下图所示:

技术图片

(5) 发布消息之后,mosquitto、订阅端、发布端的截图如下:
Mosquito:

技术图片

发布端【机器C】:

技术图片

订阅端【机器C】:

技术图片

1、 注意事项
(1) 制作签发证书的请求文件时,需要输入Common Name参数,此参数一定为当前主机的IP地址,否则将会显示证书错误。
(2) 如果不想SSL在身份认证的时候检查主机名(也即上面不检查第1条中Common Name参数),则需要在启动订阅端的时候,加上“--insecure”参数,例如:
./mosquitto_sub-h 192.168.4.223 -i 111 -p 8883 -t "111" --cafile/home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key --insecure
(3) 自测过程中,server端与所有客户端所使用的证书必须由一个CA签发,否则,将会提示CA不识别的问题。

3 Mosquitto的安装:

见网址:
http://blog.csdn.net/xukai871...

3.1 安装
下载源代码包

wget http://mosquitto.org/files/source/mosquitto-1.4.10.tar.gz

解压

tar zxfv mosquitto-1.4.5.tar.gz

进入目录

cd mosquitto-1.4.10

编译

make

安装

sudo make install

3.2 安装注意点

【1】编译找不到openssl/ssl.h
【解决方法】——安装openssl

sudo apt-get install libssl-dev

【2】编译过程找不到ares.h

sudo apt-get install libc-ares-dev

【3】编译过程找不到uuid/uuid.h

sudo apt-get install uuid-dev

【4】使用过程中找不到libmosquitto.so.1

error while loading shared libraries: libmosquitto.so.1: cannot open shared object file: No such file or directory

【解决方法】——修改libmosquitto.so位置
创建链接

sudo ln -s /usr/local/lib/libmosquitto.so.1 /usr/lib/libmosquitto.so.1

更新动态链接库

sudo ldconfig

【5】make: g++:命令未找到 
【解决方法】安装g++编译器

sudo apt-get install g++

3.2 简单测试

一个完整的MQTT示例包括一个代理器,一个发布者和一个订阅者。测试分为以下几个步骤:

【1】启动服务mosquitto。
【2】订阅者通过mosquitto_sub订阅指定主题的消息。
【3】发布者通过mosquitto_pub发布指定主题的消息。
【4】代理服务器把该主题的消息推送到订阅者。

【测试说明】
测试环境:ubuntu 14.04 虚拟机
在本例中,发布者、代理和订阅者均为localhsot,但是在实际的情况下三种并不是同一个设备,在mosquitto中可通过-h(--host)设置主机名称(hostname)。为了实现这个简单的测试案例,需要在linux中打开三个控制台,分别代表代理服务器、发布者和订阅者。

技术图片

3.2.1 启动代理服务

mosquitto -v

【-v】打印更多的调试信息

3.2.2 订阅主题

mosquitto_sub -v -t sensor

【-t】指定主题,此处为sensor
【-v】打印更多的调试信息

3.2.3 发布内容

mosquitto_pub -t sensor -m 12

【-t】指定主题
【-m】指定消息内容

3.2.4 运行结果
当发布者推送消息之后,订阅者获得以下内容

sensor 12

而代理服务器控制台中会出现——连接、消息发布和心跳等调试信息。通过代理服务器的调试输出可以对MQTT协议的相关过程有所了解。

技术图片

4 总结

服务器Apollo与Mosquitto的对比。










































以上是关于Mosquitto服务器的搭建以及SSL/TLS安全通信配置的主要内容,如果未能解决你的问题,请参考以下文章

基于mosquitto的MQTT服务器---SSL/TLS 单向认证+双向认证

mosquitto ---SSL/TLS 单向认证+双向认证

Node.js(十三)——Promise重构爬虫代码

mosquitto---config.mk

MQTT与Mosquitto服务器搭建以及Android推送MQTT简介

针对SSL/TLS的拒绝服务攻击以及使用ettercap进行DNS欺骗