👉原文阅读
💡章前提示
本文采用8084端口进行连接,是EMQX 默认提供了四个常用的监听器之一,如果需要添加其他类型的监听器,可参考官方文档🔗管理 | EMQX 文档。
本文使用自签名CA,需要提前在Linux系统上安装🔗OpenSSL,具体安装教程请自行搜索。
本文采用SSL/TLS连接,需要提前在EMQX上启用,可参考🔗开启 SSL/TLS 连接| EMQX 文档
目录
- 👉[原文阅读](https://b1ankc-mov.github.io/posts/emqx_mqtt_ssl_wss/)
- 💡章前提示
- 📘正文开始
- 使用OpenSSL获取证书
- CA文件
- Server文件
- 🔑小贴士
- Client文件
- 登录EMQX平台配置服务器
- 🚩注意
- 使用MQTTX客户端测试连接
- 单向认证的SSL/TLS连接
- 双向认证的SSL/TLS连接
📘正文开始
使用OpenSSL获取证书
CA文件
- 打开Linux系统终端操作窗口,输入以下指令,查看OpenSSL是否安装,如果有,则会显示版本信息。
openssl version
- 生成私钥:
my_root_ca.key
openssl genrsa -out my_root_ca.key 2048
- 使用该密钥生成根(CA)证书:
my_root_ca.pem
openssl req -x509 -new -nodes -key my_root_ca.key -sha256 -days 3650 -out my_root_ca.pem
系统会提示以下信息,对应含义如下(根据下面的内容填就可以了,#后面的不需要填):
You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]: CN # 国家/地区State or Province Name (full name) [Some-State]:Zhejiang # 省/市Locality Name (eg, city) []:Hangzhou # 城市Organization Name (eg, company) [Internet Widgits Pty Ltd]:EMQX # 组织机构(或公司名),如 EMQOrganizational Unit Name (eg, section) []:EMQX # 机构部门,如 EMQXCommon Name (e.g. server FQDN or YOUR name) []:none # 通用名称,此处应当设置为服务器域名如 mqtt.emqx.com...
Server文件
- 生成EMQX(服务器)端的私钥:
emqx.key
openssl genrsa -out emqx.key 2048
- 使用
vi
命令创建配置文件:openssl.cnf
vi openssl.cnf
文件内容如下,BROKER_ADDRESS
修改为 EMQX 服务器实际的 IP 或 DNS 地址
例如:IP.1 = 127.0.0.1,或 DNS.1 = broker.xxx.com(可以只填IP,把域名DNS那一行删掉)
[req]default_bits = 2048distinguished_name = req_distinguished_namereq_extensions = req_extx509_extensions = v3_reqprompt = no[req_distinguished_name]countryName = CNstateOrProvinceName = ZhejianglocalityName = HangzhouorganizationName = EMQXcommonName = Server certificate[req_ext]subjectAltName = @alt_names[v3_req]subjectAltName = @alt_names[alt_names]IP.1 = BROKER_ADDRESSDNS.1 = BROKER_ADDRESS
最后Esc+:wq
保存并退出。
- 使用上面的密钥和配置文件签发证书请求:
emqx.csr
openssl req -new -key ./emqx.key -config openssl.cnf -out emqx.csr
- 使用请求文件、CA密钥、配置文件,以根证书签发EMQX实体证书:
emqx.pem
openssl x509 -req -in ./emqx.csr -CA my_root_ca.pem -CAkey my_root_ca.key -CAcreateserial -out emqx.pem -days 3650 -sha256 -extensions v3_req -extfile openssl.cnf
🔑小贴士
准备好Server文件(EMQX证书)后,就可以启用EMQX单向认证的SSL/TLS连接功能了
如果需要双向认证或客户端证书和客户端Key文件,用来满足配置nginx等需求的,请继续配置Client文件↓
Client文件
这一部分原理和内容跟配置Server文件一样,不赘述了,直接放步骤。
- 生成client.key
openssl genrsa -out client.key 2048
- 生成client.csr
openssl req -new -key ./client.key -config openssl.cnf -out client.csr
- 生成client.pem
openssl x509 -req -in ./client.csr -CA my_root_ca.pem -CAkey my_root_ca.key -CAcreateserial -out client.pem -days 3650 -sha256 -extensions v3_req -extfile openssl.cnf
登录EMQX平台配置服务器
- 将前文中通过OpenSSL工具生成的
emqx.pem
、emqx.key
及my_root_ca.pem
文件拷贝到 EMQX 的etc/certs/
目录下,并参考如下配置修改emqx.conf
:
## listener.ssl.$name is the IP address and port that the MQTT/SSL## Value: IP:Port | Portlistener.ssl.external = 8084## Path to the file containing the user's private PEM-encoded key.## Value: Filelistener.ssl.external.keyfile = etc/certs/emqx.key## Path to a file containing the user certificate.## Value: Filelistener.ssl.external.certfile = etc/certs/emqx.pem## Path to the file containing PEM-encoded CA certificates. The CA certificates## Value: Filelistener.ssl.external.cacertfile = etc/certs/my_root_ca.pem
博主8084端口部分修改之后是这样的↓
- 打开 Dashboard,点击管理 -> 监听器进入监听器管理页面
打开8084端口配置界面,重新设置TLS Cert,TLS Key和CA Cert,分别对应上传emqx.pem
,emqx.key
,my_root_ca.pem
文件
🚩注意
-
这里类型两个字下面框里的内容要提前设置成wss要不然SSL/TLS连接没法用
-
另外SSL版本最好是这样
这些章前的参考文档都说明了,这里再提醒一下,其他设置基本默认,出问题回去看官方文档
- 重启EMQX服务器
emqx restart
使用MQTTX客户端测试连接
MQTTX官网🔗:MQTTX:全功能 MQTT 客户端工具
官方安装文档🔗:安装 - MQTTX 文档
官方使用文档🔗:MQTT 客户端工具演示 | EMQX 文档
单向认证的SSL/TLS连接
-
打开MQTTX客户端,添加连接,填写信息:
名称随便填,Client ID随机
服务器地址选择wss://,后面填IP地址,端口8084
SSL安全按钮关闭
证书类型选择CA or Self signed certificates,在CA文件处上传根(CA)证书即可,客户端证书和客户端key文件两栏不填
MQTT版本3.1.1
- 点击连接按钮,连接成功
- 发送测试消息,发送成功
-
参考官方使用文档的步骤🔗MQTT 客户端工具演示 | EMQX 文档,创建另一个连接作为消息接受客户端(配置与之前相同),添加订阅,在Topic中输入test
接着在原来的EMQX_SSL_TEST连接重新发送test消息,客户端会收到新消息
双向认证的SSL/TLS连接
除了SSL安全按钮启动和填入客户端证书、key文件之外,与单向认证没有什么区别,具体看图:
至此,所有测试连接成功√,你会在EMQX监听器上看见连接数增加。
参考文章链接:
- EMQ X MQTT 服务器启用 SSL/TLS 安全连接
- 开启 SSL/TLS 连接 | EMQX 文档
- 获取 SSL/TLS 证书 | EMQX 文档
- MQTT 客户端工具演示 | EMQX 文档
- 管理 | EMQX 文档