Mosquitto配置SSL

生成证书

安装openssl包后,依次执行下面的命令:

openssl req -new -x509 -days 1826 -key ca.key -out ca.crt
openssl genrsa -out server.key 2048
openssl req -new -out server.csr -key server.key
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 360

注意Common Name必须与服务器的IP或域名完全相同。

配置

注意tls_version版本最好设为1.2,因为mosquitto命令行客户端默认用的的这个版本。

....
listener 8333
cafile /opt/apps/mqtt-cert/ca.crt
keyfile /opt/apps/mqtt-cert/server.key
certfile /opt/apps/mqtt-cert/server.crt
tls_version tlsv1.2
....

Mosquitto支持多协议、多端口,如果不想使用非加密协议,删除相应的端口配置内容即可。

测试

测试时可以用–insecure跳过证书域名的检查。

mosquitto_sub --cafile /opt/apps/mqtt-cert/ca.crt  -h localhost --insecure -u fakeusername -P fakepassword -p 7333 -t test/me
mosquitto_pub --cafile /opt/apps/mqtt-cert/ca.crt  -h localhost --insecure -u fakeusername -P fakepassword -p 7333 -t test/me -m 'hello world'

Refs

mosquitto-tls

一个完整的配置文件

完整的Mosquitto配置文件,供参考:

# mosquitto运行的用户
user jane
pid_file /opt/apps/data/mosquitto/mosquitto.pid
# 密码文件
password_file /opt/apps/data/mosquitto/passwd

# 持久化设置
persistence true
persistence_location /opt/apps/data/mosquitto/data
# 日志目录
log_dest file /opt/apps/data/mosquitto/log/mos.log

# SSL配置
listener 7333
cafile /opt/apps/mqtt-cert/ca.crt
keyfile /opt/apps/mqtt-cert/server.key
certfile /opt/apps/mqtt-cert/server.crt
tls_version tlsv1.2

# 禁用匿名访问
allow_anonymous  false
留言