mosquitto MQTT代理和带有SSL / TLS的Java客户端

时间:2013-09-19 13:32:44

标签: ssl mqtt mosquitto

我正在使用mosquitto和Eclipse PAHO Java客户端。

在普通的TCP套接字上,一切正常。 但现在我想使用SSL进行身份验证(不一定需要加密)。

首先我按照说明进行操作 http://mosquitto.org/man/mosquitto-tls-7.html

在mosquitto客户端,我可以发布我的消息而不使用 - insecure 选项,意味着我必须

mosquitto_pub -h <server-ip> -p <port> -t "/topic1/test" -m "testmsg" --cafile ca_cert.pem --cert client.crt --key client_priv.key --tls-version tlsv1.2 --insecure

否则在mosquitto控制台上出现协议错误,

1379576698: OpenSSL Error: error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown
1379576698: OpenSSL Error: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
1379576698: Socket read error on client (null), disconnecting.

- insecure 表示不检查服务器证书主机名是否与远程主机名匹配。

对我来说有点奇怪的是我正在尝试TLS但是经纪人用SSL做出了回应。

但是我试图在我的java paho客户端中启用SSL支持, 我坚持这里的例子: https://gist.github.com/sharonbn/4104301

正如你在示例中看到的那样我做了

SSLContext context = SSLContext.getInstance("TLSv1")

这是否意味着我正在尝试与TLSv1连接,对吧? 不幸的是我得到了

javax.net.ssl.SSLHandshakeException: message_unknown

我试图切换到TLSv1.2(因为它一直在用mosquitto_pub工作)并改变了上下文

SSLContext context = SSLContext.getInstance("TLSv1.2")

然后我得到了

NoSuchAlgorithmException: Unknown protocol: TLSv1.2

我不知道哪一方应该是未知的......

btw:如果我这样做

mosquitto_pub -h <server-ip> -p <port> -t "/topic1/test" -m "testmsg" --cafile ca_cert.pem --cert client.crt --key client_priv.key --tls-version tlsv1 --insecure

结果是

1379595808: OpenSSL Error: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number
1379595808: Socket read error on client (null), disconnecting.

如果我从我的Java客户端尝试它

1379595995: OpenSSL Error: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number
1379595995: Socket read error on client (null), disconnecting.

所以我认为我必须在java客户端使用/启用tlsv1.2。但是如何?

那里有谁可以帮助我? 非常感谢提前! 和平

1 个答案:

答案 0 :(得分:6)

这里有几点。

首先,您应该看看生成正确的证书。正如文件所述, - 不应该在生产中使用 - 固化,因此值得关注。 mosquitto-tls中的例子非常基本。如果您遵循该过程,则必须设置服务器证书的commonName以匹配服务器的主机名。如果您在本地计算机上进行测试,请使用commonName = localhost。我不能强调使用--insecure使得使用TLS基本没有意义。创建证书的更好方法是添加一些subjectAltName条目以定义哪个主机名和/或IP地址对该证书有效。 https://github.com/binarybucks/mqttitude/blob/master/tools/TLS/generate-CA.sh中提供了使用此功能生成证书的示例。请注意,为了使其正常工作,您需要mosquitto 1.2.1。

继续讨论TLS版本问题。这听起来很像你的JRE不支持TLSv1.2。根据{{​​3}},您至少需要IBM JRE 6/7或Oracle JRE / OpenJDK 7才能获得TLSv1.2。尝试在任何地方使用TLSv1以确保您的Java代码在其他地方没有问题。您可以在配置文件中使用选项tls_version tlsv1将mosquitto配置为使用TLSv1,就在您定义服务器证书的位置。

术语TLS和SSL通常可互换使用。除了引用旧的协议版本时,SSL不应再被真正使用了,但它已经卡住了,当人们说SSL时,它们通常意味着TLS。

相关问题
最新问题