转（逍遥子）Mosquito使用SSL/TLS进行安全通信时的使用方法

http://houjixin.blog.163.com/blog/static/35628410201432205042955/

1、 SSL简介

SSL（SecureSocket Layer）安全套接层，是网景公司提出的用于保证Server与client之间安全通信的一种协议，该协议位于TCP/IP协议与各应用层协议之间， 即SSL独立于各应用层协议，因此各应用层协议可以透明地调用SSL来保证自身传输的安全性，SSL与TCP/IP协议及其其他应用层协议之间的关系如图 1所示。

 图1 SSL/TLS协议与应用层协议及tcp/ip层协议的关系

目前，SSL被大量应用于http的安全通信中，MQTT协议与http协议同样属于应用层协议，因此也可以像http协议一样使用ssl为自己的通信提供安全保证。

SSL与TLS（Transport LayerSecurity Protocol）之间的关系：TLS（TransportLayer Security，传输层安全协议）是IETF（InternetEngineering Task Force，Internet工程任务组）制定的一种新的协议，它建立在SSL 3.0协议规范之上，是SSL 3.0的后续版本。在TLS与SSL3.0之间存在着显著的差别，主要是它们所支持的加密算法不同，所以TLS与SSL3.0不能互操作。

开源的算法Openssl对SSL以及TLS1.0都能提供较好的支持，因此，后面使用mosquitto时也采用Openssl作为SSL的实现。

2、 Openssl安装与常用命令说明

2.1、安装

在CentOS6.3上安装Openssl的命令如下：

yum install openssl-devel

注意在安装的时候要安装“openssl-devel”，而不是“openssl”。

安装成功之后可以使用如下命令查看openssl的版本：

[root@cddserver1~]# openssl version

OpenSSL1.0.1e-fips 11 Feb 2013

2.2、常用命令说明

SSL在身份认证过程中需要有一个双方都信任的CA签发的证书，CA签发证书是需要收费的，但是在测试过程中，可以自己产生一个CA，然后用自己产生的CA签发证书，下面的mosquitto的ssl功能的测试过程就是采用这一方式，其过程如下：

1）       产 生自己的CA，该过程将为CA产生两个文件：ca.key和ca.crt（文件的名字可以修改），其中ca.key是我们自己产生的CA的“密钥文件 “，ca.crt是我们自己产生的CA的”证书文件“，本步结束CA将拥有两个文件ca.key和ca.crt，然后将为CA产生的这两个文件分别拷贝到 mosquitto server及客户端所在的机子上；

2）       在 server所在的机子上，使用这个自己产生的CA为mosquitto的server端签发证书，本步将产生 server.key，server.csr和server.crt三个文件（文件名字可以修改），这里server.csr是签发证书的请求文件，CA 为server端产生证书文件时将用到它，产生完证书文件之后，该文件就不用了；server.key和 server.crt这两个文件将会在后续的SSL通信过程中用到。

3）       在测试客户端所用的机子上，使用这个自己产生的CA为mosquitto的客户端签发证书；本步将产生client.key，client.csr和client.crt三个文件（文件名字可以修改），各文件的含义跟server端类似。

上述三个过程将使用openssl完成，将用到如下几条相关的命令：

l    产生CA的key和证书文件

openssl req -new -x509 -days 36500-extensions v3_ca -keyout ca.key -out ca.crt

该命令将为CA产生一个名字为“ca.key”的key文件和一个名字为“ca.crt”的证书文件，这个crt就是CA自己给自己签名的证书文件。

该命令中选项“-x509”表示该条命令将产生自签名的证书，一般都是测试的时候采用。

l    为mosquittoserver私钥文件“server.key”和证书文件”server.crt”

（1）为mosquittoserver产生一个私钥文件server.key

opensslgenrsa -out server.key 2048

该命令将产生一个不加密的RSA私钥，其中参数“2048”表示私钥的长度，这里产生的私钥文件“server.key”将在下一步使用，同时在mosquitto程序的配置文件中也需要使用。

如果需要为产生的RSA私钥加密，则需加上选项“-des3”，对私钥文件加密之后，后续使用该密钥的时候都要求输入密码。产生加密RSA私钥文件的命令如下：

opensslgenrsa -des3 -out server.key 2048

如果为RSA私钥文件加密了，则一定要记好密码，后面产生csr文件时以及后续使用该私钥文件都会用到该密码。

（2）为mosquitto server产生一个签发证书的请求文件“server.csr”

opensslreq -out server.csr -key server.key -new

该命令将使用上一步产生的“server.key”文件为server产生一个签发证书所需要的请求文件：server.csr，使用该文件向CA发送请求才会得到CA签发的证书。

（3）CA为mosquitto server产生一个证书文件

openssl x509 -req -in server.csr -CA ca.crt-CAkey ca.key -CAcreateserial -out server.crt -days 36500

该 命令将使用CA的密钥文件ca.key，CA的证书文件ca.crt和上一步为mosquitto server产生证书请求文件server.csr文件这三个文件向CA请求产生一个证书文件，证书文件的名字为：server.crt。该命令中的 36500可以修改为自己定义的时间值。

l    为mosquitto的客户端程序产生私钥文件”client.key”和证书文件“client.crt”，过程与为server端类似，这里将不再累述。

（1） 为mosquittoserver产生一个私钥文件”client.key”

openssl genrsa-out client.key 2048

（2） 为mosquitto客户端产生一个签发证书的请求文件“client.csr “

openssl req-out client.csr -key client.key-new

产生证书请求文件时需要第一步产生的私钥文件client.key作为输入。

（3） CA为mosquitto客户端产生一个证书文件”client.crt”

opensslx509 -req -in client.csr-CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 36500

3、 Mosquito使用ssl功能的具体操作方法

下面的例子中，将使用：A（192.168.4.222），B（192.168.4.223）和C（192.168.4.221）这三台机子，其中使用A制作CA证书；在B上运行mosquitto实例，在C上运行一个订阅端，一个发布端。

3.1、产生CA

测试过程中CA在主机cddserver3上；另外，测试过程中，无需采用真正的CA，使用我们自己产生的CA即可，使用命令为：

openssl req -new-x509 -days 36500 -extensions v3_ca -keyout ca.key -out ca.crt

命令执行过程中将需要输入国别、省份（或州）、市、Common Name等参数，其中最需要注意的是” Common Name”这个参数，它必须是当前机子的IP地址，使用主机名不行。如下截图所示

 图3.1

特别要注意的是Common Name参数需要填写主机的IP地址，使用主机名不行。

本步结束即产生自己的CA，它有两个文件“ca.key“和”ca.crt“：

 图3.2

3.2、使用自己产生的CA为server签发证书

将3.1中产生的CA文件拷贝mosquitto server所在机子上（其主机名字为cddserver3）的某个位置，例如：/home/jason.hou/ssl，然后使用该CA为server产生证书文件。如下截图所示：

 图3.3

（1）产生密钥文件server.key，为了减少测试过程中总是提出输入密码的麻烦，这里将为server产生一个不加密的密钥文件。过程如下截图所示：

 图3-4

（2）产生证书签发的请求文件server.csr。过程如下截图所示：

 图3-5

同样该过程需要注意Common Name参数需要填写当前主机的IP地址。

（3）为mosquitto server产生证书文件：server.crt，这一步将需要输入CA的密码，同样，这里也可以看到刚才为CA输入的参数国别、省份等参数，过程如下截图所示：

 图3-6

3.3、使用自己产生的CA为client签发证书

该过程与3.2类似。首先，将3.1中产生的CA文件拷贝mosquittoclient所在机子（其主机名字为cddserver1）上的某个位置，例如：/home/jason.hou/ssl，然后使用该CA为server产生证书文件。如下截图所示：

 图3-7

（1）  产生密钥文件client.key，过程如下截图所示：

 图3-8

（2）  产生证书请求文件client.csr，过程如下截图所示：

 图3-9

（3）  为客户产生证书文件Client.crt，过程如下截图所示：

 图3-10

3.4、修改mosquitto配置文件

为了使用SSL功能Mosquito的配置文件mosquitto.conf需要修改以下四个地方：

(1)           port 参数，mosquitto官方网站建议在使用功能的时候使用8883端口，如下所示：

 图3-11（1）

图3-11（2）

(2)           修改cafile参数，该参数表示CA的证书文件的位置，需将其设置为正确的位置，例如下图所示

 图3-12

(3)           修改certfile参数，该参数表示CA为server端签发的证书文件的位置，如上图所示。

(4)           修改keyfile参数，该参数表示server端使用的key文件的位置。如上图所示。

3.5、运行程序

（1）启动mosquitto server端

使用修改后的配置文件启动mosquitto程序，上面修改的配置文件的路径，在mosquitto目录下，因此需要用-c参数指定其位置，如下图所示：

 图3-13

（2）启动订阅端：

订阅端所在ssl文件的路径为：/home/jason.hou/ssl，启动时所使用的命令为：

./mosquitto_sub-h 192.168.4.223 -i 111 -p 8883 -t "111" --cafile/home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key

如下图所示：

 图3-14

（4）  启动发布端

启动时所使用的命令为：

./mosquitto_pub -h192.168.4.223 -p 8883 -t "111" -m "this is jason.hou"--cafile /home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key

如下图所示：

 图3-15

（5）  发布消息之后，mosquitto、订阅端、发布端的截图如下：

Mosquito：

 图3-16

发布端：

 图3-17

订阅端：

 图3-18

1、 注意事项

（1）  制作签发证书的请求文件时，需要输入Common Name参数，此参数一定为当前主机的IP地址，否则将会显示证书错误。

（2）  如果不想SSL在身份认证的时候检查主机名（也即上面不检查第1条中Common Name参数），则需要在启动订阅端的时候，加上“--insecure”参数，例如：

./mosquitto_sub-h 192.168.4.223 -i 111 -p 8883 -t "111" --cafile/home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key  --insecure

（3）  自测过程中，server端与所有客户端所使用的证书必须由一个CA签发，否则，将会提示CA不识别的问题。

问题提示为：

1398166026:New connection from 192.168.4.221 on port 8883.

1398166026:OpenSSL Error: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknownca

1398166026:OpenSSL Error: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshakefailure

1398166026:Socket error on client (null), disconnecting.

如下图所示：