Mosquitto服务器的搭建以及SSL/TLS安全通信配置

Mosquitto服务器的搭建以及SSL/TLS安全通信配置

摘自：https://segmentfault.com/a/1190000005079300

• openhab
•  raspberry-pi

8k 次阅读  ·  读完需要 22 分钟

0

1、 SSL简介

SSL（SecureSocket Layer）安全套接层，是网景公司提出的用于保证Server与client之间安全通信的一种协议，该协议位于TCP/IP协议与各应用层协议之间，即SSL独立于各应用层协议，因此各应用层协议可以透明地调用SSL来保证自身传输的安全性，SSL与TCP/IP协议及其其他应用层协议之间的关系如图1所示。

图1 SSL/TLS协议与应用层协议及tcp/ip层协议的关系

目前，SSL被大量应用于http的安全通信中，MQTT协议与http协议同样属于应用层协议，因此也可以像http协议一样使用ssl为自己的通信提供安全保证。

SSL与TLS（Transport LayerSecurity Protocol）之间的关系：
TLS（TransportLayer Security，传输层安全协议）是IETF（InternetEngineering Task Force，Internet工程任务组）制定的一种新的协议，它建立在SSL 3.0协议规范之上，是SSL 3.0的后续版本。在TLS与SSL3.0之间存在着显著的差别，主要是它们所支持的加密算法不同，所以TLS与SSL3.0不能互操作。

开源的算法Openssl对SSL以及TLS1.0都能提供较好的支持，因此，后面使用mosquitto时也采用Openssl作为SSL的实现。

2、 Openssl安装与常用命令说明

2.1、安装
在ubuntu14.04上安装Openssl的命令如下：

apt-get install openssl-devel

注意在安装的时候要安装“openssl-devel”，而不是“openssl”。
安装成功之后可以使用如下命令查看openssl的版本：

w@w:~$ openssl version
OpenSSL 1.0.1f 6 Jan 2014

2 Mosquito使用ssl功能的具体操作方法

将使用：A【cddserver2】（172.18.206.221），B【cddserver3】（172.18.195.182）和C【cddserver1】（172.18.205.63）这三台机子，其中使用A制作CA证书；B作为服务器端上运行mosquitto实例，在C上运行一个订阅端，一个发布端。

2.1、产生CA的key和证书文件
使用命令为：

openssl req -new -x509 -days 36500-extensions v3_ca -keyout ca.key -out ca.crt

该命令将为CA产生一个名字为“ca.key”的key文件和一个名字为“ca.crt”的证书文件，这个crt就是CA自己给自己签名的证书文件。

该命令中选项“-x509”表示该条命令将产生自签名的证书，一般都是测试的时候采用。

命令执行过程中将需要输入国别、省份（或州）、市、Common Name等参数，其中最需要注意的是” Common Name”这个参数，它必须是当前机子的IP地址，使用主机名不行。如下截图所示

特别要注意的是Common Name参数需要填写主机的IP地址，使用主机名不行。
本步结束即产生自己的CA，它有两个文件“ca.key“和”ca.crt“：

2.2、使用自己产生的CA为server签发证书
将3.1中产生的CA文件拷贝mosquitto server所在机子上（其主机名字为cddserver3）的某个位置，例如：/home/lvhao/w/ssl，然后使用该CA为server产生证书文件。如下截图所示：

图2-3

（1）产生密钥文件server.key，为了减少测试过程中总是提出输入密码的麻烦，这里将为server产生一个不加密的密钥文件。过程如下截图所示：
该命令将产生一个不加密的RSA私钥，其中参数“2048”表示私钥的长度，这里产生的私钥文件“server.key”将在下一步使用，同时在mosquitto程序的配置文件中也需要使用。
opensslgenrsa -out server.key 2048

图2-4

如果需要为产生的RSA私钥加密，则需加上选项“-des3”，对私钥文件加密之后，后续使用该密钥的时候都要求输入密码。产生加密RSA私钥文件的命令如下：

opensslgenrsa -des3 -out server.key 2048

如果为RSA私钥文件加密了，则一定要记好密码，后面产生csr文件时以及后续使用该私钥文件都会用到该密码。

（2）产生证书签发的请求文件server.csr。过程如下截图所示：
该命令将使用上一步产生的“server.key”文件为server产生一个签发证书所需要的请求文件：server.csr，使用该文件向CA发送请求才会得到CA签发的证书。

opensslreq -out server.csr -key server.key -new

图2-5

同样该过程需要注意Common Name参数需要填写当前主机的IP地址。

（3）为mosquitto server产生证书文件：server.crt，这一步将需要输入CA的密码，同样，这里也可以看到刚才为CA输入的参数国别、省份等参数，过程如下截图所示：

openssl x509 -req -in server.csr -CA ca.crt-CAkey ca.key -CAcreateserial -out server.crt -days 36500

该命令将使用CA的密钥文件ca.key，CA的证书文件ca.crt和上一步为mosquitto server产生证书请求文件server.csr文件这三个文件向CA请求产生一个证书文件，证书文件的名字为：server.crt。该命令中的36500可以修改为自己定义的时间值。

图2-6

2.3、使用自己产生的CA为client签发证书该过程与3.2类似。
首先，将3.1中产生的CA文件拷贝mosquittoclient所在机子C（其主机名字为cddserver1）上的某个位置，例如：/home/lvhao/w/ssl，然后使用该CA为server产生证书文件。如下截图所示：

图2-7
（1） 产生密钥文件client.key，过程如下截图所示：

openssl genrsa-out client.key 2048

（2） 产生一个签发证书的请求文件"client.csr "

openssl req-out client.csr -key client.key-new

产生证书请求文件时需要第一步产生的私钥文件client.key作为输入。

（3） CA为mosquitto客户端产生一个证书文件”client.crt”

opensslx509 -req -in client.csr-CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 36500

2.4、修改mosquitto配置文件
为了使用SSL功能Mosquito的配置文件mosquitto.conf需要修改以下四个地方：
(1) port 参数，mosquitto官方网站建议在使用功能的时候使用8883端口，如下所示：

(2) 修改cafile参数，该参数表示CA的证书文件的位置，需将其设置为正确的位置，例如下图所示

2.5、运行程序
（1）启动mosquitto server端【机器B】
使用修改后的配置文件启动mosquitto程序，上面修改的配置文件的路径，在mosquitto目录下，因此需要用-c参数指定其位置，如下图所示：

(2）启动订阅端【机器C】：
订阅端所在ssl文件的路径为：/home/jason.hou/ssl，启动时所使用的命令为：

./mosquitto_sub -h 172.18.195.182 -i 111 -p 8883 -t "111" --cafile /home/lvhao/w/ssl/ca.crt --cert /home/lvhao/w/ssl/client.crt --key /home/lvhao/w/ssl/client.key

如下图所示：

（4）启动发布端【机器C】
启动时所使用的命令为：

./mosquitto_pub -h 172.18.195.182 -p 8883 -t "111" -m "this is w show"--cafile /home/lvhao/w/ssl/ca.crt --cert /home/lvhao/w/ssl/client.crt --key /home/lvhao/w/ssl/client.key

如下图所示：

（5） 发布消息之后，mosquitto、订阅端、发布端的截图如下：
Mosquito：

发布端【机器C】：

订阅端【机器C】：

1、 注意事项
（1） 制作签发证书的请求文件时，需要输入Common Name参数，此参数一定为当前主机的IP地址，否则将会显示证书错误。
（2） 如果不想SSL在身份认证的时候检查主机名（也即上面不检查第1条中Common Name参数），则需要在启动订阅端的时候，加上“--insecure”参数，例如：
./mosquitto_sub-h 192.168.4.223 -i 111 -p 8883 -t "111" --cafile/home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key --insecure
（3） 自测过程中，server端与所有客户端所使用的证书必须由一个CA签发，否则，将会提示CA不识别的问题。

3 Mosquitto的安装：

见网址：
http://blog.csdn.net/xukai871...

3.1 安装
下载源代码包

wget http://mosquitto.org/files/source/mosquitto-1.4.10.tar.gz

解压

tar zxfv mosquitto-1.4.5.tar.gz

进入目录

cd mosquitto-1.4.10

编译

make

安装

sudo make install

3.2 安装注意点

【1】编译找不到openssl/ssl.h
【解决方法】——安装openssl

sudo apt-get install libssl-dev

【2】编译过程找不到ares.h

sudo apt-get install libc-ares-dev

【3】编译过程找不到uuid/uuid.h

sudo apt-get install uuid-dev

【4】使用过程中找不到libmosquitto.so.1

error while loading shared libraries: libmosquitto.so.1: cannot open shared object file: No such file or directory

【解决方法】——修改libmosquitto.so位置
创建链接

sudo ln -s /usr/local/lib/libmosquitto.so.1 /usr/lib/libmosquitto.so.1

更新动态链接库

sudo ldconfig

【5】make: g++：命令未找到 
【解决方法】安装g++编译器

sudo apt-get install g++

3.2 简单测试

一个完整的MQTT示例包括一个代理器，一个发布者和一个订阅者。测试分为以下几个步骤：

【1】启动服务mosquitto。
【2】订阅者通过mosquitto_sub订阅指定主题的消息。
【3】发布者通过mosquitto_pub发布指定主题的消息。
【4】代理服务器把该主题的消息推送到订阅者。

【测试说明】
测试环境：ubuntu 14.04 虚拟机
在本例中，发布者、代理和订阅者均为localhsot，但是在实际的情况下三种并不是同一个设备，在mosquitto中可通过-h(--host)设置主机名称(hostname)。为了实现这个简单的测试案例，需要在linux中打开三个控制台，分别代表代理服务器、发布者和订阅者。

3.2.1 启动代理服务

mosquitto -v

【-v】打印更多的调试信息

3.2.2 订阅主题

mosquitto_sub -v -t sensor

【-t】指定主题，此处为sensor
【-v】打印更多的调试信息

3.2.3 发布内容

mosquitto_pub -t sensor -m 12

【-t】指定主题
【-m】指定消息内容

3.2.4 运行结果
当发布者推送消息之后，订阅者获得以下内容

sensor 12

而代理服务器控制台中会出现——连接、消息发布和心跳等调试信息。通过代理服务器的调试输出可以对MQTT协议的相关过程有所了解。

4 总结

服务器Apollo与Mosquitto的对比。