EMQX开启SSL/TSL及生成证书流程

EMQX，全称Erlang MQTT Broker，是一款基于Erlang OTP构建的开源MQTT消息代理，广泛应用于物联网(IoT)环境。MQTT（Message Queuing Telemetry Transport）是一种轻量级的发布/订阅协议，适用于低带宽、高延迟或不可靠的网络环境。SSL/TLS（Secure Sockets Layer/Transport Layer Security）则是用于在互联网上提供安全通信的协议，能够确保数据传输的机密性和完整性。 开启EMQX的SSL/TLS模式对于保障物联网设备之间的通信安全至关重要。以下是详细的步骤： ### 1. 开启EMQX的SSL/TLS模式 你需要编辑EMQX的配置文件，通常位于`etc/emqx.conf`。在该文件中找到`listener`部分，这里定义了EMQX的监听端口和协议。为了启用SSL/TLS，你需要创建一个新的监听器，指定端口为8883（默认的MQTT over SSL端口），并设置`protocol`为`tls`。示例如下： ```conf listener.tcp.external = port: 1883, max_connections: 10000, acceptors: 8, ... listener.ssl.external = port: 8883, protocol: ssl, max_connections: 10000, acceptors: 8, certfile: /path/to/cert.pem, keyfile: /path/to/key.pem, cacerts: /path/to/ca.pem, ... ``` 确保替换`certfile`、`keyfile`和`cacerts`为实际的证书文件路径。 ### 2. 生成SSL证书 生成SSL证书的过程通常包括创建私钥、CSR（Certificate Signing Request）以及申请和安装CA证书。以下是基本步骤： #### a. 创建私钥 使用OpenSSL工具生成一个RSA私钥，例如： ```bash openssl genpkey -algorithm RSA -out emqx.key -pkeyopt rsa_keygen_bits:2048 ``` #### b. 创建CSR 然后，使用私钥创建一个CSR，其中包含你组织的信息： ```bash openssl req -new -key emqx.key -out emqx.csr ``` 在交互式提示中填写必要的信息，如国家、地区、组织等。 #### c. 申请签名证书 如果你有权威的CA，你可以提交CSR以获取签名证书。如果在生产环境中，你可能需要购买商业CA证书。在开发或测试环境中，可以自签名证书： ```bash openssl x509 -req -days 365 -in emqx.csr -signkey emqx.key -out emqx.crt ``` 这将生成一个有效期为一年的自签名证书。 #### d. 配置EMQX使用证书 将生成的`emqx.crt`和`emqx.key`复制到EMQX配置文件中指定的位置，并确保权限设置正确，防止未经授权的访问。 ### 3. 验证和启动EMQX 保存配置文件后，重启EMQX服务以应用新的SSL/TLS设置。你可以使用`emqx_ctl`命令来检查配置和启动/重启服务： ```bash # 检查配置 emqx_ctl config check # 重启服务 emqx_ctl restart ``` 现在，EMQX应该已经配置好SSL/TLS模式，并通过8883端口提供安全的MQTT连接。 ### 注意事项 - SSL/TLS证书管理应谨慎处理，尤其是生产环境中的私钥，必须妥善保管，避免泄露。 - 当客户端连接时，需确保它们也支持SSL/TLS，并配置正确的服务器证书。 - 对于CA证书，生产环境通常需要使用受信任的第三方CA，而测试环境可以使用自签名证书。 - 定期更新证书，避免过期导致的安全问题。 以上就是关于EMQX开启SSL/TLS及生成证书的详细流程，遵循这些步骤，你将能确保EMQX在物联网环境中的通信安全。