我正在使用 mosquitto 和 Eclipse PAHO Java 客户端。
在纯 TCP 套接字上一切正常。 但现在我想使用 SSL 进行验证(不一定需要加密)。
首先我按照来自 http://mosquitto.org/man/mosquitto-tls-7.html
在 mosquitto 客户端中,如果没有 --insecure 选项,我可以不发布我的消息,这意味着我必须
mosquitto_pub -h <server-ip> -p <port> -t "/topic1/test" -m "testmsg" --cafile ca_cert.pem --cert client.crt --key client_priv.key --tls-version tlsv1.2 --insecure
否则 mosquitto 控制台上会出现一个协议(protocol)错误,上面写着
1379576698: OpenSSL Error: error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown
1379576698: OpenSSL Error: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
1379576698: Socket read error on client (null), disconnecting.
-- 不安全 表示不检查服务器证书主机名是否与远程主机名匹配。
对我来说有点奇怪的是,我正在尝试使用 TLS,但代理使用 SSL 响应。
但是我正在尝试在我的 java paho 客户端中启用 SSL 支持, 我坚持这里的例子: https://gist.github.com/sharonbn/4104301
正如你在我做的例子中看到的那样
SSLContext context = SSLContext.getInstance("TLSv1")
这是否意味着我正在尝试连接 TLSv1,对吗? 不幸的是我得到了一个
javax.net.ssl.SSLHandshakeException: message_unknown
我尝试切换到 TLSv1.2(因为它一直在为我使用 mosquitto_pub)并更改上下文
SSLContext context = SSLContext.getInstance("TLSv1.2")
然后我得到一个
NoSuchAlgorithmException: Unknown protocol: TLSv1.2
我不知道这在哪一方应该是未知的...
顺便说一句:如果我这样做
mosquitto_pub -h <server-ip> -p <port> -t "/topic1/test" -m "testmsg" --cafile ca_cert.pem --cert client.crt --key client_priv.key --tls-version tlsv1 --insecure
结果是
1379595808: OpenSSL Error: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number
1379595808: Socket read error on client (null), disconnecting.
如果我在我的 java 客户端中尝试它也是一样的
1379595995: OpenSSL Error: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number
1379595995: Socket read error on client (null), disconnecting.
所以我认为我必须在 Java 客户端上使用/启用 tlsv1.2。但是如何呢?
有谁能帮帮我吗? 非常感谢! 和平
最佳答案
这里有几点。
首先,您应该查看生成正确的证书。正如文档所说,--insecure 不应在生产中使用,因此值得关注这一点。 mosquitto-tls 中的示例非常基础。如果您遵循该过程,您必须设置服务器证书的 commonName 以匹配服务器的主机名。如果您在本地计算机上进行测试,请使用 commonName=localhost。我怎么强调都不为过,使用 --insecure 使得使用 TLS 基本上毫无意义。创建证书的更好方法是添加一些 subjectAltName 条目来定义哪些主机名和/或 IP 地址对该证书有效。 https://github.com/binarybucks/mqttitude/blob/master/tools/TLS/generate-CA.sh 中给出了使用此功能生成证书的示例请注意,您需要 mosquitto 1.2.1 才能正常工作。
继续讨论 TLS 版本问题。听起来很像您的 JRE 不支持 TLSv1.2。根据this question对于 TLSv1.2,您至少需要 IBM JRE 6/7 或 Oracle JRE/OpenJDK 7。尝试在所有地方使用 TLSv1 以确保您的 Java 代码在其他地方没有问题。您可以在配置文件中使用选项 tls_version tlsv1
将 mosquitto 配置为使用 TLSv1,就在您定义服务器证书的位置。
术语 TLS 和 SSL 通常可以互换使用。 SSL 不应该再被使用,除非是指旧的协议(protocol)版本,但它已经停滞不前,当人们说 SSL 时,他们通常指的是 TLS。
关于ssl - 带有 SSL/TLS 的 mosquitto MQTT 代理和 Java 客户端,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18896087/