2. 程式人生 > >mosquitto ---SSL/TLS 單向認證+雙向認證

mosquitto ---SSL/TLS 單向認證+雙向認證

阿新 發佈:2018-11-09

生成證書

# * Redistributions in binary form must reproduce the above copyright
 
#   notice, this list of conditions and the following disclaimer in the
 
#   documentation and/or other materials provided with the distribution.
 
# * Neither the name of the axTLS project nor the names of its
 
#   contributors may be used to endorse or promote products derived
 
#   from this software without specific prior written permission.
 
#
 
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 
# "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 
# LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 
# A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR
 
# CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 
# SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 
# TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
 
# DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY
 
# OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 
# NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
 
# THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 
#
 
 
 
#
 
# Generate the certificates and keys for testing.
 
#
 
 
 
 
 
PROJECT_NAME="TLS Project"
 
 
 
# Generate the openssl configuration files.
 
cat > ca_cert.conf << EOF 
 
[ req ]
 
distinguished_name     = req_distinguished_name
 
prompt                 = no
 
 
 
[ req_distinguished_name ]
 
 O                      = $PROJECT_NAME Dodgy Certificate Authority
 
EOF
 
 
 
cat > server_cert.conf << EOF 
 
[ req ]
 
distinguished_name     = req_distinguished_name
 
prompt                 = no
 
 
 
[ req_distinguished_name ]
 
 O                      = $PROJECT_NAME
 
 CN                     = 192.168.111.100
 
EOF
 
 
 
cat > client_cert.conf << EOF 
 
[ req ]
 
distinguished_name     = req_distinguished_name
 
prompt                 = no
 
 
 
[ req_distinguished_name ]
 
 O                      = $PROJECT_NAME Device Certificate
 
 CN                     = 192.168.111.101
 
EOF
 
 
 
mkdir ca
 
mkdir server
 
mkdir client
 
mkdir certDER
 
 
 
# private key generation
 
openssl genrsa -out ca.key 1024
 
openssl genrsa -out server.key 1024
 
openssl genrsa -out client.key 1024
 
 
 
# cert requests
 
openssl req -out ca.req -key ca.key -new \
 
            -config ./ca_cert.conf
 
openssl req -out server.req -key server.key -new \
 
            -config ./server_cert.conf
 
openssl req -out client.req -key client.key -new \
 
            -config ./client_cert.conf
 
 
 
# generate the actual certs.
 
openssl x509 -req -in ca.req -out ca.crt \
 
            -sha1 -days 5000 -signkey ca.key
 
openssl x509 -req -in server.req -out server.crt \
 
            -sha1 -CAcreateserial -days 5000 \
 
            -CA ca.crt -CAkey ca.key
 
openssl x509 -req -in client.req -out client.crt \
 
            -sha1 -CAcreateserial -days 5000 \
 
            -CA ca.crt -CAkey ca.key
 
 
 
openssl x509 -in ca.crt -outform DER -out ca.der
 
openssl x509 -in server.crt -outform DER -out server.der
 
openssl x509 -in client.crt -outform DER -out client.der
 
 
 
mv ca.crt ca.key ca/
 
mv server.crt server.key server/
 
mv client.crt client.key client/
 
 
 
mv ca.der server.der client.der certDER/
 
 
 
rm *.conf
 
rm *.req
 
rm *.srl

  

將上述程式碼儲存為makefile.sh

做如下修改,終端執行。

  • 修改 CN 域中 IP 地址為你主機/裝置的 IP 地址

  •  

     [可選]加密位數 1024 修改為你需要的加密位數

CA校驗證書測試

進行如下測試,以驗證證書是否可用:

$openssl verify -CAfile ca/ca.crt server/server.crt

$openssl verify -CAfile ca/ca.crt client/client.crt

結果如下:

 

配置單/雙向認證

step 1.進入配置檔案

sudo vim /etc/mosquitto/mosquitto.conf

 

step 2.找到 Default listener,在該欄下進行如下配置

 

再找到Certificate based SSL/TLS support欄位. 

即:

port 8883

cafile /etc/mosquitto/CA/ca.crt

certfile /etc/mosquitto/CA/server/server.crt

keyfile /etc/mosquitto/CA/server/server.key

require_certificate true

use_identity_as_username true

  

根據自己路徑不同配置校驗檔案路徑,這裡是把檔案放在/etc/mosquitto/CA/下

注意!!!

根據單向認證和雙向認證需要,可能需修改的欄位有:

a) port 8883 // MQTT伺服器將選擇此埠 listen

b) cafile /etc/mosquitto/CA/ca.crt

雙向認證必須配置為你的CA證書

單向認證(通常認為是client校驗server證書,下同)可選配置

單向認證中,server 和 client 端 ca 配置必須保持一致。即 server 若配置 ca.crt ,則 client 必須配置 ca.crt, server 不配置ca.crt ,client 也不可配置 ca.crt

路徑必須為絕對路徑!!!

 

c) certfile /etc/mosquitto/CA/server/server.crt

單項認證和雙向認證都必須配置為你的server證書

 

d) keyfile /etc/mosquitto/CA/server/server.key

單項認證和雙向認證都必須配置為你的server私鑰

 

e) require_certificate true

單向認證需設定為 false,註釋此行,預設也是 false

雙向認證必須配置為true

 

f) use_identity_as_username true

單向認證設定為 false,註釋此行,預設也是 false

雙向認證通常設定為true

從上面可以看出,雙向和單項認證的區別是,除了需要單向SSL認證需要的CA的證書,伺服器端的公鑰和私鑰的證書之外,還需要開啟下面的兩個開關。

 

require_certificate true

use_identity_as_username true

 

  

 

重啟服務

mosquitto -c /etc/mosquitto/mosquitto.conf

如果提示埠被佔用,先ps出mosquitto,再kill掉

ps -aux | grep "mosquitto"

kill -9 XXXXX

單雙向切換

單向認證只需要註釋兩行即可:

#require_certificate true

#use_identity_as_username true

如下:

port 8883

cafile  /etc/mosquitto/CA/ca/ca.crt

certfile  /etc/mosquitto/CA/server/server.crt

keyfile  /etc/mosquitto/CA/server/server.key

 

同時開啟單雙向認證

step 1.

在先將/etc/mosquitto/mosquitto.conf 檔案按上面配置預設開啟雙向認證,再找到 Extra listener欄位

進行如下配置,開啟另一個埠用作單向認證

step 2.

再在該欄位下找到Certificate based SSL/TLS support欄位

 

step 3.重啟服務

mosquitto -c /etc/mosquitto/mosquitto.conf

 

驗證

step 1.進入到CA證書目錄下:

step 2.雙向:

終端一:訂閱

mosquitto_sub -h 10.30.11.47  -p 8883 -t "mqtt/server/topic" --cafile ./ca/ca.crt --cert ./client/client.pem --key ./client/client.key &

 

終端二:釋出

mosquitto_pub -h 10.30.11.47  -p 8883 -t "mqtt/server/topic" -m "hello,world!" --cafile ./ca/ca.crt --cert ./server/server.pem --key ./server/server.key

  

step 3. 單向

終端一:訂閱

mosquitto_sub -h 10.30.11.47  -p 8884 -t "mqtt/server/topic" --cafile ./ca/ca.crt &

  

終端二:釋出

mosquitto_pub -h 10.30.11.47  -p 8884 -t "mqtt/server/topic" -m " hello,world!" --cafile ./ca/ca.crt

  

 

相關推薦

mosquitto ---SSL/TLS 單向認證+雙向認證

生成證書 # * Redistributions in binary form must reproduce the above copyright #   notice, this list of conditions and the following disclaimer

(xampp)lampp 下配置https(ssl)自簽雙向認證以後 apache無法啟動解決方案

art blog xtra 場景 問題 .com 客戶端瀏覽器 php https 自簽CA一般是沒有應用場景的,因為需要客戶端瀏覽器導入證書才能訪問 但是在某些需要內部使用的場景下,確實是一個解決方案 但是在lampp配置了雙向認證以後發現 原來自帶的管理命令 lampp

Android Retrofit HTTPS 單向認證 雙向認證

由於最近要做一個安全性比較高的專案,因此需要用到HTTPS進行雙向認證。客戶端基於Retrofit + Rxjava+EventBus來實現 基於Retrofit實現HTTPS思路 由於Retrofit是基於OkHttp實現的,因此想通過Retrofit實現HTTPS需要給R

SSL/TLS 雙向認證(一) -- SSL/TLS工作原理

一: SSL/TLS介紹 什麼是SSL,什麼是TLS呢?官話說SSL是安全套接層(secure sockets layer),TLS是SSL的繼任者,叫傳輸層安全(transport layer security)。說白點,就是在明文的上層和TCP層之間加上

C# https雙向認證,"請求被中止: 未能建立 SSL/TLS 安全通道"解決辦法

最近的專案中用到了呼叫https的介面的功能,編寫出程式後在我自己的電腦上執行沒有問題,但是在同事的電腦上和服務上都沒有辦法正常執行,提示“請求被中止: 未能建立 SSL/TLS 安全通道”,最後在專案經理的幫助下和網上查找了大量的資料,以及做了大量的測試下終於解決了問題,所

SSL/TLS雙向認證程式碼示例

採用SSL/TLS形式的安全連結,能防止資料傳輸過程中被截獲修改等問題。 SSL演算法簡短說明:     對稱加密演算法:DES 3DES AES 客戶端和服務端使用同一個金鑰對訊息進行加密解密。     非對稱加密演算法:RSA, 生成公鑰和私鑰,採用公鑰加密,私鑰解密

SSL-TLS 雙向認證(一) -- SSL-TLS工作原理

一: SSL/TLS介紹 什麼是SSL,什麼是TLS呢?官話說SSL是安全套接層(secure sockets layer),TLS是SSL的繼任者,叫傳輸層安全(transport layer security)。說白點,就是在明文的上層和TCP層之間加上一層加密,

SSL認證單向認證雙向認證

服務 檢查 一個 密碼 ssl協議 用戶數 中心 方式 信息 SSL認證過程 目前SSL證書認證分為單向認證域雙向認證,單向認證只要求站點部署了ssl證書,任何用戶都可以去訪問(IP被限制除外等),只是服務端提供了身份認證。而雙向認證則是需要是服務端需要客戶端提供身份認證,

Https、OpenSSL自建CA證書及簽發證書、nginx單向認證雙向認證及使用Java訪問

1.5 image echo create etc 保存 config openss ima 0.環境 安裝了nginx,安裝了openssl 1.配置和腳本 先創建一個demo目錄(位置自己選擇,我選擇建在nginx的目錄下): mkdir /etc/nginx/

https單向認證雙向認證

加密原理 成熟 實現 服務器 數字 成本 密鑰對 域名 除了 1.首先理解非對稱加密與對稱加密 (1)非對稱加密算法需要兩個密鑰:公開密鑰(publickey)和私有密鑰(privatekey)。公開密鑰與私有密鑰是一對,如果用公開密鑰對數據進行加密, 只有

利用mina框架進行ssl雙向認證連結

再上一篇中我已將建立好了證書,現在開始進行測試建立的證書有沒有用,先建立一個maven專案目錄結構如下 我們這裡是進行的雙向測試,如果想進行單項測試,也就是伺服器端不驗證客戶端的身份(關於ssl的原理可以自行百度瞭解)等會再說,改一個配置就行. 先引入pom檔案: <p

PKI學習之路(五)-----------------------SSL雙向認證日誌分析

根據上一篇的執行結果,我們根據它的日誌分析互動的過程 "C:\Program Files\Java\jdk1.8.0_161\bin\java.exe" "-javaagent:D:\IntelliJ IDEA 2018.1.5\lib\idea_rt.jar=52038:D:\IntelliJ

PKI學習之路(四)-----------------------SSL雙向認證

專案地址:https://github.com/gongxianshengjiadexiaohuihui/PKI/tree/master/ssl 上一篇 我們講了如何用java自帶的keytool工具生成數字證書,我們需要準備兩個證書,一個是server的一個是client的 &

Android 加密傳輸(SSL),雙向認證 筆記

工作需要使用到 Android  加密傳輸(SSL),雙向認證 ,因為未使用過,所以搜尋了總結了一下相關知識,並整理作為筆記 參考部落格 :Retrofit 2.0 詳解(二)載入https請求(轉)       &nbs

Android 加密傳輸(SSL),雙向認證 筆記

工作需要使用到 Android  加密傳輸(SSL),雙向認證 ,因為未使用過,所有搜尋了總結了一下相關知識,並整理作為筆記 搜尋的時候關於SSL+http 的解釋有很多,不做細說,本文值記錄如何實現,包括證書製作、myeclipse服務部署以及Android端程式

HTTPS 單向認證雙向認證

一、HTTP HyperText Transfer Protocol ,超文字傳輸協議,是網際網路上使用最廣泛的一種協議,所有WWW檔案必須遵循的標準。HTTP協議傳輸的資料都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私資訊非常不安全。 使用TCP埠為:80

乾貨 | 圖解 https 單向認證雙向認證

一、Http HyperText Transfer Protocol,超文字傳輸協議,是網際網路上使用最廣泛的一種協議,所有WWW檔案必須遵循的標準。HTTP協議傳輸的資料都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私資訊非常不安全。 使用TCP埠為:80

SSL/TLS 認證流程

最近遇到一個問題,關係到SSL 握手,於是就把流程總結了下,畫了個簡單的流程圖。 紅色部分為伺服器端訊息,紫色部分為客戶端訊息,黑色部分為雙向認證需要的訊息,綠色部分為某些情況下的特殊需求,這裡不做詳細的解釋。 下圖內容都可以通過wireshare 抓包看到具體的內容,有

SSL握手通訊詳解及linux下c/c++ SSL Socket(另附SSL雙向認證客戶端程式碼)

SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網路通訊提供安全及資料完整性的一種安全協議。TLS與SSL在傳輸層對網路連線進行加密。   安全證書既包含了用於加密資料的金鑰

https單向認證雙向認證

一、Http HyperText Transfer Protocol,超文字傳輸協議,是網際網路上使用最廣泛的一種協議,所有WWW檔案必須遵循的標準。HTTP協議傳輸的資料都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私資訊非常不安全。 使用TCP埠為:80