当前位置: 首页 > 工具软件 > SurgeMQ > 使用案例 >

surgemq 添加ssl

楚奇逸
2023-12-01
surgemq添加ssl
1.MQTT协议
消息发布订阅功能的消息队列协议
报文组成: 固定报头(控制报文类型)+可变报头(协议名称、协议级别、连接标志、保持连接)+有效载荷(clentId+will topic+will message +username + password )
协议级别QoS支持0,1,2
可以基于tcp和udp
2.surgemq
Surgemq采用了mqtt通信协议可以做Server和Client,项目里主要用它做Server

Server每次和新的Client连接会创建一个新的对象叫Service

用来维护整个连接到关闭过程中服务端和这个客户端的通信,处理消息的发布,订阅
3.ssl(两种方式)
利用自己生成的根证书分别给服务端(ca.crt,server.crt,server.key)和客户端的证书签名(ca.crt,client.crt,client.key)

只需要根证书对服务端和客户端进行ssl验证(ca.crt,ca.key)

3.1方式一:

No.1 获取服务器自签名证书

获取ca.crt
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=*" -days 5000 -out ca.crt
获取服务端证书和key
openssl genrsa -out server.key 2048
 
  

 

server表示服务端ip,需要在测试服务器/etc/hosts配置添加 119.23.136.97 server openssl req -new -key server.key -subj "/CN=server" -out server.csr openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
获取客户端证书
openssl genrsa -out client.key 2048

openssl req -new -key client.key -subj "/CN=server" -out client.csr

echo extendedKeyUsage=clientAuth > extfile.cnf

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out client.crt -days 5000
 
  

 

No.2服务端和客户端使用证书双向验证

Surqmq server监听端口方式改为tls.listen,tlsConfig加入服务端的证书和key以及根证书
//read crt and key``
certpool := x509.NewCertPool()
pemCerts, err := ioutil.ReadFile(ca)
if err != nil {
    fmt.Println(err)
    return err
}
certpool.AppendCertsFromPEM(pemCerts)
//server 端加入 tls
cert, err := tls.LoadX509KeyPair(crt, key)
if err != nil {
    fmt.Println(err)
    return err
}
config := &tls.Config{
    Certificates: []tls.Certificate{cert},
    ClientAuth:   tls.RequireAndVerifyClientCert,
    ClientCAs:    certpool,
}
this.ln, err = tls.Listen("tcp", u.Host, config)


 
   
 
  
 
   
Paho.mqtt client支持ssl方式的连接方式,tlsConfig加入客户端的证书和key以及根证书

//初始化tlsConfig func NewTLSConfig(ca, crt, key string) *tls.Config { certpool := x509.NewCertPool() pemCerts, err := ioutil.ReadFile(ca) if err == nil { certpool.AppendCertsFromPEM(pemCerts) } cert, err := tls.LoadX509KeyPair(crt, key) if err != nil { panic(err) } return &tls.Config{ RootCAs: certpool, Certificates: []tls.Certificate{cert}, } } //将给client设置tlsConfig connOpts.AddBroker(uri).SetTLSConfig(NewTLSConfig(ca, crt, key)) mc = MQTT.NewClient(connOpts)

 

3.2方式二:

No.1只需要获取根证书server.crt和server.key
openssl genrsa -out server.key 2048
openssl req -x509 -new -nodes -key server.key -subj "/CN=server" -days 5000 -out server.crt
No.2服务端和客户端使用根证书进行ssl验证
//server 端加入 tls
cert, err := tls.LoadX509KeyPair(crt, key)
if err != nil {
    fmt.Println(err)
    return err
}
config := &tls.Config{
    Certificates: []tls.Certificate{cert},
    ClientAuth:   tls.NoClientCert,  //此处为tls.NoClientCert
}
this.ln, err = tls.Listen("tcp", u.Host, config)


func NewTLSConfig( crt, key string) *tls.Config {
// Import client certificate/key pair
certpool := x509.NewCertPool()
pemCerts, err := ioutil.ReadFile(crt)
if err == nil {
    certpool.AppendCertsFromPEM(pemCerts)
}
// Create tls.Config with desired tls properties
return &tls.Config{
    RootCAs:certpool,
}
}
//将给client设置tlsConfig
connOpts.AddBroker(uri).SetTLSConfig(NewTLSConfig(ca, crt, key))
mc = MQTT.NewClient(connOpts)
 
  

 

 
 

 

转载于:https://www.cnblogs.com/fwdqxl/p/9099503.html

 类似资料: