mosquitto MQTT代理和带有SSL/TLS的Java客户端

我正在使用mosquitto和Eclipse PAHO Java客户端.

在普通的TCP套接字上一切正常.但现在我想使用SSL进行身份验证(不一定需要加密).

首先,我按照http://mosquitto.org/man/mosquitto-tls-7.html的说明进行操作

在mosquitto客户端我不能发布我的消息没有--insecure选项,意味着我必须

mosquitto_pub -h  -p  -t "/topic1/test" -m "testmsg" --cafile ca_cert.pem --cert client.crt --key client_priv.key --tls-version tlsv1.2 --insecure

否则,mosquitto控制台上会出现一个协议错误

1379576698: OpenSSL Error: error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown
1379576698: OpenSSL Error: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
1379576698: Socket read error on client (null), disconnecting.

- 不安全意味着不检查服务器证书主机名是否与远程主机名匹配.

对我来说有点奇怪的是我正在尝试TLS但是经纪人用SSL做出了回应.

但是我想在我的java paho客户端中启用SSL支持,我坚持这里的例子:https://gist.github.com/sharonbn/4104301

正如你在示例中所看到的那样

SSLContext context = SSLContext.getInstance("TLSv1")

这是否意味着我正在尝试与TLSv1连接,对吧？不幸的是我得到了一个

javax.net.ssl.SSLHandshakeException: message_unknown

我试图切换到TLSv1.2(因为它一直用mosquitto_pub为我工作)并改变了上下文

SSLContext context = SSLContext.getInstance("TLSv1.2")

但后来我得到了

NoSuchAlgorithmException: Unknown protocol: TLSv1.2

我不知道哪一方应该是未知的......

顺便说一句:如果我这样做的话

mosquitto_pub -h  -p  -t "/topic1/test" -m "testmsg" --cafile ca_cert.pem --cert client.crt --key client_priv.key --tls-version tlsv1 --insecure

结果是

1379595808: OpenSSL Error: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number
1379595808: Socket read error on client (null), disconnecting.

如果我从我的Java客户端尝试它是相同的

1379595995: OpenSSL Error: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number
1379595995: Socket read error on client (null), disconnecting.

所以我想我必须在java客户端使用/启用tlsv1.2.但怎么样？

那里有谁可以帮助我？非常感谢提前!和平

这里有几点.

首先,您应该看看生成正确的证书.正如文件所述, - 不应该在生产中使用 - 固化,因此值得关注.mosquitto-tls中的例子非常基本.如果遵循该过程,则必须将服务器证书的commonName设置为与服务器的主机名匹配.如果您在本地计算机上进行测试,请使用commonName = localhost.我不能强调使用--insecure使得使用TLS基本没有意义.创建证书的更好方法是添加一些subjectAltName条目以定义哪个主机名和/或IP地址对该证书有效.https://github.com/binarybucks/mqttitude/blob/master/tools/TLS/generate-CA.sh中提供了使用此功能生成证书的示例 请注意,为了正常工作,您需要mosquitto 1.2.1.

继续讨论TLS版本问题.这听起来很像你的JRE不支持TLSv1.2.根据这个问题,您至少需要IBM JRE 6/7或Oracle JRE/OpenJDK 7用于TLSv1.2.尝试在任何地方使用TLSv1以确保您的Java代码在其他地方没有问题.您可以使用tls_version tlsv1配置文件中的选项将mosquitto配置为使用TLSv1,您可以在此处定义服务器证书.

术语TLS和SSL通常可互换使用.除了在引用旧协议版本时,SSL不应该再被真正使用,但它已经卡住了,当人们说SSL时,它们通常意味着TLS.