ssl双向认证
一、背景知识
1、名词解释
ca.key: 根证书的私钥 , ca.crt: 根证书的签名证书
server.key, server.crt
client.key, client.crt
2、生成机制
1、openssl-> ca.key,ca.crt
2、openssl-> server.key->server.csr<-ca.crt+ca.key =>server.crt
3、openssl-> client.key->client.csr<-ca.crt+ca.key =>client.crt
功能设计:
第一步,使用openssl生成ca.key -> ca.crt,
生成server.key -> server.csr , server.csr + ca.key + ca.crt -> server.crt
第二步,配置 ca.crt, server.key, server.crt 到 mosquito服务器
第三步,配置 ca.crt, ca.key 到管理控制台,
通过管理控制台生成client.key -> client.csr,client.csr + ca.key + ca.crt -> client.crt, 并提供 ca.crt + client.crt + client.key 的下载
3、部署发布
服务器端: 持有 ca.crt , server.key + server.crt , 如: mosquito
客户端: 持有 ca.crt , server.key, server.crt , 如:设备
证书生成端: 持有 ca.crt , ca.key, 如:管理控制台
二、生成证书
1 产生CA的key和证书
使用命令为:
openssl req -new -x509 -days 36500 -extensions v3_ca -keyout ca.key -out ca.crt
该命令将为CA产生一个名字为“ca.key”的key文件和一个名字为“ca.crt”的证书文件,这个crt就是CA自己给自己签名的证书文件。
该命令中选项“-x509”表示该条命令将产生自签名的证书,一般都是测试的时候采用。
命令执行过程中将需要输入国别、省份(或州)、市、Common Name等参数,其中” Common Name”参数,必须是当前机子的IP地址,使用主机名不行。
2 使用该CA为server签发证书
使用该CA为server产生证书文件。
(1)产生密钥文件server.key
该命令将产生加密的RSA私钥,其中参数”-des3”表示对产生的RSA私钥加密,参数”2048”表示私钥的长度,这里产生的私钥文件“server.key”将在下一步使用,同时在mosquitto程序的配置文件中也需要使用。
openssl genrsa -des3 -out server.key 2048
(2)产生证书签发的请求文件server.csr
该命令将使用上一步产生的“server.key”文件为server产生一个签发证书所需要的请求文件:server.csr,使用该文件向CA发送请求才会得到CA签发的证书。
openssl req -out server.csr -key server.key -new
同样该过程需要注意Common Name参数需要填写当前主机的IP地址。
(3)为mosquitto server产生证书文件:server.crt
命令:
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 36500
这一步将需要输入CA的密码。该命令将使用CA的密钥文件ca.key,CA的证书文件ca.crt和上一步为mosquitto server产生证书请求文件server.csr文件这三个文件向CA请求产生一个证书文件,证书文件的名字为:server.crt。
3 使用该CA为client签发证书
该过程与1.2类似。
(1) 产生密钥文件client.key
openssl genrsa -out client.key 2048
(2) 产生一个签发证书的请求文件"client.csr"
openssl req -out client.csr -key client.key -new
产生证书请求文件时需要第一步产生的私钥文件client.key作为输入。
(3)CA为mosquitto客户端产生一个证书文件”client.crt”
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 36500
三、配置使用
1、修改配置
1.1 修改mosquitto配置文件
为了使用SSL功能Mosquito的配置文件mosquitto.conf需要修改以下四个地方:
(1) port 参数,mosquitto官方网站建议在使用功能的时候使用8883端口,如下所示:
(2) 修改cafile参数,该参数表示CA的证书文件的位置,需将其设置为正确的位置,例如下图所示
1.2启动mosquitto server
使用修改后的配置文件启动mosquitto程序,上面修改的配置文件的路径,在mosquitto目录下,因此需要用-c参数指定其位置。
mosquitto -c mosquitto.conf -v
2、mosquito.fx
配置如下:
注意:不需要填写用户名和密码,可以连接成功。
1、 注意事项
(1) 制作签发证书的请求文件时,需要输入Common Name参数,此参数一定为当前主机的IP地址,否则将会显示证书错误。
(2) 如果不想SSL在身份认证的时候检查主机名(也即上面不检查第1条中Common Name参数),则需要在启动订阅端的时候,加上“--insecure”参数,例如:
./mosquitto_sub -h 192.168.4.223 -i 111 -p 8883 -t "111" --cafile/home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key –insecure
(3)自测过程中,server端与所有客户端所使用的证书必须由同一个CA签发,否则,将会提示CA不识别的问题。