2

我正在使用 mosquitto 和 Eclipse PAHO Java 客户端。

在普通的 TCP 套接字上一切正常。但现在我想使用 SSL 进行身份验证(不一定需要加密)。

首先,我按照 http://mosquitto.org/man/mosquitto-tls-7.html的说明进行操作

在 mosquitto 客户端中,如果没有--insecure选项,我无法发布我的消息,这意味着我必须

mosquitto_pub -h <server-ip> -p <port> -t "/topic1/test" -m "testmsg" --cafile ca_cert.pem --cert client.crt --key client_priv.key --tls-version tlsv1.2 --insecure

否则蚊子控制台上会出现协议错误,上面写着

1379576698: OpenSSL Error: error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown
1379576698: OpenSSL Error: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
1379576698: Socket read error on client (null), disconnecting.

-- 不安全意味着不检查服务器证书主机名是否与远程主机名匹配。

对我来说有点奇怪的是,我正在尝试使用 TLS,但代理使用 SSL 做出响应。

但是我正在尝试在我的 java paho 客户端中启用 SSL 支持,我坚持这里的示例: https ://gist.github.com/sharonbn/4104301

正如您在示例中看到的那样,我做了一个

SSLContext context = SSLContext.getInstance("TLSv1")

那么这是否意味着我正在尝试连接 TLSv1,对吗?不幸的是我得到了一个

javax.net.ssl.SSLHandshakeException: message_unknown

我尝试切换到 TLSv1.2(因为它一直在使用 mosquitto_pub 为我工作)并通过

SSLContext context = SSLContext.getInstance("TLSv1.2")

但后来我得到一个

NoSuchAlgorithmException: Unknown protocol: TLSv1.2

我不知道这应该在哪一边不为人知...

顺便说一句:如果我这样做

mosquitto_pub -h <server-ip> -p <port> -t "/topic1/test" -m "testmsg" --cafile ca_cert.pem --cert client.crt --key client_priv.key --tls-version tlsv1 --insecure

结果是

1379595808: OpenSSL Error: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number
1379595808: Socket read error on client (null), disconnecting.

如果我从我的 java 客户端中尝试它也是一样的

1379595995: OpenSSL Error: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number
1379595995: Socket read error on client (null), disconnecting.

所以我想我必须在 java 客户端使用/启用 tlsv1.2。但如何?

有人可以帮助我吗?提前非常感谢!和平

4

1 回答 1

6

这里有几点。

首先,您应该查看生成正确的证书。正如文档所说,--insecure 不应在生产中使用,因此值得关注这一点。mosquitto-tls 中的示例非常基础。如果您遵循该过程,则必须将服务器证书的 commonName 设置为与服务器的主机名匹配。如果您在本地计算机上进行测试,请使用 commonName=localhost。我不能强调使用 --insecure 使使用 TLS 基本上毫无意义。创建证书的更好方法是添加一些 subjectAltName 条目来定义哪些主机名和/或 IP 地址对该证书有效。https://github.com/binarybucks/mqttitude/blob/master/tools/TLS/generate-CA.sh中给出了使用此功能生成证书的示例请注意,您需要 mosquitto 1.2.1 才能正常工作。

继续讨论 TLS 版本问题。听起来很像您的 JRE 不支持 TLSv1.2。根据这个问题,TLSv1.2 至少需要 IBM JRE 6/7 或 Oracle JRE/OpenJDK 7。尝试在任何地方使用 TLSv1 以确保您的 Java 代码在其他地方没有问题。您可以使用配置文件中的选项将 mosquitto 配置为使用 TLSv1 tls_version tlsv1,就在您定义服务器证书的位置。

TLS 和 SSL 这两个术语经常互换使用。SSL 不应该再使用了,除非是指旧的协议版本,但它已经卡住了,当人们说 SSL 时,他们通常指的是 TLS。

于 2013-09-19T15:10:31.320 回答