ssl双向认证

ssl双向认证

一、背景知识

1、名词解释

ca.key: 根证书的私钥 , ca.crt: 根证书的签名证书

server.key, server.crt

client.key, client.crt

2、生成机制

1、openssl-> ca.key,ca.crt
2、openssl-> server.key->server.csr<-ca.crt+ca.key =>server.crt
3、openssl-> client.key->client.csr<-ca.crt+ca.key =>client.crt

功能设计：

第一步，使用openssl生成ca.key -> ca.crt, 

生成server.key -> server.csr , server.csr + ca.key + ca.crt  -> server.crt

第二步，配置 ca.crt, server.key, server.crt 到 mosquito服务器

第三步，配置 ca.crt, ca.key 到管理控制台，

              通过管理控制台生成client.key -> client.csr，client.csr + ca.key + ca.crt  -> client.crt， 并提供 ca.crt + client.crt + client.key 的下载

3、部署发布

      服务器端： 持有 ca.crt , server.key + server.crt ， 如： mosquito

      客户端： 持有 ca.crt , server.key, server.crt ， 如：设备

      证书生成端： 持有 ca.crt , ca.key， 如：管理控制台

二、生成证书

1 产生CA的key和证书

使用命令为：
openssl req -new -x509 -days 36500 -extensions v3_ca -keyout ca.key -out ca.crt
该命令将为CA产生一个名字为“ca.key”的key文件和一个名字为“ca.crt”的证书文件，这个crt就是CA自己给自己签名的证书文件。
该命令中选项“-x509”表示该条命令将产生自签名的证书，一般都是测试的时候采用。
命令执行过程中将需要输入国别、省份（或州）、市、Common Name等参数，其中” Common Name”参数，必须是当前机子的IP地址，使用主机名不行。

2 使用该CA为server签发证书

使用该CA为server产生证书文件。
（1）产生密钥文件server.key
该命令将产生加密的RSA私钥，其中参数”-des3”表示对产生的RSA私钥加密，参数”2048”表示私钥的长度，这里产生的私钥文件“server.key”将在下一步使用，同时在mosquitto程序的配置文件中也需要使用。
openssl genrsa -des3 -out server.key 2048
（2）产生证书签发的请求文件server.csr
该命令将使用上一步产生的“server.key”文件为server产生一个签发证书所需要的请求文件：server.csr，使用该文件向CA发送请求才会得到CA签发的证书。
openssl req -out server.csr -key server.key -new
同样该过程需要注意Common Name参数需要填写当前主机的IP地址。
（3）为mosquitto server产生证书文件：server.crt
命令：
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 36500
这一步将需要输入CA的密码。该命令将使用CA的密钥文件ca.key，CA的证书文件ca.crt和上一步为mosquitto server产生证书请求文件server.csr文件这三个文件向CA请求产生一个证书文件，证书文件的名字为：server.crt。

3 使用该CA为client签发证书

该过程与1.2类似。
（1） 产生密钥文件client.key
openssl genrsa -out client.key 2048
（2） 产生一个签发证书的请求文件"client.csr"
openssl req -out client.csr -key client.key -new
产生证书请求文件时需要第一步产生的私钥文件client.key作为输入。
（3）CA为mosquitto客户端产生一个证书文件”client.crt”
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 36500
三、配置使用

1、修改配置

1.1 修改mosquitto配置文件

为了使用SSL功能Mosquito的配置文件mosquitto.conf需要修改以下四个地方：

(1) port 参数，mosquitto官方网站建议在使用功能的时候使用8883端口，如下所示：

(2) 修改cafile参数，该参数表示CA的证书文件的位置，需将其设置为正确的位置，例如下图所示

1.2启动mosquitto server

使用修改后的配置文件启动mosquitto程序，上面修改的配置文件的路径，在mosquitto目录下，因此需要用-c参数指定其位置。

mosquitto -c mosquitto.conf -v

2、mosquito.fx

配置如下：

注意：不需要填写用户名和密码，可以连接成功。

1、 注意事项

（1） 制作签发证书的请求文件时，需要输入Common Name参数，此参数一定为当前主机的IP地址，否则将会显示证书错误。

（2） 如果不想SSL在身份认证的时候检查主机名（也即上面不检查第1条中Common Name参数），则需要在启动订阅端的时候，加上“--insecure”参数，例如：

./mosquitto_sub -h 192.168.4.223 -i 111 -p 8883 -t "111" --cafile/home/jason.hou/ssl/ca.crt --cert /home/jason.hou/ssl/client.crt --key/home/jason.hou/ssl/client.key –insecure

（3）自测过程中，server端与所有客户端所使用的证书必须由同一个CA签发，否则，将会提示CA不识别的问题。