surgemq添加ssl
1.MQTT协议
消息发布订阅功能的消息队列协议
报文组成: 固定报头(控制报文类型)+可变报头(协议名称、协议级别、连接标志、保持连接)+有效载荷(clentId+will topic+will message +username + password )
协议级别QoS支持0,1,2
可以基于tcp和udp
2.surgemq
Surgemq采用了mqtt通信协议可以做Server和Client,项目里主要用它做Server
Server每次和新的Client连接会创建一个新的对象叫Service
用来维护整个连接到关闭过程中服务端和这个客户端的通信,处理消息的发布,订阅
3.ssl(两种方式)
利用自己生成的根证书分别给服务端(ca.crt,server.crt,server.key)和客户端的证书签名(ca.crt,client.crt,client.key)
只需要根证书对服务端和客户端进行ssl验证(ca.crt,ca.key)
3.1方式一:
No.1 获取服务器自签名证书
获取ca.crt
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=*" -days 5000 -out ca.crt
获取服务端证书和key
openssl genrsa -out server.key 2048
server表示服务端ip,需要在测试服务器/etc/hosts配置添加 119.23.136.97 server openssl req -new -key server.key -subj "/CN=server" -out server.csr openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
获取客户端证书
openssl genrsa -out client.key 2048
openssl req -new -key client.key -subj "/CN=server" -out client.csr
echo extendedKeyUsage=clientAuth > extfile.cnf
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out client.crt -days 5000
No.2服务端和客户端使用证书双向验证
Surqmq server监听端口方式改为tls.listen,tlsConfig加入服务端的证书和key以及根证书
//read crt and key``
certpool := x509.NewCertPool()
pemCerts, err := ioutil.ReadFile(ca)
if err != nil {
fmt.Println(err)
return err
}
certpool.AppendCertsFromPEM(pemCerts)
//server 端加入 tls
cert, err := tls.LoadX509KeyPair(crt, key)
if err != nil {
fmt.Println(err)
return err
}
config := &tls.Config{
Certificates: []tls.Certificate{cert},
ClientAuth: tls.RequireAndVerifyClientCert,
ClientCAs: certpool,
}
this.ln, err = tls.Listen("tcp", u.Host, config)
Paho.mqtt client支持ssl方式的连接方式,tlsConfig加入客户端的证书和key以及根证书
//初始化tlsConfig
func NewTLSConfig(ca, crt, key string) *tls.Config {
certpool := x509.NewCertPool()
pemCerts, err := ioutil.ReadFile(ca)
if err == nil {
certpool.AppendCertsFromPEM(pemCerts)
}
cert, err := tls.LoadX509KeyPair(crt, key)
if err != nil {
panic(err)
}
return &tls.Config{
RootCAs: certpool,
Certificates: []tls.Certificate{cert},
}
}
//将给client设置tlsConfig
connOpts.AddBroker(uri).SetTLSConfig(NewTLSConfig(ca, crt, key))
mc = MQTT.NewClient(connOpts)
3.2方式二:
No.1只需要获取根证书server.crt和server.key
openssl genrsa -out server.key 2048
openssl req -x509 -new -nodes -key server.key -subj "/CN=server" -days 5000 -out server.crt
No.2服务端和客户端使用根证书进行ssl验证
//server 端加入 tls
cert, err := tls.LoadX509KeyPair(crt, key)
if err != nil {
fmt.Println(err)
return err
}
config := &tls.Config{
Certificates: []tls.Certificate{cert},
ClientAuth: tls.NoClientCert, //此处为tls.NoClientCert
}
this.ln, err = tls.Listen("tcp", u.Host, config)
func NewTLSConfig( crt, key string) *tls.Config {
// Import client certificate/key pair
certpool := x509.NewCertPool()
pemCerts, err := ioutil.ReadFile(crt)
if err == nil {
certpool.AppendCertsFromPEM(pemCerts)
}
// Create tls.Config with desired tls properties
return &tls.Config{
RootCAs:certpool,
}
}
//将给client设置tlsConfig
connOpts.AddBroker(uri).SetTLSConfig(NewTLSConfig(ca, crt, key))
mc = MQTT.NewClient(connOpts)