如何在 mosquitto (MQTT) 代理上设置 TLS?
How do I set up TLS on a mosquitto (MQTT) broker?
我让 mosquitto 工作,使用普通的旧 TCP,但我想使用 SSL 和 TLS 保护它,所以我按照以下指南为我的 mosquitto 代理创建证书:
https://mosquitto.org/man/mosquitto-tls-7.html
然后我在配置文件中添加了以下行:
listener 8883
cafile /mqtt/certs/ca.crt
certfile /mqtt/certs/server.crt
keyfile /mqtt/certs/server.key
require_certificate false
但是现在当我尝试在另一台机器上使用 mosquitto_sub 尝试通过端口 8883 (TLS) 连接到 mosquitto 代理时,我在代理上收到以下错误
New connection from XX.XXX.XXX.XXX on port 8883.
OpenSSL Error: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
OpenSSL Error: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
Socket error on client <unknown>, disconnecting.
我试过 mosquitto_sub 以下方法:
$ mosquitto_sub -h "HOST_HERE.com" -t "sup" -p 8883
$ mosquitto_sub -h "HOST_HERE.com" -t "sup" -p 8883 --cafile ca.crt
$ mosquitto_sub -h "HOST_HERE.com" -t "sup" -p 8883 --cafile ca.crt --cert client.crt --key client.key
而客户端的证书是根据我之前提到的第一个link生成的。
有人知道为什么会这样吗?我该如何解决?
这是订阅的好方法,因为您不需要客户端证书:
mosquitto_sub -h "HOST_HERE.com" -t "sup" -p 8883 --cafile ca.crt
客户端似乎无法验证服务器证书。
你应该确保:
- ca.crt客户端和服务端相同
- 您的服务器证书的通用名称与其主机名相对应
还要检查服务器端和客户端是否有相同的 openssl 版本,因为如果客户端和服务器不使用通用协议或不共享任何密码,也会发生此错误
希望对您有所帮助,否则我很想知道您是如何解决这个问题的
尝试 --insecure 选项。
mosquitto_sub -h "HOST_HERE.com" -t "sup" -p 8883 --cafile ca.crt --insecure
我让 mosquitto 工作,使用普通的旧 TCP,但我想使用 SSL 和 TLS 保护它,所以我按照以下指南为我的 mosquitto 代理创建证书:
https://mosquitto.org/man/mosquitto-tls-7.html
然后我在配置文件中添加了以下行:
listener 8883
cafile /mqtt/certs/ca.crt
certfile /mqtt/certs/server.crt
keyfile /mqtt/certs/server.key
require_certificate false
但是现在当我尝试在另一台机器上使用 mosquitto_sub 尝试通过端口 8883 (TLS) 连接到 mosquitto 代理时,我在代理上收到以下错误
New connection from XX.XXX.XXX.XXX on port 8883.
OpenSSL Error: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
OpenSSL Error: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
Socket error on client <unknown>, disconnecting.
我试过 mosquitto_sub 以下方法:
$ mosquitto_sub -h "HOST_HERE.com" -t "sup" -p 8883
$ mosquitto_sub -h "HOST_HERE.com" -t "sup" -p 8883 --cafile ca.crt
$ mosquitto_sub -h "HOST_HERE.com" -t "sup" -p 8883 --cafile ca.crt --cert client.crt --key client.key
而客户端的证书是根据我之前提到的第一个link生成的。
有人知道为什么会这样吗?我该如何解决?
这是订阅的好方法,因为您不需要客户端证书:
mosquitto_sub -h "HOST_HERE.com" -t "sup" -p 8883 --cafile ca.crt
客户端似乎无法验证服务器证书。 你应该确保:
- ca.crt客户端和服务端相同
- 您的服务器证书的通用名称与其主机名相对应
还要检查服务器端和客户端是否有相同的 openssl 版本,因为如果客户端和服务器不使用通用协议或不共享任何密码,也会发生此错误
希望对您有所帮助,否则我很想知道您是如何解决这个问题的
尝试 --insecure 选项。
mosquitto_sub -h "HOST_HERE.com" -t "sup" -p 8883 --cafile ca.crt --insecure