在mosquitto和Node-Red間使用基於的MQTTS雙向認證通訊( 私有CA)

原創 lxmuyu 2020-05-26 16:12

在mosquitto和Node-Red間使用基於的MQTTS雙向認證通訊( 私有CA)

概念說明

mosquitto(mqtt-broker)

Eclipse Mosquitto是實現MQTT協議版本5.0、3.1.1和3.1的開源消息代理。MQTT協議提供了使用發佈/訂閱模型執行消息傳遞的輕量級方法。

相關信息見 https://mosquitto.org/

Node-Red(mqtt-client)

Node-RED是構建物聯網應用程序的一個強大工具,其重點是簡化代碼塊的"連接"以執行任務。它使用可視化編程方法,允許開發人員將預定義的代碼塊(也叫做"節點")連接起來執行任務。連接的節點,通常是輸入節點、處理節點和輸出節點的組合,當它們連接在一起時,構成一個"流"。最初是IBM在2013年末開發的一個開源項目,以滿足他們快速連接硬件和設備到Web服務和其他軟件的需求–作爲物聯網的一種粘合劑–它很快發展成爲一種通用的物聯網編程工具。

相關信息見 https://nodered.org/

openssl

OpenSSL是用於傳輸層安全性(TLS)協議的健壯的,商業級,功能齊全的開源工具包,協議實現基於完整功能的通用密碼庫,該庫也可以獨立使用。

相關信息見 https://github.com/openssl/openssl

私有CA

CA(Certificate Authority)證書頒發機構主要負責證書的頒發、管理以及歸檔和吊銷。證書內包含了擁有證書者的姓名、地址、電子郵件帳號、公鑰、證書有效期、發放證書的CA、CA的數字簽名等信息。證書主要有三大功能:加密、簽名、身份驗證。

私有CA:在確定配置爲CA的服務器上生成一個自簽證書,併爲CA提供所需要的目錄及文件即可;

SSL單向/雙向認證

SSL單向認證只要求站點部署了ssl證書就行,任何用戶都可以去訪問(IP被限制除外等),只是服務端提供了身份認證。

雙向認證則是需要服務端與客戶端提供身份認證,只能是服務端允許的客戶能去訪問,安全性相對於要高一些。

相關信息
https://www.jianshu.com/p/fb5fe0165ef2
http://www.steves-internet-guide.com/ssl-certificates-explained/

搭建環境

服務端

操作系統:CentOS Linux release 7.8.2003
mosquitto: version 1.6.8

客戶端

Node-Red : mqtt 節點

基本流程

基本流程

詳細操作

軟件安裝

mosquitto

What you'll need:
Port 1883 to be open to incoming MQTT messages
Step 1: Add the CentOS mosquitto repository to YUM's list of repositories
$ yum install epel-release
$ sudo yum install mosquitto
Step 2: Run mosquitto
As of writing, no init.d script exists for the CentOS distribution of mosquitto. However, it is a simple enough matter to set it running as a daemon, you'll just need to restart it yourself whenever your machine gets restarted.
$ sudo su
$ mosquitto -d -c /etc/mosquitto/mosquitto.conf > /var/log/mosquitto.log 2>&1
Mosquitto should now be running! You can test it by pointing mosquitto_pub and _sub at it.

認證配置

詳細見

http://www.steves-internet-guide.com/mosquitto-tls/
http://www.steves-internet-guide.com/mosquitto-tls/

mosquitto配置

在這裏插入圖片描述
在這裏插入圖片描述
在這裏插入圖片描述
服務端最終配置mosquitto.conf

port 8883
cafile /etc/mosquitto/ca_certificates/ca.crt
certfile /etc/mosquitto/certs/server.crt
keyfile /etc/mosquitto/certs/server.key
require_certificate true
tls_version tlsv1.2
use_identity_as_username true

Node-Red配置

  1. 上傳ca.crt,client.key,client.crt
  2. 更新節點即可連接
    注:私有CA不要勾選“驗證服務器證書”
    在這裏插入圖片描述

效果及測試

  1. mqttfx.exe (訂購主題)
    1. 連接
      在這裏插入圖片描述
    2. 訂購主題
      在這裏插入圖片描述
  2. Node-Red (發佈主題)
    1. 連接
      在這裏插入圖片描述
    2. 發佈數據
      在這裏插入圖片描述
  3. 數據通訊成功

總結

本文描述瞭如何在mosquitto和Node-Red間,使用基於的MQTTS雙向認證通訊( 私有CA),內容較多,需要使用者對MQTT、SSL、雙向認證等有基本的認識。許多關聯內容以鏈接形式在本文中引用,希望能對後來人有一定借鑑作用。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

MQTTv5.0協議詳解

一、MQTT協議具體是什麼 MQTT(Message Queuing Telemetry Transport,消息隊列遙測傳輸協議),基於TCP/IP的長連接。MQTT是機器對機器(M2M)/物聯網(IoT)連接協議,發佈/訂閱模式,是專

Iot-Mr.Qu 2020-07-05 10:23:51

初出茅廬的小李第28篇博客之MQTT學習筆記

物聯網學習入門篇之MQTT協議 MQTT: Massage Queuing Telemetry Transport,消息隊列遙測傳輸 MQTT是基於互聯網的基礎協議TCP/IP協議而構建的,由IBM在1999年發佈,基於發佈和訂閱

Aqst-666 2020-07-07 11:55:28

EMQTT服務器使用HTTP做用戶認證問題

今天在做使用EMQTT服務器打開HTTP做用戶認證這個測試的時候,遇到了幾個問題。 1,認證API如何寫 認證不需要返回值,是根據HTTP請求的狀態碼做爲判斷的依據。200爲成功;其它爲失敗,我這裏使用401。 代碼示意如下: @Res

全栈仁波切 2020-07-07 02:51:58

QT,C++成員函數作爲C風格函數的函數參數的問題。函數指針的問題。MQTT。

          最近在用QT包裝一個Paho - MQTT C Cient的函數接口(調用MQTT的C的SDK來實現一個對接onenet平臺的軟件用QT實現)時遇到一個。這是bug模塊的C函數實現:http://www.eclipse

zhenlin123 2020-07-06 20:06:01

用SSL保護EMQ連接(pem格式證書)

SSL是一種加密協議,可通過計算機網絡提供通信安全性。 不出所料,它也可以用於MQTT消息交換。 SSL具有許多安全優勢,例如: 強認證性:創建一個SSL連接時,通信方可以檢查其夥伴的身份並確定其是否可信任。 通常,在此階段,可以

king_jie0210 2020-07-05 18:06:02

IOT-MQTT協議-控制數據包-CONNACK

3.2 CONNACK - 確認連接請求 CONNACK數據包是服務器響應從客戶端收到的CONNECT數據包發送的數據包。從服務器發送到客戶端的第一個數據包必須是CONNACK數據包 [MQTT-3.2.0-1]。 如果客戶端在合理的時間

leeahuamsg 2020-07-05 06:42:18

IOT-MQTT協議-簡介

1       簡介 1.1  組織MQTT 本規範分爲七章: ·第1章 - 簡介 ·第2章 - MQTT控制包格式 ·第3章 - MQTT控制包 ·第4章 - 操作行爲 ·第5章 - 安全性 ·第6章-使用的WebSocket作爲網絡t

leeahuamsg 2020-07-05 06:42:18

IOT-MQTT協議-控制包格式

2.1 MQTT控制包的結構 MQTT協議通過以定義的方式交換一系列MQTT控制數據包來工作。本節介紹這些數據包的格式。 MQTT控制包最多由三部分組成,總是按照以下順序組成,如圖2.1所示 - MQTT控制包的結構。   圖2.1 -

leeahuamsg 2020-07-05 06:42:18

IOT-MQTT協議-控制數據包-CONNECT

3.1 CONNECT - 客戶端請求與服務器的連接 在客戶端向服務器建立網絡連接之後,從客戶端發送到服務器的第一個數據包必須是CONNECT數據包 [MQTT-3.1.0-1]。 客戶端只能通過網絡連接發送一次CONNECT數據包。服務

leeahuamsg 2020-07-05 06:42:18

啓用TOMCAT的SSL

 啓用TOMCAT的SSL 本教程使用 JDK 6 和 Tomcat 7,其他版本類似。基本步驟:使用 java 創建一個 keystore 文件配置 Tomcat 以使用該 keystore 文件測試配置應用以便使用 SSL ,例如

虫它 2020-07-08 11:08:02

【MMT】ICLR 2020: MMT(Mutual Mean-Teaching)方法,無監督域適應在Person Re-ID上性能再創新高

爲了減輕噪音僞標籤的影響,文章提出了一種無監督的MMT(Mutual Mean-Teaching)方法,通過在迭代訓練的方式中使用離線精煉硬僞標籤和在線精煉軟僞標籤,來學習更佳的目標域中的特徵。同時,還提出了可以讓Traplet

_Summer tree 2020-07-08 05:01:22

SSLClient

可以通過 System.setProperty("javax.net.ssl.keyStore", "d:\test.keys"); 設置證書。 package org.sl.bean; import java.io.FileInp

AFer198215 2020-07-07 22:05:49

Netty——預置的ChannelHandler和編解碼器(一)

預置的ChannelHandler和編解碼器 Netty 爲許多通用協議提供了編解碼器和處理器,幾乎可以開箱即用,這減少了你在那些相 當繁瑣的事務上本來會花費的時間與精力。在本章中,我們將探討這些工具以及它們所帶來的好 處,其中包

吴声子夜歌 2020-07-07 01:09:47

【FSR】Feature Space Regularization for Person Re-Identification with One Sample

Feature Space Regularization for Person Re-Identification with One SampleAbstractI. INTRODUCTIONFramework.Our Meth

_Summer tree 2020-07-06 22:12:48

openssl 生成私鑰、申請文件,證書導入jks說明

openssl 生成私鑰、申請文件,證書導入說明 1.生成私鑰 openssl genrsa -out serverkey.key 1024/2048 這樣生成的私鑰不帶密碼(以後生成密鑰庫後,要將密碼改成和密鑰庫密碼相同) op

墨玉wsc 2020-07-06 19:13:20