這篇文章主要講解了“如何在EMQ X中為MQTT啟用TLS”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來(lái)研究和學(xué)習(xí)“如何在EMQ X中為MQTT啟用TLS”吧！

成都創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供扶余網(wǎng)站建設(shè)、扶余做網(wǎng)站、扶余網(wǎng)站設(shè)計(jì)、扶余網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、扶余企業(yè)網(wǎng)站模板建站服務(wù)，十年扶余做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

作為基于現(xiàn)代密碼學(xué)公鑰算法的安全協(xié)議，TLS/SSL 能在計(jì)算機(jī)通訊網(wǎng)絡(luò)上保證傳輸安全，EMQ X 內(nèi)置對(duì) TLS/SSL 的支持，包括支持單/雙向認(rèn)證、X.509 證書、負(fù)載均衡 SSL 等多種安全認(rèn)證。你可以為 EMQ X 支持的所有協(xié)議啟用 SSL/TLS，也可以將 EMQ X 提供的 HTTP API 配置為使用 TLS。

SSL/TLS 帶來(lái)的安全優(yōu)勢(shì)

• 強(qiáng)認(rèn)證。用 TLS 建立連接的時(shí)候，通訊雙方可以互相檢查對(duì)方的身份。在實(shí)踐中，很常見(jiàn)的一種身份檢查方式是檢查對(duì)方持有的 X.509 數(shù)字證書。這樣的數(shù)字證書通常是由一個(gè)受信機(jī)構(gòu)頒發(fā)的，不可偽造。

• 保證機(jī)密性。TLS 通訊的每次會(huì)話都會(huì)由會(huì)話密鑰加密，會(huì)話密鑰由通訊雙方協(xié)商產(chǎn)生。任何第三方都無(wú)法知曉通訊內(nèi)容。即使一次會(huì)話的密鑰泄露，并不影響其他會(huì)話的安全性。

• 完整性。加密通訊中的數(shù)據(jù)很難被篡改而不被發(fā)現(xiàn)。

SSL/TLS 協(xié)議

TLS/SSL 協(xié)議下的通訊過(guò)程分為兩部分，第一部分是握手協(xié)議。握手協(xié)議的目的是鑒別對(duì)方身份并建立一個(gè)安全的通訊通道。握手完成之后雙方會(huì)協(xié)商出接下來(lái)使用的密碼套件和會(huì)話密鑰；第二部分是 record 協(xié)議，record 和其他數(shù)據(jù)傳輸協(xié)議非常類似，會(huì)攜帶內(nèi)容類型，版本，長(zhǎng)度和荷載等信息，不同的是它所攜帶的信息是加密了的。

下面的圖片描述了 TLS/SSL 握手協(xié)議的過(guò)程，從客戶端的 "hello" 一直到

SSL/TLS 證書準(zhǔn)備

通常來(lái)說(shuō)，我們會(huì)需要數(shù)字證書來(lái)保證 TLS 通訊的強(qiáng)認(rèn)證。數(shù)字證書的使用本身是一個(gè)三方協(xié)議，除了通訊雙方，還有一個(gè)頒發(fā)證書的受信第三方，有時(shí)候這個(gè)受信第三方就是一個(gè) CA。和 CA 的通訊，一般是以預(yù)先發(fā)行證書的方式進(jìn)行的。也就是在開(kāi)始 TLS 通訊的時(shí)候，我們需要至少有 2 個(gè)證書，一個(gè) CA 的，一個(gè) EMQ X 的，EMQ X 的證書由 CA 頒發(fā)，并用 CA 的證書驗(yàn)證。

獲得一個(gè)真正受外界信任的證書需要到證書服務(wù)提供商進(jìn)行購(gòu)買。在實(shí)驗(yàn)室環(huán)境，我們也可以用自己生成的證書來(lái)模擬這個(gè)過(guò)程。下面我們分別以這兩種方式來(lái)說(shuō)明 EMQ X 服務(wù)器的 SSL/TLS 啟用過(guò)程。

注意：購(gòu)買證書與自簽名證書的配置，讀者根據(jù)自身情況只需選擇其中一種進(jìn)行測(cè)試。

購(gòu)買證書

如果有購(gòu)買證書的話，就不需要自簽名證書。

為方便 EMQ X 配置，請(qǐng)將購(gòu)買的證書文件重命名為 emqx.crt，證書密鑰重命名為 emqx.key。

自簽名證書

在這里，我們假設(shè)您的系統(tǒng)已經(jīng)安裝了 OpenSSL。使用 OpenSSL 附帶的工具集就可以生成我們需要的證書了。

首先，我們需要一個(gè)自簽名的 CA 證書。生成這個(gè)證書需要有一個(gè)私鑰為它簽名，可以執(zhí)行以下命令來(lái)生成私鑰：

openssl genrsa -out my_root_ca.key 2048

這個(gè)命令將生成一個(gè)密鑰長(zhǎng)度為 2048 的密鑰并保存在 my_root_ca.key 中。有了這個(gè)密鑰，就可以用它來(lái)生成 EMQ X 的根證書了：

openssl req -x509 -new -nodes -key my_root_ca.key -sha256 -days 3650 -out my_root_ca.pem

根證書是整個(gè)信任鏈的起點(diǎn)，如果一個(gè)證書的每一級(jí)簽發(fā)者向上一直到根證書都是可信的，那個(gè)我們就可以認(rèn)為這個(gè)證書也是可信的。有了這個(gè)根證書，我們就可以用它來(lái)給其他實(shí)體簽發(fā)實(shí)體證書了。

實(shí)體（在這里指的是 EMQ X）也需要一個(gè)自己的私鑰對(duì)來(lái)保證它對(duì)自己證書的控制權(quán)。生成這個(gè)密鑰的過(guò)程和上面類似：

openssl genrsa -out emqx.key 2048

新建 openssl.cnf 文件，

• req_distinguished_name ：根據(jù)情況進(jìn)行修改，

• alt_names： BROKER_ADDRESS 修改為 EMQ X 服務(wù)器實(shí)際的 IP 或 DNS 地址，例如：IP.1 = 127.0.0.1，或 DNS.1 = broker.xxx.com

[req]
default_bits  = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
countryName = CN
stateOrProvinceName = Zhejiang
localityName = Hangzhou
organizationName = EMQX
commonName = Server certificate
[req_ext]
subjectAltName = @alt_names
[v3_req]
subjectAltName = @alt_names
[alt_names]
IP.1 = BROKER_ADDRESS
DNS.1 = BROKER_ADDRESS

然后以這個(gè)密鑰和配置簽發(fā)一個(gè)證書請(qǐng)求：

openssl req -new -key ./emqx.key -config openssl.cnf -out emqx.csr

然后以根證書來(lái)簽發(fā) EMQ X 的實(shí)體證書：

openssl x509 -req -in ./emqx.csr -CA my_root_ca.pem -CAkey my_root_ca.key -CAcreateserial -out emqx.pem -days 3650 -sha256 -extensions v3_req -extfile openssl.cnf

準(zhǔn)備好證書后，我們就可以啟用 EMQ X 的 TLS/SSL 功能了。

SSL/TLS 啟用及驗(yàn)證

在 EMQ X 中 mqtt:ssl 的默認(rèn)監(jiān)聽(tīng)端口為 8883。

購(gòu)買證書方式

EMQ X 配置

將前文重命名后的 emqx.key 文件及 emqx.crt 文件拷貝到 EMQ X 的 etc/certs/ 目錄下，并參考如下配置修改 emqx.conf：

## listener.ssl.$name is the IP address and port that the MQTT/SSL
## Value: IP:Port | Port
listener.ssl.external = 8883

## Path to the file containing the user's private PEM-encoded key.
## Value: File
listener.ssl.external.keyfile = etc/certs/emqx.key

## Path to a file containing the user certificate.
## Value: File
listener.ssl.external.certfile = etc/certs/emqx.crt

MQTT 連接測(cè)試

當(dāng)配置完成并重啟 EMQ X 后，我們使用 MQTT 客戶端工具 - MQTT X（該工具跨平臺(tái)且支持 MQTT 5.0），來(lái)驗(yàn)證 TLS 服務(wù)是否正常運(yùn)行。

MQTT X 版本要求：v1.3.2 及以上版本

• 參照下圖在 MQTT X 中創(chuàng)建 MQTT 客戶端（Host 輸入框里的 mqttx.app 需替換為實(shí)際的域名）

注意：在 Certificate 一欄只需選擇 CA signed server 即可，使用購(gòu)買證書在進(jìn)行單向認(rèn)證連接時(shí)不需要攜帶任何證書文件（CA 文件也不需要攜帶）。

• 點(diǎn)擊 Connect 按鈕，連接成功后，如果能正常執(zhí)行 MQTT 發(fā)布/訂閱 操作，則購(gòu)買證書的 SSL 單向認(rèn)證配置成功。

自簽名證書方式

EMQ X 配置

將前文中通過(guò) OpenSSL 工具生成的 emqx.pem、emqx.key 及 my_root_ca.pem 文件拷貝到 EMQ X 的 etc/certs/ 目錄下，并參考如下配置修改 emqx.conf：

## listener.ssl.$name is the IP address and port that the MQTT/SSL
## Value: IP:Port | Port
listener.ssl.external = 8883

## Path to the file containing the user's private PEM-encoded key.
## Value: File
listener.ssl.external.keyfile = etc/certs/emqx.key

## Path to a file containing the user certificate.
## Value: File
listener.ssl.external.certfile = etc/certs/emqx.pem

## Path to the file containing PEM-encoded CA certificates. The CA certificates
## Value: File
listener.ssl.external.cacertfile = etc/certs/my_root_ca.pem

MQTT 連接測(cè)試

當(dāng)配置完成并重啟 EMQ X 后，我們使用 MQTT 客戶端工具 - MQTT X（該工具跨平臺(tái)且支持 MQTT 5.0），來(lái)驗(yàn)證 TLS 服務(wù)是否正常運(yùn)行。

MQTT X 版本要求：v1.3.2 及以上版本

• 參照下圖在 MQTT X 中創(chuàng)建 MQTT 客戶端（Host 輸入框里的 127.0.0.1 需替換為實(shí)際的 EMQ X 服務(wù)器 IP）

此時(shí) Certificate 一欄需要選擇 Self signed ，并攜帶自簽名證書中生成的 my_root_ca.pem 文件。

• 點(diǎn)擊 Connect 按鈕，連接成功后，如果能正常執(zhí)行 MQTT 發(fā)布/訂閱 操作，則自簽名證書的 SSL 單向認(rèn)證配置成功。

EMQ X Dashboard 驗(yàn)證

最后，打開(kāi) EMQ X 的 Dashboard 在 Listeners 頁(yè)面可以看到在 8883 端口上有一個(gè) mqtt:ssl 連接。

感謝各位的閱讀，以上就是“如何在EMQ X中為MQTT啟用TLS”的內(nèi)容了，經(jīng)過(guò)本文的學(xué)習(xí)后，相信大家對(duì)如何在EMQ X中為MQTT啟用TLS這一問(wèn)題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是創(chuàng)新互聯(lián)，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！