我们在上篇文章里面已经搭建好了一个MQTT服务器，并且进行了简单的发布和订阅的测试。但是，我们默认使用的是TCP明文传输，

从上图看出，如果被别有用心的人抓包就可以获取我们的通信内容，没有任何隐私，黑客还可以恶意发布信息给服务器，如果是在工业交通等重要场合则后果不堪设想。

我们需要在服务器端和客户端都是使用TLS来加密我们的信息，保证信息的安全性。

TLS安全连接基本原理

这是一个简单的TLS的过程，服务器和客户端从CA证书中心取得CA证书，服务器生成自己的私钥和证书，客户端用ca证书对服务器的证书进行验证，验证通过说明服务器是合法的，如果验证不过则不与服务器通信。验证通过之后使用一对公钥和密钥进行加解密通信，中间的报文都是加密的。

MQTT使用TLS安全连接步骤：

1、生成CA私钥文件

#mkdir Myca

#cd Myca

# openssl genrsa -des3 -out ca.key 2048

#ls -l

-rwxrwxrwx 1 root root 1743 9月 5 00:08 ca.key

可以看到生成了ca的密钥文件。

参数解释：

• genrsa 表示生成RSA私钥
• -des3 表示密钥文件使用DES3加密，如果没有这个选项表示不加密密钥文件。
• -out 制定输出文件的名字(.key)
• 2048 表示密钥长度。

2、生成CA证书

#openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

# ls -l

-rwxrwxrwx 1 root root 1367 9月 6 00:58 ca.crt

rwxrwxrwx 1 root root 1679 9月 6 00:58 ca.key

参数解释：

• req: 请求生成证书认证
• -new: 生成一个新的证书. 它会提示填充证书的一些参数.
• -x509: 签发X.509格式证书 .
• -days: 指定证书的有效期限，单位天.
• -key: 指定生成证书的私钥文件.
• -out: 指定生成的证书文件名(.crt).

3、生成server的私钥

#openssl genrsa -out server.key 2048

#ls -l

-rwxrwxrwx 1 root root 1367 9月 6 00:58 ca.crt

-rwxrwxrwx 1 root root 1679 9月 6 00:58 ca.key

-rwxrwxrwx 1 root root 1679 9月 6 01:02 server.key ------生成的 server.key

4、生成server端请求文件（.csr)

#openssl req -new -out server.csr -key server.key

Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:bj

Locality Name (eg, city) []:bj

Organization Name (eg, company) [Internet Widgits Pty Ltd]:aaa

Organizational Unit Name (eg, section) []:bbb

Common Name (e.g. server FQDN or YOUR name) []:192.168.1.102

Email Address []:test@test.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

设置Common Name要为自己的IP地址。其他参数随便填

5、生成服务端的证书

#openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3600

这时候在证书目录下有下面文件

-rwxrwxrwx 1 root root 1367 9月 6 00:58 ca.crt

-rwxrwxrwx 1 root root 1679 9月 6 00:58 ca.key

-rwxrwxrwx 1 root root 17 9月 6 01:10 ca.srl

-rwxrwxrwx 1 root root 1249 9月 6 01:10 server.crt

-rwxrwxrwx 1 root root 1029 9月 6 01:08 server.csr

-rwxrwxrwx 1 root root 1679 9月 6 01:02 server.key

6、修改mosquitto.conf文件

port 1884 -----设置TLS端口 为1884

cafile /myca/ca.crt -------- 证书文件

certfile /myca/server.crt ------------服务器证书文件

keyfile /myca/server.key ------------服务器私钥文件

7、启动mosquitto

使用mosquitto.conf 启动。

8、启动客户端

在客户端先要设置下TLS访问，和证书

上图看到客户端连接上了

发一个消息看看报文。

可以看到报文已经加密，无法看到报文的内容。

郑重声明：本文作品为原创，如转载须注明出处“头条号：物联网电子世界”。

?